Nachdem zuvor bereits ein (inoffizieller) Entwurf der geplanten EU-Verordnung zu künstlicher Intelligenz (Artificial Intelligence, AI) geleakt wurde, hat die Union am 21. April 2021 offiziell den aktuellen Entwurf zur umfassenden Regelung von AI vorgestellt. Der aktuelle Entwurf unterscheidet sich in maßgeblichen Punkten von der geleakten Version.
Anwendungsbereich und Übersicht
Dreh und Angelpunkt der gesamten Verordnung ist – wenig überraschend – der Begriff „Artificial Intelligence“, wobei dieser in der Verordnung sehr weit definiert wird. Vereinfacht gesagt wird von der Verordnung jede Software erfasst, die durch verschiedene Methoden – zum Beispiel maschinelles Lernen, statistische bzw. logikbasierte Ansätze sowie Such- und Optimierungsmethoden – selbstständig Ergebnisse – zum Beispiel Vorhersagen, Empfehlungen oder Entscheidungen – generiert.
In geografischer Hinsicht erfasst die Verordnung neben AI-System innerhalb der Union auch deren Entwickler und Betreiber unabhängig von deren Sitz; die Verordnung nimmt daher in weiten Teilen eine weltweite Geltung ein, sofern ein gewisser Bezug zur Union besteht.
Die Verordnung sieht im Wesentlichen (i) das Verbot bestimmter AI-Systeme (Kapitel II), (ii) strenge Regelungen betreffend AI-Systeme mit hohem Risiko (Kapitel III) sowie (iii) Transparenzvorschriften (Kapitel IV) vor. Zur Förderung der Innovationskraft innerhalb der Union sind auch Innovationsfördermaßnahmen (Kapitel V) vorgesehen.
Flankiert wird dies durch Regelungen zur regulatorischen Überwachung und Behördenzuständigkeit (Kapitel VI bis VIII) sowie einem strengen Strafregime (Kapitel X).
Verbot bestimmter AI-Systeme
Die Verordnung sieht ein Verbot besonders sensibler oder sozial verpönter AI-Systeme vor. Dazu zählen (vereinfach gesagt)
- AI-Systeme zum Zweck der Manipulation menschlichen Verhaltens
- diskriminierende AI-Systeme
- AI-Systeme zum Zweck des Social-Scorings
- AI-Systeme zur biometrischen Echtzeiterkennung zum Zweck der Strafverfolgung
Diese Verbote gelten teilweise nicht absolut, sondern vielmehr sind solche AI-Systeme unter bestimmten Auflaufen bzw. zu bestimmten in der Verordnung genannten Zwecken zulässig.
AI-Systeme mit hohem Risiko
Eines der Kernstücke der Verordnung – auch gemessen am Umfang – sind die Regelungen zu AI-Systemen mit hohem Risiko. Anhang III der Verordnung enthält eine umfangreiche Auflistung von AI-System die als solche mit hohem Risiko gelten sollen; dazu zählen beispielsweise biometrische Erkennungssysteme, AI-Systeme im Bereich des Recruitings sowie der Bewertung von Mitarbeiter:Innen, eine Vielzahl verschiedener AI-System im Bereich der Strafverfolgung und des Rechtssystems sowie des Fremdenwesen (Asyl, Grenzbewachung etc).
Wesentlich ist, dass in diesen Bereichen das AI-System niemals endgültige Entscheidungen treffen darf. Ai-Systeme dürfen bloß als Unterstützung eingesetzt werden, wobei die Entscheidung selbst stets von einem Menschen getroffen werden muss.
Außerdem sind die Anbieter derartiger AI-System mit hohem Risiko verpflichtet Konformitätsprüfungen ihrer Systeme vorzunehmen und Qualitäts- und Risk-Management-Systeme einzurichten.
Transparenzvorschriften
Betreiber verschiedener AI-Systeme treffen aufgrund der Verordnung überdies Transparenzvorschriften.
Betreiber von AI-System die mit Menschen interagieren (z.B. Chat–Bots) müssen darauf hinweisen, dass die Interaktion nicht mit einem Menschen, sondern einem AI-System stattfindet. Dasselbe gilt für Deep-Fake-generierte Inhalte. Bei AI-System zur Erkennung von Emotionen oder zur Kategorisierung anhand von biometrischen Merkmalen ist über die Identität des Betreibers des AI-System aufzuklären.
Innovationskraft
Die Verordnung soll AI-System jedoch nicht bloß reglementieren und beschränken, sondern ganz bewusst auch die Innovation solcher Systeme fördern. Daher können neuartige AI-Systeme für einige Zeit in sog. „Sandboxes“ der nationalen Aufsichtsbehörden getestet werden. Die Aufsichtsbehörden sollen hierfür nicht bloß einen Rahmen schaffen sondern den Unternehmen auch beratend zur Seite stehen.
Strafen
Die Union orientiert sich bei den Strafen bei Verstößen gegen die Verordnung an den Reglungen der Datenschutz-Grundverordnung und geht noch über diese hinaus. Der Strafrahmen liegt bei 6 % des weltweiten Konzernumsatzes oder EUR 30.000.000, je nachdem welcher Betrag höher ist.
Wie die Strafpraxis zur Datenschutz-Grundverordnung zeigt, ist davon auszugehen, dass diese Strafrahmen auch ausgeschöpft werden, sodass Unternehmen, die AI-Systeme einsetzen, gut beraten sind, sich frühzeitig um „AI-Compliance“ zu kümmern.
Ausblick
Bei dem aktuellen Entwurf handelt es sich um ein Arbeitsdokument der Union, das – wie auch die Änderungen zwischen dem geleakten und offiziellem Entwurf zeigen – im weiteren Normgebungsverfahren bestimmt noch umfangreichen Überarbeitungen und Änderungen unterzogen werden wird. Mit Inkrafttreten der Verordnung werden Unternehmen, die AI-Systeme eisnetzen, jedoch – unabhängig vom endgültigen Regelungsinhalt – jedenfalls in die Pflicht genommen.
Positiv zu bewerten ist jedoch, dass die Union versucht, frühere Fehler, bei denen ein Rechtsrahmen meist um bereits etablierte Techniken „herum“ geschaffen wurde, zu vermeiden und aktuelle technische Entwicklungen frühzeitig antizipiert und legistisch darauf reagiert.
Stay tuned! Wir bleiben es auch. Für Fragen steht Ihnen unser „IT & Digitalisierung“-Team gerne zur Verfügung.
Alexander Höller