KI-Verordnung geht in die Schlussabstimmung

Bereits im März verabschiedete das Europäische Parlament den Rechtsakt. Am Dienstag dieser Woche billigte nun auch der Ministerrat den finalen Text der neuen Verordnung. Das Votum des Rates erfolgte somit gut drei Jahre nach Veröffentlichung des ursprünglichen Entwurfs der KI-Verordnung durch die Europäische Kommission. In dieser Zeitspanne gab es unzählige Änderungsvorschläge, so dass sich der Inhalt der Regulierung – auch und gerade wegen des Hypes um generative KI-Anwendungen wie ChatGPT – über die Zeit deutlich verändert hat.

Die KI-Verordnung als solches wird 20 Tage nach ihrer Veröffentlichung im Amtsblatt der EU in Kraft treten. Allerdings gibt es zahlreiche Bestimmungen, die erst nach sechs, zwölf oder 24 Monaten greifen werden. Die KI-Verordnung bringt bedeutende neue regulatorische Anforderungen für Unternehmen mit sich, die mit KI-Systemen arbeiten, diese entwickeln oder vertreiben. Experten rechnen damit, dass die Verordnung großen Einfluss auf die Entwicklung von regulatorischen Standards für KI haben wird, und das nicht nur in der EU, sondern überall auf der Welt.

„Die KI-Verordnung ist nicht auf die Regelung einzelner Aspekte oder Bereiche künstlicher Intelligenz beschränkt, wie zum Beispiel die Regulierung generativer KI-Modelle, sondern verfolgt einen ganzheitlicheren Ansatz. Ziel des Gesetzgebers ist es, Rahmenbedingungen für Entwickler, Anwender und alle, die von der Nutzung der KI betroffen sind, zu schaffen“, erklärt Dr. Nils Rauer, Technologie-Experte bei Pinsent Masons. „Es werden dabei zwei strukturelle Konzepte in einem Gesetz kombiniert. Es gibt den risikobasierten Ansatz für KI-Systeme und ein separates Regelungsgefüge für KI-Modelle mit allgemeiner Ziel- und Zweckbestimmung. Ersteres folgt der Idee, dass KI-Systeme, die in bestimmten Bereichen eingesetzt werden, als risikoreich gelten, letzteres konzentriert sich auf das Potenzial des KI-Modells. Je höher dieses Potenzial ist, desto wahrscheinlicher ist ein systemisches Risiko. Es bleibt abzuwarten, wie diese beiden Konzepte zusammenwirken.“

Wouter Seinen von Pinsent Masons in Amsterdam geht davon aus, dass die KI-Verordnung die „digitale Compliance“ in Unternehmen besser vorantreiben wird, als es die DSGVO getan hat: „Die Datenschutz-Grundverordnung versucht, die Denkweise und Einstellung der Unternehmen in Bezug auf Transparenz und Risikomanagement zu verändern, aber die Einhaltungsquoten sind immer noch enttäuschend“, so Seinen. „Das Fehlen von Standards und bewährten Verfahren einerseits und die Durchsetzungsstrategien in Europa andererseits scheinen dabei eine Rolle zu spielen. Es ist eine gute Nachricht, dass die KI-Verordnung die Einführung offizieller Standards vorantreiben wird, da dies den Unternehmen helfen wird, ihre Compliance zu überprüfen. Bleibt zu hoffen, dass sich die Durchsetzung des KI-Gesetzes auf Anreize und Aufklärung konzentriert, unterstützt durch eine systematische Umsetzung, statt eine Handvoll Unternehmen an den Pranger zu stellen und mit massiven Geldstrafen zu belegen."

Im Rahmen der Verordnung werden einige Arten und Verwendungsformen von KI gänzlich verboten, während die strengsten regulatorischen Anforderungen KI-Systemen vorbehalten sind, die als „risikoreiche“ KI eingestuft werden. Pinsent Masons hat einen Leitfaden entwickelt, der Unternehmen dabei helfen soll, zu verstehen, ob die von ihnen entwickelten oder genutzten KI-Systeme als risikoreiche KI gelten.

Der in Dublin ansässige Andreas Carney, ebenfalls von Pinsent Masons, geht davon aus, dass Finanzdienstleister zu den Unternehmen gehören, die von einer Regulierung des Einsatzes von KI profitieren werden: „Regulierte Sektoren wie die Finanzdienstleister haben sich bemüht, die Vorteile der KI für ihre Unternehmen und Kunden zu nutzen, müssen dies aber gleichzeitig mit ihrem Risikoprofil in Einklang bringen“, so Carney. „Die neue Verordnung ermöglicht es ihnen nun, diese Aufgabe besser zu bewältigen und die Einführung von KI-Systemen voranzutreiben.“      

Im Laufe des Gesetzgebungsverfahrens wurden tiefgreifende Änderungen an der KI-Verordnung vorgenommen. „Zu den wichtigsten Änderungen seit 2021 gehören die Anpassung der Definition von KI-Systemen, die sich enger an die OECD-Definition anlehnt, die ihrerseits kürzlich aktualisiert wurde“, so Sarah Cameron aus London. „Zudem wurden später Bestimmungen zu GPAI aufgenommen, die sich mit dem Urheberrecht und der Transparenz von Trainingsdaten sowie mit Governance- und Risikoverpflichtungen befassen. Auch die Forderung nach einer Folgenabschätzung für die Grundrechte bei Hochrisikokategorien von KI-Systemen kam hinzu.“

Die neue KI-Verordnung hat Dr. Rauer zufolge das Potenzial, andere Gesetzgeber in ihren Bemühungen um die Regulierung von KI zu beeinflussen, wobei die Ansätze anderer Länder in Bezug auf die Regulierung von KI bisher sehr unterschiedlich gewesen seien. China, die USA und das Vereinigte Königreich sind drei Länder, die Dr. Rauer zufolge „erkennbar unterschiedliche Wege“ eingeschlagen haben.

Cameron ergänzt: „Während die EU versucht, den Goldstandard für die KI-Regulierung zu setzen, wie sie es im Bereich des Datenschutzrechts bereits mit der DSGVO getan hat, haben sich andere Länder für einen agileren und flexibleren Ansatz bei der Regulierung entschieden. Nichtsdestotrotz gibt es einen klaren Trend hin zu einer verstärkten globalen Zusammenarbeit bei der KI-Regulierung, insbesondere im Hinblick auf die Bewältigung der systemischen Risiken, die sich aus den schnellen Fortschritten der KI ergeben, vor allem im Bereich der Sicherheit. Da die Normen der KI-Verordnung von den EU-Normungsgremien entwickelt werden, um die vollständige Umsetzung des EU-KI-Gesetzes zu ermöglichen, kann die Zusammenarbeit, auch im Bereich der Normen, weltweit sowohl für Unternehmen als auch für Staaten zu mehr Einheitlichkeit und Transparenz führen.“

Mark Ferguson, Experte für Public Policy bei Pinsent Masons, geht davon aus, dass das Inkrafttreten der Verordnung in den kommenden Wochen nur der Beginn einer neuen Phase der Gesetzgebung sein wird. Er sagte, dass die einzelnen EU-Mitgliedsstaaten sich mit der Verordnung auseinandersetzen müssen, um sie in die Praxis umzusetzen, einschließlich der Ernennung der zuständigen Behörden für die Durchsetzung des Gesetzes in jeder Gerichtsbarkeit. Er fügte hinzu, dass in den nächsten zwölf Monaten auch neue Verhaltenskodizes für GPAI entwickelt werden sollen, und wies darauf hin, dass eine von der Europäischen Kommission vorzunehmende Überprüfung der Gesetzgebung ebenfalls innerhalb des nächsten Jahres zu Änderungen des Konzepts der KI-Verbote führen könnte.

„Die Unternehmen werden mit zunehmender Regulierung in diesem Bereich konfrontiert sein“, so Ferguson. „Die KI-Verordnung ist lediglich der Anfang. Den Unternehmen kommt bei der Gestaltung der nächsten Phase der Regulierung in der EU – und außerhalb – eine wichtige Rolle zu, da die Kommission Meinungen darüber einholen wird, wie sie sich auf Geschäftsabläufe, Innovation und Sicherheit auswirken.“

Wesley Horion, ebenfalls von Pinsent Masons, ergänzt: „So vielversprechend die KI-Verordnung auch aussieht, sie lässt viele Fragen offen, und es wird Aufgabe der Kommission sein, gemeinsam mit den Ausschüssen der Interessengruppen Durchführungsrechtsakte zu erarbeiten, die praxistauglich sind. Erst dann werden wir beurteilen können, ob das Gesetz so innovationsfreundlich ist, wie es der Gesetzgeber beabsichtigt hat.“

Letzte Woche haben auch die Außenminister der 46 Mitgliedsländer des Europarats – der keine EU-Institution ist – den ersten internationalen Vertrag zur Regelung der KI und ihrer Auswirkungen auf die Menschenrechte verabschiedet.

Der Vertrag legt Regeln fest, nach denen die Nutzer von KI-Technologie sicherstellen müssen, dass diese nicht die Demokratie, die Menschenrechte, die Rechtsstaatlichkeit und die Privatsphäre untergräbt. Der Text wird für die Mitgliedsländer der Organisation sowie für Beobachterländer, die ihn unterzeichnen und ratifizieren, verbindlich sein, und die Regeln gelten für alle öffentlichen Behörden. Einzelne Regierungen können sie auch auf private Akteure wie KI-Entwickler anwenden, sofern sie das wollen.