Ein Meilenstein für die KI-Verordnung: Europäisches Parlament stimmt dem neuen Rechtsrahmen für Künstliche Intelligenz zu

Was regelt die neue KI-Verordnung?

Anwendungsbereich und begriffliche Vereinheitlichung

Im Mittelpunkt der heiklen Diskussion stand nicht zuletzt die Schaffung einer einheitlichen Definition von „Künstlicher Intelligenz“. Damit wird der Begriff erstmals gesetzlich definiert und steckt zeitgleich den sachlichen Anwendungsbereich der Verordnung insgesamt ab. Anfang 2023 konnten sich die Vertreter der Fraktionen im Europäischen Parlament auf eine einheitliche Definition verständigen. Art. 3 Nr. 1 des KI-Verordnung definiert ein „System künstlicher Intelligenz (KI-System)“, als:

„machine-based system that is designed to operate with varying levels of autonomy and that can, for explicit or implicit objectives, generate outputs such as predictions, recommendations, or decisions that influence physical or virtual environments“.

Die jetzige Definition in dem Änderungsantrag vom 16. Mai 2023 ist damit restriktiver als noch im ersten Entwurf der KI-Verordnung vom 21. April 2021, entspricht aber im Wesentlichen der Definition der Organisation für wirtschaftliche Zusammenarbeit und Entwicklung (OECD).

Risikobasierte Regulierung

Die KI-Verordnung verfolgt einen risikobasierten Regulierungsansatz in Form eines vierstufigen Modells. Die Einordung orientiert sich an den Risiken, die von dem KI-System für den Anwender und mögliche Dritte ausgehen. Je höher die Risiken, desto höher sind die regulatorischen Anforderungen an das KI-System.

Zu den Risikoklassen zählen:

Generative AI

Aufgrund des großen Erfolges von generativen KI-Systemen wie beispielsweise Midjourney, ChatGPT oder Bard wird nun versucht, auch diese adäquat in der Verordnung abzubilden. Diese Art von KI-Systemen wird zukünftig als sogenanntes „Foundation Model“ bezeichnet (vgl. Art. 3 Nr. 1c KI-Verordnung). Ungeachtet der Klassifizierung unter Risikogesichtspunkten ergeben sich bereits allein aus der Einstufung eines KI-Systems als „Foundation Model“ bestimmte Beschränkungen. Insbesondere für die Anbieter solcher KI-Systeme sind erhebliche Verpflichtungen vorgesehen, wie beispielsweise Transparenz- und Offenlegungspflichten (vgl. insb. Art. 28b KI-Verordnung).

Wann tritt die KI-Verordnung in Kraft?

Die KI-Verordnung wurde von der EU-Kommission vorgeschlagen und wird im Rahmen eines ordentlichen Gesetzgebungsverfahren erlassen (Art. 294 AEUV). Nach der Annahme durch den Ministerrat (sog. Rat der EU) und nun auch durch das Europäische Parlament schließen sich nun die abschließenden Verhandlungen zwischen Kommission, Rat und Parlament an (sog. „Trilogverfahren“).

Sofern im Rahmen des Trilogverfahren noch in diesem Jahr eine Einigung erzielt werden kann, könnte der Vorschlag Mitte 2024 formell in Kraft treten. Da es sich um eine Verordnung handelt, wäre sie nach Art. 288 Abs. 2 S. 2 AEUV eigentlich unmittelbar anwendbar. Allerdings sieht die KI-Verordnung in Art. 85 Abs. 2 KI-Verordnung eine Übergangsfrist von 24 Monaten vor. Insgesamt bleibt somit allen Betroffenen noch etwas Zeit, um sich auf die Auswirkungen der KI-Verordnung vorzubereiten.

Was können Unternehmen heute schon tun?

Bereits heute sollten Unternehmen sich auf die Einfügung der KI-Verordnung vorbereiten. Dies gilt insbesondere dann, wenn KI-Systeme in wesentlichen Unternehmensfunktionen eingesetzt werden sollen oder wenn mit der Einfügung erheblichen Investitionskosten verbunden sind. Sollte sich etwa später herausstellen, dass mit Blick auf den geplanten Einsatzzweck ein Hochrisiko oder gar verbotenes KI-System vorliegt, könnte der Einsatz ab dem Geltungsbeginn der KI-Verordnung nur noch eingeschränkt oder gar nicht zugelassen sein und zusätzliche Kosten, welche mit der Erfüllung der Anforderungen der KI-Verordnung verbunden sind, entstehen.

Aber auch losgelöst von der KI-Verordnung sollte bereits heute vor jedem Einsatz eines KI- Systems die rechtlichen Implikationen bedacht werden. Hierzu gehören insbesondere:

Gewerbliche Schutzrechte: Zum Training benötigen viele KI- Systeme große Mengen an Daten, welche regelmäßig aus öffentlich zugänglichen Quellen beschafft werden, ohne das in jedem Fall sichergestellt ist, dass eine entsprechende Verwendung auch zulässig ist. Daneben sollten Unternehmen daran denken, dass zumindest in Deutschland keine Schutzrechte an den von generativen KI- Systemen entwickelten Ergebnissen erlangt wird, was je nach beabsichtigtem Verwendungszweck bedacht werden sollte.

Vertraulichkeit: Soweit die KI- Systeme die Bereitstellung von Informationen durch den Nutzer voraussetzt (etwa durch die Eingabe vom ‚Prompts‘), muss entweder durch technisch-organisatorische Maßnahmen der Schutz der Daten gewährleistet sein oder der Einsatz zumindest insoweit durch entsprechende Arbeitsanweisungen untersagt werden, als das keine vertraulichen Informationen oder Geschäftsgeheimnissen durch die KI verarbeitet werden.

Datenschutz: Wenn durch die KI- Systeme personenbezogene Daten verarbeitet werden, müssen die Anforderungen der DS-GVO und der in den jeweiligen Mitgliedsstaaten geltenden Gesetze eingehalten werden. Neben der Bestimmung der datenschutzrechtlichen Rollen der beteiligen Parteien, der Einhaltung der damit einhergehenden Pflichten (etwa der Sicherstellung von geeigneten Rechtsgrundlagen für alle Verarbeitungsvorgänge sowie der Vereinbarung und Umsetzung von angemessenen technisch-organisatorischen Maßnahmen) gehört hierzu auch die Durchführung von Datenschutzfolgeabschätzungen oder, beim Transfer der Daten in ein Drittland, ein Transfer Impact Assessment. Daneben sollte auch frühzeitig überlegt werden, wie die Betroffenenrechte eingehalten werden. Da die KI-Verordnung nur vereinzelte datenschutzrechtliche Regelungen (vgl. z.B. Art. 10 KI-Verordnung) enthält, wird in Zukunft das Zusammenspiel von DS-GVO und KI-Verordnung eine wichtige Rolle einnehmen, etwa im Fall einer „Doppelverpflichtung“.

Nutzungsbedingungen: Vor dem Einsatz von KI-Systemen sollten die dahinterliegenden Nutzungsbedingungen sorgfältig geprüft werden, etwa im Hinblick auf die Details des Leistungsversprechens, die Haftungsregelungen, die datenschutzrechtliche Dokumentation oder die Vertraulichkeitsregelungen. Gerade bei öffentlich zugänglichen KI-Systemen, bei denen das Unternehmen (noch) nicht zwingend einen Vertrag mit dem KI-Provider abschließen muss, wird dies regelmäßig vergessen und damit Systeme genutzt, die rechtlich riskante Vertragsregelungen enthalten und in vielen Fällen den unternehmensinternen Vorgaben widersprechen.

Für einer tiefergehende rechtliche Analyse wird Deloitte Legal in Kürze eine neue Publikation bereitstellen.

Unsere Deloitte Legal-Experten stehen Ihnen für Fragen zur Verfügung. Sprechen Sie uns gerne an!

_{Stand: juni 2023}