KI-Verordnung

Erfahren Sie in diesem Beitrag, wie die EU mit der KI-Verordnung (KI-VO) einen umfassenden Rechtsrahmen zur Regulierung von Künstlicher Intelligenz etabliert.

Von Prof. Dr. Christiane Wendehorst, LL.M und Prof. Dr. Mario Martini, Herausgeberin und Herausgeber des Kommentars zur KI-VO.

Was bezweckt die KI-VO?

Ob in Sprachassistenten, Navigationssystemen, personalisierten Empfehlungen oder bei der Bearbeitung von Urlaubsfotos: Künstliche Intelligenz ist in vielen Bereichen unseres Alltags nicht mehr wegzudenken. Wie die Europäische Union die Risiken, die von dieser Technologie ausgehen, einfangen will, beantwortet sie nunmehr in der KI-VO.

Was sind Kernelemente der KI-VO?

Zwei Kernelemente durchziehen das komplexe Regelwerk wie ein roter Faden: der produktsicherheitsrechtliche und der risikobasierte Ansatz.

1. Die KI-VO versteht sich vorrangig als Sicherheitsrecht für KI-Systeme und für Produkte, die KI-Systeme integrieren. Deshalb orientiert sie sich auch in weiten Teilen an der Systematik des bereits bestehenden Produktsicherheitsrechts.
2. Der risikobasierte Ansatz der KI-VO, der sich in jüngerer Zeit im Bereich der Technikregulierung durchzusetzen beginnt, folgt dem Bauplan einer Risikopyramide: Er teilt KI-Systeme in Klassen ein, um ihre Anbieter und Betreiber nicht stärker zu belasten, als dies erforderlich ist. Der Ansatz ist damit letztlich Ausfluss des Verhältnismäßigkeitsprinzips.

KI-VO: Welche Stufe der Risikopyramide greift?

Auf welcher Stufe der »Risikopyramide« ein System einzuordnen ist, bestimmt sich nach zwei Kriterien: dem Schweregrad eines möglichen Schadens und dessen Eintrittswahrscheinlichkeit. Besonders gefahrenträchtige Praktiken wie Social-Scoring oder Systeme, die die Vulnerabilität bestimmter Personen oder Personengruppen ausnutzen, verbietet der Unionsgesetzgeber gänzlich. Systeme, die zwar ein hohes Risiko bergen, aber ein generelles Verbot nicht zwingend erfordern (sog. Hochrisiko-KI-Systeme), presst die KI-VO in ein strenges Regulierungskorsett.

Nicht nur die Anbieter, sondern auch die Betreiber müssen die entsprechenden Anforderungen und Pflichten erfüllen. Bei Systemen mit besonderem Transparenzrisiko lässt es die KI-VO grundsätzlich bei Offenlegungspflichten bewenden. Eine eigene Stufe in der Risikopyramide nehmen die KI-Modelle mit allgemeinem Verwendungszweck, vor allem generative KI (z.B. ChatGPT), ein. Für sie etabliert die KI-VO insbesondere spezifische Risikobewertungs- und -analysepflichten, welche die mitunter nicht leicht vorhersehbaren Gefahren solcher Systeme einhegen sollen.

Welche weiteren Vorgaben für KI-Systeme gibt es?

Die KI-VO ist längst nicht der einzige Rechtsakt, der normative Vorgaben für KI-Systeme etabliert. Zum einen unterliegen KI-Systeme bereits produktsicherheitsrechtlichen Regelungen, die eng mit der KI-VO verwoben sind (z.B. dem Medizinprodukterecht).

In den letzten Jahren hat der Unionsgesetzgeber überdies eine Reihe weiterer Digitalrechtsakte aus der Taufe gehoben, die für einzelne KI-Systeme relevante Vorgaben enthalten: vom Digital Services Act und dem Digital Markets Act bis hin zu sektoralen Rechtsakten wie der Verordnung über die Transparenz und das Targeting politischer Werbung oder der Richtlinie zur Plattformarbeit.

Der Einsatz von KI-Systemen unterliegt aber auch allgemeinen Schranken, etwa des Anti-Diskriminierungs- oder Verbraucherschutzrechts und – last, but certainly not least – des Datenschutzrechts.

Wie die Regelungen ineinandergreifen, wirft viele Fragen auf. Im Grundsatz gilt: Systeme, welche die KI-VO erfasst, müssen zugleich die Anforderungen der anderen Rechtsakte erfüllen, insbesondere der DS-GVO (bzw. der parallel ausgestalteten JI-RL) sowie der nationalen Datenschutz-Vorschriften. Hinzu kommen beispielsweise die Vorschriften des Telekommunikationsrechts, welche die E-Privacy-RL umsetzen.

Blick in die Zukunft: Was wird die KI-VO bringen?

Ob die KI-VO eine Erfolgsgeschichte schreibt, wird wesentlich davon abhängen, wie die verschiedenen Maßnahmen zur Innovationsförderung, die sie vorsieht, in der Praxis greifen – viel auch davon, auf welche Weise die Aufsichtsbehörden die abstrakten Regeln in konkrete Regulierungsmaßnahmen herunterbrechen. Klar ist aber bereits heute: Einen Rechtsrahmen mit Leben zu füllen, der Europa einerseits als innovationsfreundlichen KI-Standort etablieren will, andererseits aber ein hohes Niveau des Grundrechtsschutzes einfordert, wird noch manchen Feinschliff brauchen.

(Ende des Gastbeitrags von Prof. Dr. Christiane Wendehorst, LL.M und Prof. Dr. Mario Martini)

Bußgelder im Überblick

• Bei Verstößen gegen Art. 5 KI-VO (verbotene KI-Systeme) drohen Geldbußen von bis zu 7 % des weltweiten Vorjahresumsatzes oder bis zu 35 Millionen Euro.
• Bei Verstößen gegen weitere Pflichten, die nach Artikel 99 KI-VO sanktionsbewehrt sind, können Bußgelder in Höhe von bis zu 3 % des weltweiten Vorjahresumsatzes oder bis zu 15 Millionen Euro drohen.
• Bei Nichteinhaltung der Auskunftspflichten gegenüber Behörden und weiteren sog. „notifizierten Stellen“ können Bußgelder in Höhe von 1 % des weltweiten Vorjahresumsatzes oder bis zu 7,5 Millionen Euro fällig werden.

(Der jeweils höhere Betrag ist maßgeblich.)

Quellen: NJW 2024, 2641 // KIR 2024, 62 // VO (EU) 2024/1689

Fazit zu KI-VO-Bußgeldern

Die von der KI-VO festgesetzten Bußgelder können Unternehmen empfindlich treffen. Unternehmen und andere Akteure sollten die Vorgaben der KI-Verordnung schnellstmöglich in ihre KI-Strategie integrieren und umsetzen.

Ein zentraler Aspekt ist die erfolgreiche Verteidigung gegen Bußgelder. Durch die Priorisierung von Prozessen und Strukturen sowie die sorgfältige Dokumentation der Einhaltung lassen sich Fehler vermeiden.

Bleiben Sie daher informiert und handeln Sie proaktiv! Denn das Thema KI gewinnt nicht nur an gesellschaftlicher Relevanz, sondern mit wegweisenden Gesetzen wie der europäischen KI-Verordnung auch immer mehr an rechtswissenschaftlicher Brisanz. 

Aktuelles Fachwissen bietet Ihnen C.H.BECK – unter anderem mit der Fachzeitschrift KIR – Künstliche Intelligenz und Recht, Kommentaren, Handbüchern und dem beck-online-Modul KI und Recht. 

Die KIR, die erste juristische Fachzeitschrift zu sämtlichen Entwicklungen und Herausforderungen im Bereich KI, informiert Sie zuverlässig einmal im Monat über alles Wesentliche und verfolgt dabei einen konkret interdisziplinären Ansatz.

Der Leitfaden stellt das neue Recht anschaulich vor, ordnet es anhand von Beispielen ein und gibt wertvolle Praxistipps auf dem Weg zur KI-Kompetenz. Neben der KI-Verordnung bleiben andere Rechtsgebiete wie Datenschutz-, Urheber- und Arbeitsrecht auch beim Einsatz weniger risikobehafteter KI-Systeme bedeutsam. Der Leitfaden setzt sie in den Kontext zum neuen KI-Recht.

Stand: November 2024