KI-Verordnung: EU reguliert Einsatz künstlicher Intelligenz

KI-Verordnung (KI-VO, auch ): Die EU möchte Entwicklung und Einsatz künstlicher Intelligenz regulieren. Hierzu liegt inzwischen ein Vorschlag für eine Verordnung über ein europäisches Konzept für Künstliche Intelligenz vor, wobei aus meiner Sicht zuvorderst besonders spannend die Frage sein dürfte, was man überhaupt unter künstlicher Intelligenz verstehen möchte.

Im Übrigen ist es noch recht früh für eine umfassende Übersicht der KI-Verordnung. Wichtig ist: Es soll einen Katalog absolut verbotener Einsatz-Szenarien von KI geben, es soll eine „High-Risk“-KI geben, für die besondere Vorgaben gelten; darüber hinaus gibt es Transparenzpflichten bei eingesetzter KI.

Die EU betreibt das Thema KI mit Augenmerk. Das Ziel der EU-Kommission ist nach eigener Aussage ein Aufbau vertrauenswürdiger KI für ein sicheres und innovationsfreundliches Umfeld. Hierzu hat die Kommission vor allem drei miteinander verbundene Rechtsinitiativen auf den Weg gebracht:

RA JF schreibt hier im Blog und bietet ergänzend Vorträge rund um Datenschutz, Softwarerecht, digitale Ermittlungen & Beweise samt Cybersecurity + Cybercrime!

Update zum Stand der KI-Verordnung: Am 19.10.2022 hat die (tschechische) EU-Ratspräsidentschaft einen neuen Kompromiss vorgeschlagen, Ziel ist gegen Ende des Jahres 2022 eine Einigung für ein „KI-Gesetz“ zu finden. In dem 8. Vorschlag werden wesentliche Streitpunkte aufgegriffen. Am 11.5. wurde dann ein Kompromissvorschlag gefunden und beschlossen (der aber noch durch die weitere Gesetzgebung muss). Mehr dazu unten im Abschnitt „laufende Updates“.

Hinweis: Hier geht es um den Entwurf einer Verordnung zur Regulierung von KI („KI-Verordnung“, auch „AI Act“). Dies ist nicht zu verwechseln mit dem zugleich laufenden Versuch der EU, zivilrechtliche Haftungsregelung für künstliche Intelligenz aufzustellen, dazu siehe beispielsweise den zwischenzeitlich beschlossenen Text hier.

Definition von KI in der KI-Verordnung (AI-Act)

Der Versuch einer Definition der KI findet sich in der KI-VO in Artikel 3 (1):

Original Wortlaut:
‘artificial intelligence system' (AI system) means software that is developed with one or more of the techniques and approaches listed in Annex I and can, for a given set of human-defined objectives, generate outputs such as content, predictions, recommendations, or decisions influencing the environments they interact with;

Freie Übersetzung:
System mit künstlicher Intelligenz“ (KI-System): Software, die mit einer oder mehreren der in Anhang I aufgeführten Techniken und Ansätzen entwickelt wurde und für eine gegebene Menge von durch den Menschen definierten Zielen Ausgaben wie Inhalte, Vorhersagen, Empfehlungen oder Entscheidungen erzeugen kann, die die Umgebungen beeinflussen, mit denen sie interagieren;

Die Frage ist damit, was im Anhang (Annex) I der KI-Verordnung hierzu geregelt ist und dort findet man dann etwas detaillierter:

Original Wortlaut:
(a) Machine learning approaches, including supervised, unsupervised and reinforcement learning, using a wide variety of methods including deep learning;
(b) Logic- and knowledge-based approaches, including knowledge representation, inductive (logic) programming, knowledge bases, inference and deductive engines, (symbolic) reasoning and expert systems;
(c) Statistical approaches, Bayesian estimation, search and optimization methods.

Freie Übersetzung:
a) Ansätze des maschinellen Lernens, einschließlich überwachtem, unüberwachtem und verstärktem Lernen, unter Verwendung einer Vielzahl von Methoden, einschließlich Deep Learning;
b) Logik- und wissensbasierte Ansätze, einschließlich Wissensrepräsentation, induktive (logische) Programmierung, Wissensbasen, Inferenz- und Deduktionsmaschinen, (symbolisches) Schließen und Expertensysteme;
(c) Statistische Ansätze, Bayes'sche , Such- und Optimierungsmethoden.

Man merkt bei diesem Abschnitt der KI-Verordnung schnell: Speziell Buchstabe B, aber insbesondere auch C, bedeuten eine massive Ausweitung des Begriffes der KI im Rahmen der KI-Verordnung. Wer hier nur maschinelles Lernen vor Augen hat, wird bei solchen Definitionen zu kurz greifen. Tatsächlich dürfte jede komplexere Software, die Prognosen auf Basis statistischer Daten vornimmt oder bereits vorhandene Prozesse – auch ohne maschinelles Lernen – zu optimieren versucht, unter den Begriff der KI fallen. Allerdings muss abgewartet werden, was sich im weiteren Gang der Gesetzgebung noch ergibt, es wird heftig um die Inhalte der KI-Verordnung gestritten.


Absolut verbotene Bereiche in der KI-VO für KI

Es soll in der KI-Verordnung ausgesuchte (durchaus umfangreiche) Szenarien geben, in denen der Einsatz von KI verboten ist, daraus in aller Kürze:

  • unterschwellige Techniken außerhalb des Bewusstseins einer Person zur Verhaltensbeeinflussung einer Person dergestalt, dass körperlicher oder psychischer Schaden entsteht oder entstehen kann;
  • Ausnutzung der Schwächen einer bestimmten Personengruppe aufgrund ihres Alters oder einer körperlichen oder geistigen Behinderung zur Verhaltenssteuerung mit Potential dass körperliche oder psychische Schäden entsteht oder entstehen können;
  • Einsatz von KI durch Behörden oder in deren Auftrag zur Bewertung oder Einstufung der Vertrauenswürdigkeit natürlicher Personen über einen bestimmten Zeitraum auf der Grundlage ihres Sozialverhaltens oder bekannter oder vorhergesagter persönlicher oder Persönlichkeitsmerkmale, wobei die soziale Bewertung zu einem der folgenden Punkte oder zu beiden führt
    — nachteilige oder ungünstige Behandlung bestimmter natürlicher Personen oder ganzer Gruppen davon in sozialen Kontexten, die nichts mit den Kontexten zu tun haben, in denen die Daten ursprünglich erzeugt oder gesammelt wurden;
    — eine nachteilige oder ungünstige Behandlung bestimmter natürlicher Personen oder ganzer Gruppen von ihnen, die ungerechtfertigt ist oder in keinem Verhältnis zu ihrem sozialen Verhalten oder dessen Schwere steht;
  • Verwendung von „Echtzeit“-Fernerkennungssystemen zur biometrischen Identifizierung in öffentlich zugänglichen Räumen zum Zweck der Strafverfolgung, es sei denn, diese Verwendung ist für eines der folgenden Ziele unbedingt erforderlich: gezielte Suche nach bestimmten potenziellen Opfern von Straftaten, einschließlich vermisster Kinder; Verhinderung einer spezifischen, erheblichen und unmittelbaren des oder der physischen Sicherheit natürlicher Personen oder eines Terroranschlags; Aufdeckung, Lokalisierung, Identifizierung oder Verfolgung eines Täters oder Verdächtigen einer Straftat (mit von mindestens drei Jahren bedroht)
KI-Verordnung: Rechtsanwalt Ferner, Fachanwalt für IT-Recht, zur KI-Verordnung (KI-VO)

Wir erleben in diesem Jahrzehnt die zunehmende digitale Transformation der EU: Die KI-Verordnung ist dabei ein wesentlicher Baustein in einer ganzen Palette an Maßnahmen. Software-Entwickler werden diese Entwicklung beobachten müssen.

High-Risk-KI in der KI-Verordnung („KI-VO“)

Als „High-Risk“-KI mit besonderen (Melde-)Anforderungen und -Erwartungen gelten in der KI-Verordnung KI-Systeme mit diesen Faktoren:

  • das KI-System ist dazu bestimmt, als Sicherheitsbauteil eines Produkts verwendet zu werden, oder ist selbst ein Produkt, das unter die in Anhang II aufgeführten Harmonisierungsrechtsvorschriften der Union fällt;
  • das Produkt, dessen Sicherheitsbauteil das KI-System ist, oder das KI-System selbst als Produkt muss im Hinblick auf das Inverkehrbringen oder die Inbetriebnahme dieses Produkts einer Konformitätsbewertung durch einen Dritten gemäß den in Anhang II aufgeführten Harmonisierungsrechtsvorschriften der Union unterzogen werden;
  • wenn man unter eines der Systeme des Annex III fällt, hierzu gehören insbesondere Anwendungsbeispiele aus den Bereichen biometrische Systeme, Beschäftigung und Arbeitnehmermanagement, geplanter Einsatz im Bereich der Justiz und ausdrücklich im Bereich der Risikoeinschätzung und bei Polygraphen, bei Migration und Asyl.
  • Speziell im Arbeitsrecht wird als „High-Risk“ erfasst: KI-Systeme, die dazu bestimmt sind, für die oder Auswahl natürlicher Personen verwendet zu werden, insbesondere für die Ausschreibung freier Stellen, die Sichtung oder Filterung von Bewerbungen, die Bewertung von Kandidaten im Rahmen von Vorstellungsgesprächen oder Tests; sowie eine KI, die dazu bestimmt ist, Entscheidungen über die Beförderung und Beendigung von arbeitsbezogenen Vertragsverhältnissen, die Aufgabenzuweisung sowie die Überwachung und Bewertung der Leistung und des Verhaltens von Personen in solchen Verhältnissen zu treffen.

Transparenzpflichten der KI-VO für bestimmte KI-Systeme

Wer eine KI anbietet, muss mit der KI-Verordnung sicherstellen, dass KI-Systeme, die für die Interaktion mit natürlichen Personen bestimmt sind, so konzipiert und entwickelt werden, dass natürliche Personen darüber informiert werden, dass sie mit einem KI-System interagieren – es sei denn, dies ergibt sich aus den Umständen und dem Kontext der Nutzung.

Diese Verpflichtung gilt allerdings nicht für KI-Systeme, die gesetzlich zur Aufdeckung, Verhütung, Untersuchung und Verfolgung von Straftaten befugt sind! Hier wird also schon die Türe aufgelassen für verdeckt operierende KI im Internet. Weiterhin gilt:

  • Die Nutzer eines Emotionserkennungssystems oder eines Systems zur biometrischen Kategorisierung müssen die natürlichen Personen, die dem System ausgesetzt sind, über den Betrieb des Systems informieren;
  • Benutzer eines KI-Systems, das Bild-, Audio- oder Videoinhalte generiert oder manipuliert, die spürbar existierenden Personen, Objekten, Orten oder anderen Einheiten oder Ereignissen ähneln und einer Person fälschlicherweise als authentisch oder wahrheitsgemäß erscheinen würden („Deep Fake“), müssen offenlegen, dass der Inhalt künstlich erzeugt oder manipuliert wurde;

Update: Vorschlag für eine KI-Verordnung im Oktober 2022

Im Zuge der Verhandlungen wurde eingebracht, dass der EU-Kommission die Befugnis eingeräumt werden soll, die Liste der KI-Risikobereiche zu erweitern. Zudem wurden die Geldbußen angepasst: Die verbotenen Praktiken sollen nun mit einem Bußgeld bis 40 Millionen Euro oder 7 Prozent des Jahresumsatzes bewehrt sein. Verstöße gegen die Bestimmungen zur Data Governance sehen Geldbußen von bis zu 20 Millionen Euro oder 4 Prozent vor. Im Bundestag wurde die Verordnung von den dortigen Sachverständigen im September 2022 kritisch gesehen.

Im April 2023 versuchte man den Weg, Generative KI als eigenen Teil zu regeln, was nun in die finale Abstimmung geht (hier wird dazu erst etwas geschrieben, wenn der Text in konsolidierter Fassung vorliegt). Am 11.5. kam dann ein beschlossener finaler Kompromiss, der in die Gesetzgebung geht, in dem nach bisherigem Eindruck aber keine Sondervorschriften für generative KI im eigentlichen Sinn existieren (dazu bei mir bei LinkedIn). Der Vorschlag jetzt ist umfangreich und braucht Zeit, um aufgearbeitet zu werden, dieser Beitrag wird auf die neue Fassung noch angepasst werden.

Fazit zu KI-Verordnung

Es kommt einiges mit der KI-Verordnung auf uns zu, Softwareentwickler werden nicht umhinkommen, ihre KI-Entwicklungen ideal schon heute auf die Anforderungen auszurichten, die sicherlich übermorgen erst kommen werden. Insbesondere muss das Risiko gesehen werden, sehenden Auges etwas zu entwickeln, was heute noch zulässig ist, aber nach einem gewissen Zeitablauf zumindest erheblichen (kostenintensiven) Compliance-Maßnahmen und Meldepflichten unterliegt. Da es vorliegend um eine Verordnung geht, wird diese unmittelbar nach Verabschiedung in allen EU-Mitgliedsstaaten gelten, es wird also bei der KI-Verordnung nicht noch die Umsetzung durch nationale Gesetzgeber abzuwarten sein.

Ich werde mich auch weiter der Thematik der KI-Regulierung in der EU widmen, hier ging es erst einmal nur um einen Ausgangsbeitrag, damit einzelne Aspekte vertieft werden können, sobald absehbar ist, dass die Verordnung konkretere Abstimmungen durchlaufen hat. Im Übrigen wird die Regulierung der Haftung von KI-Systemen durchaus kritische Fragen aufwerfen.

Linktipp: Lesenswert ist dazu auch ein Beitrag bei Spektrum der Wissenschaft!

Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)
Letzte Artikel von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht) (Alle anzeigen)
Benutzerbild von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht. Vor meinem Leben als Anwalt war ich Softwareentwickler. Ich bin Autor sowohl in einem renommierten StPO-Kommentar als auch in Fachzeitschriften.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht, Arbeitsrecht und IT-Recht / Technologierecht. Beachten Sie unsere Tätigkeit im Steuerstrafrecht, digitaler gewerblicher Rechtsschutz, IT-Sicherheitsrecht sowie Softwarerecht.