Künstliche Intelligenz (KI) ist auch 2021 weiterhin ein Hot Topic. Digitale Transformation wird regelmäßig in einem Atemzug mit KI gedacht, letztere wirft aus ethischer und rechtlicher Sicht viele zusätzliche Fragen auf. Die EU Kommission hat am 21. April 2021 den Entwurf einer Verordnung zu harmonisierten Regelungen für KI (den „KI Verordnungsentwurf“) veröffentlicht. Der sehr komplexe KI Verordnungsentwurf umfasst mehr als 80 Seiten. Es geht darin insbesondere um verbotene KI Praktiken, „high-risk“ KI Systeme, Informationspflichten und die Einführung eines „European Artificial Intelligence Boards“. Für Verstöße gegen die Vorgaben der Verordnung ist eine der DSGVO ähnliche Sanktionsregelung vorgesehen. Möglich erscheint, dass die KI Verordnung ähnlich wie die DSGVO maßgeblich zu der Formung globaler Standards auf diesem Gebiet beitragen wird.

1. Worum geht es überhaupt?

Die EU-Kommission definiert KI als Software, die durch bestimmte Techniken oder Ansätze für ein bestimmtes Set an menschlich-definierten Zielen einen bestimmten Output (z. B. Inhalte, Vorhersagen, Empfehlungen) generiert. Eine Begriffsbestimmung auf diesem Feld ist so bedeutsam wie schwierig, das letzte Wort ist hier noch nicht gesprochen. Schon jetzt wird KI vielfältig eingesetzt; die technische Entwicklung ist der Regulierung wie häufig mehrere Schritte voraus. KI Systeme für Gesichtserkennung, für die Steuerung autonomer Fahrzeuge, für Smart City-Kameras oder medizinische Diagnostik und Therapie sind nur einige Beispiele.

2. Welche KI Systeme sind verboten und was versteht man unter „high-risk“ KI Systemen?

Der KI Verordnungsentwurf verbietet KI Systeme in bestimmten Fällen ausdrücklich. Hierzu gehören insbesondere Systeme, die in der Lage sind, einer Person durch unterbewusste Techniken physischen oder psychischen Schaden zuzufügen. Ebenso werden beispielsweise bestimmte biometrische Echtzeit-Fernidentifizierungssysteme im öffentlichen Raum zum Zwecke der Strafverfolgung verboten, sofern diese nicht z. B. zum Zweck der Verhinderung eines terroristischen Anschlags zwingend erforderlich sind.

Weiter identifiziert der KI Verordnungsentwurf sog. „high-risk“ KI Systeme, deren Zulässigkeit an bestimmte Verpflichtungen geknüpft ist. Zum Beispiel werden KI Systeme als „high risk“ eingeordnet, wenn sie das Leben oder die Gesundheit von Personen in Gefahr bringen, etwa bei Einsatz in kritischen Infrastrukturen. Ein weiteres Beispiel für „high-risk“ KI Systeme sind Systeme, die Entscheidungen über die Einstellung oder die Beförderung eines Arbeitnehmers treffen können. Zu den Vorgaben für den Einsatz von „high-risk“ KI Systemen zählen insbesondere die Bereitstellung eines Risikomanagements und die Pflicht, eine technische Dokumentation zu führen und die KI Systeme durch Menschen überwachen zu lassen. Zusätzlich müssen die „high-risk“ KI Systeme den Anforderungen der Genauigkeit (Accuracy), Belastbarkeit (Robustness) und Cyber-Security entsprechen.

3. Muss der Nutzer über den Einsatz von KI informiert werden?

Der KI Verordnungsentwurf sieht vor, dass die Nutzer eines KI Systems in bestimmten Fällen über den Einsatz von KI zu informieren sind. Dies gilt insbesondere bei „high-risk“ KI Systemen. Anwendungsbeispiele sind außerdem Deepfakes und KI Systeme, die Nutzer emotional beeinflussen können. Deepfakes können insbesondere genutzt werden, um Personen falsch darzustellen (z. B. durch „face swapping“ in einem Video oder Foto, um eine Person in einem anderen Kontext darzustellen).

3. Für wen gelten die Verpflichtungen?

Insbesondere Provider von KI Systemen werden in die Pflicht genommen. Aber auch Importeure, Distributoren, Nutzer der KI Systeme und Dritte können in bestimmten Konstellationen verpflichtet sein.

4. Was gilt im Fall einer Verletzung der KI Verordnung?

Der KI Verordnungsentwurf sieht erhebliche Sanktionen bei Verletzung der Vorgaben vor. Ähnlich dem Ansatz der DSGVO (aber noch höher) können Geldbußen von bis zu EUR 30 Millionen oder im Fall eines Unternehmens 6% des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden. Positiv ist, dass bei der Bemessung u.a. die Interessen von kleineren Dienstleistern und Start-ups zu berücksichtigen sind.

5. Wie geht es weiter?

Eine Handlungspflicht für Unternehmen ergibt sich aus dem KI Verordnungsentwurf nicht. Zunächst durchläuft dieser ohnehin das Gesetzgebungsverfahren der EU, was in Anbetracht der Komplexität des Themas und des damit verbundenen weitreichenden Diskussionsbedarfs einige Zeit dauern dürfte.

Lesenswert ist der KI Verordnungsentwurf vor allem, weil er offenlegt, in welche Richtung die EU-Kommission (Verbote und Strafen) denkt. Das Bedürfnis nach einem innovationsfördernden und zugleich sicheren Rechtsrahmen wird dadurch allenfalls teilweise befriedigt, von der noch lange nicht abgeschlossenen ethischen Diskussion zu schweigen.

Die Praxis wird vorerst weiter auf kreative Lösungen anhand des Instrumentariums aus Immaterialgüterrechten, Datenschutzrecht, Cyber-Security, Vertragsgestaltung und Produkthaftung setzen und damit das KI-spezifische rechtliche Vakuum füllen.

Dentons beteiligt sich auf verschiedenen Ebenen an den Diskussionen über KI und Recht und berät Sie gern hierzu.