Der Erste seiner Art: Der AI Act kommt
Nach der Zustimmung durch das Europäische Parlament vom 13.3.2024 hat nun der Rat der Europäischen Union am 21.5.2024 das Gesetz über künstliche Intelligenz („AI Act“) als weltweit ersten umfassenden Rechtsrahmen für das Thema künstliche Intelligenz (KI) verabschiedet. Unternehmen sollten sich zeitig mit den daraus resultierenden Pflichten beschäftigen.
Rasante Entwicklungen
Die Verordnung ist die rechtliche Antwort auf die rasanten Entwicklungen im Bereich „KI“ in den letzten Jahren in Verbindung mit der wachsenden Bedeutung der Digitalisierung in beinahe jedem Lebensbereich. Sowohl für unternehmensinterne Prozesse als auch für B2B-und B2C-Lösungen sind Large Language Models (LLM) wie Chat GPT in aller Munde. Auch maschinenbasierte und intelligente Anwendungen, die weit über LLM hinausgehen können, bergen enorme Potenziale und scheinen in Zukunft unumgänglich zu sein. Es ist davon auszugehen, dass der AI Act in den kommenden Jahren weit über die IT-Welt hinaus einen prägenden Einfluss haben wird. Entsprechend groß war das mediale Interesse an dem Gesetzesvorhaben.
Was ist erlaubt – und was nicht?
Der AI Act schafft einen rechtlichen Rahmen für die zukünftige Entwicklung von KI. Er verfolgt einen risikobasierten Ansatz, der zwischen inakzeptablen KI-Systemen, Hochrisiko-KI-Systemen und KI-Systemen mit begrenztem oder minimalem Risiko unterscheidet.
KI-Systeme, von denen ein inakzeptables Risiko ausgeht, verbietet der AI Act. Darunter fallen zum Beispiel KI-Systeme, die das sogenannte „Social-Scoring“ ermöglichen, aber auch solche, die Emotionen von Arbeitnehmern erkennen können.
Nicht generell verboten werden sogenannte Hochrisiko-Systeme. Für sie gelten allerdings bestimmte Regeln, aus denen sich insbesondere Produktüberwachungs-, Transparenz-, Berichts- und weitere Compliance-Vorgaben ergeben. Die Einordnung als Hochrisiko-System erfolgt anhand bestimmter Risiko-Merkmale und eines abschließenden Katalogs, der sich an bereits durch den europäischen Gesetzgeber erkannten Risikobereichen orientiert, zu denen etwa kritische Infrastrukturen gehören.
Für die übrigen KI-Systeme mit begrenztem oder minimalem Risiko bestehen weit weniger Vorgaben, es sind aber bestimmte Transparenz- und Kennzeichnungspflichten vorgesehen.
Zu beachten ist, dass nicht nur die Anbieter der KI-Systeme, sondern u.a. auch deren Betreiber und Bereitsteller reguliert werden. Auch den alleinigen Verwender können damit neben den bestehenden gesetzlichen Bestimmungen aus den Bereichen Datenschutz, geistiges Eigentum, Arbeitsrecht und Cyber-Security Pflichten aus dem AI Act treffen.
Wann tritt der AI Act in Kraft und was ist zu tun?
Es ist davon auszugehen, dass der AI Act in den nächsten Wochen – voraussichtlich gegen Ende Juni – veröffentlicht und 20 Tage später in Kraft treten wird. Mit dem Inkrafttreten beginnen die Fristen von bis zu 36 Monaten zur Umsetzung der neuen Pflichten zu laufen. Dies gilt auch für die Einrichtung der erforderlichen nationalen Behörden und Stellen durch die Mitgliedstaaten.
Unternehmen sollten deshalb zeitig prüfen, ob bei ihnen regulierte KI-Systeme zum Einsatz kommen oder zukünftig kommen sollen und wann welche Pflichten für sie und ihre Mitarbeitenden gelten werden. Bereits der Einsatz von Chatbots im Vertrieb, die Überwachung und Auswertung von Daten zur Netzsteuerung oder die Nutzung von KI in CRM-Systemen können hier AI Act-relevant sein.
Ansprechpartner:innen IT/TK: Axel Kafka/Julien Wilmes-Horváth/Agnes Eva Müller/Robert Grützner
Ansprechpartner IT/Datenschutz: Thomas Schmeding/Alexander Bartsch/Dr. Maximilian Festl-Wietek
PS: Sie interessieren sich für dieses Thema? Dann könnte unsere Webinarreihe zum regulatorischen Rahmen für den Einsatz von künstlicher Intelligenz nach dem AI Act interessant für Sie sein.
