Künstliche Intelligenz (KI) prägt zunehmend unsere digitale Welt und kommt in einer Vielzahl von Anwendungen zum Einsatz – von personalisierten Empfehlungen in Streaming-Diensten bis hin zu Entscheidungshilfen bei der Kreditvergabe oder Stellenbesetzung. Trotz ihrer weiten Verbreitung und Bedeutung gab es bisher in der Europäischen Union (EU) keinen Rechtsrahmen, der speziell die Nutzung und Entwicklung von KI-Systemen regelt. Dies ändert sich nun grundlegend mit der Verabschiedung des AI Act durch das Europäische Parlament am 13. März 2024, einem Pionierwerk in der weltweiten Regulierung von KI.

Der AI Act basiert auf der Definition von KI-Systemen der Organisation für wirtschaftliche Zusammenarbeit und Entwicklung (OECD). Diese werden als maschinenbasierte Systeme verstanden, die autonom agieren, anpassungsfähig sind und aus Eingaben Ergebnisse generieren können, die physische oder virtuelle Umgebungen beeinflussen. Die Verordnung klassifiziert KI-Systeme in verschiedene Risikokategorien – von unannehmbaren Risiken bis hin zu minimalen oder keinen Risiken – und legt dementsprechend für jede Kategorie spezifische Regeln fest.

Besonderes Augenmerk wird auf KI-Systeme gelegt, die ein hohes Risiko darstellen und das Leben von Menschen entscheidend beeinflussen können. Dazu gehören beispielsweise Systeme, die über die Vergabe von Krediten oder die Eignung für einen Arbeitsplatz entscheiden. Diese Hochrisiko-KI-Systeme unterliegen strengen Anforderungen, die von den Anbietern eine umfassende Governance-Struktur und eine detaillierte Dokumentation verlangen.

Zu den Neuerungen des AI-Acts gehört die Einführung von verbotenen Praktiken, die bestimmte Anwendungen von KI in der EU verbieten, wie z.B. Social Scoring oder manipulative Verhaltensbeeinflussung. Diese Regelungen sollen die europäischen Werte schützen und die Grundrechte der Bürgerinnen und Bürger wahren.

Im Zentrum der Verordnung stehen die Anbieter von KI-Systemen, die sicherstellen müssen, dass ihre Produkte den neuen Regelungen entsprechen. Dazu gehört auch die Pflicht, das eigene Personal entsprechend zu schulen und für die notwendige KI-Kompetenz zu sorgen. Darüber hinaus ergeben sich spezifische Verantwortlichkeiten für Importeure und Händler von KI-Systemen sowie für deren Betreiber.

Das KI-Gesetz sieht vor, dass Verstöße gegen seine Bestimmungen mit empfindlichen Bußgeldern geahndet werden können. Die Höhe der Bußgelder orientiert sich – ähnlich wie bei der Datenschutz-Grundverordnung (DSGVO) – am weltweiten Jahresumsatz des betroffenen Unternehmens. Die Strafen für Verstöße gegen die Regelungen zu verbotenen KI-Praktiken können bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes betragen, je nachdem, welcher Betrag höher ist.

Nach der Verabschiedung durch das Europäische Parlament steht die Annahme durch den Europäischen Rat noch aus. Die Verordnung wird 20 Tage nach ihrer Veröffentlichung im Amtsblatt der EU in Kraft treten und zwei Jahre nach ihrem Inkrafttreten anwendbar sein. Einige Bestimmungen, z.B. über verbotene Systeme, werden jedoch schon früher wirksam.

Für Unternehmen bedeutet dies, dass sie sich frühzeitig mit den Anforderungen des AI Act auseinandersetzen sollten. Insbesondere Anbieter von risikobehafteten KI-Systemen müssen unter Umständen ihre Produkte anpassen und eine Konformitätsbewertung durchführen. Die Erfahrungen mit der Datenschutz-Grundverordnung zeigen, dass eine frühzeitige Auseinandersetzung mit den Regelungen unerlässlich ist, um die Anforderungen rechtzeitig erfüllen zu können.

Der europäische AI Act setzt damit neue Maßstäbe in der Regulierung von Künstlicher Intelligenz und unterstreicht die Bedeutung ethischer und rechtlicher Rahmenbedingungen im Umgang mit dieser transformativen Technologie. Unternehmen, die KI-Systeme entwickeln, vertreiben oder nutzen, stehen nun vor der Herausforderung, ihre Praktiken an diese umfassenden Regelungen anzupassen, um nicht nur Rechtskonformität zu gewährleisten, sondern auch das Vertrauen der Nutzerinnen und Nutzer in KI-basierte Anwendungen zu stärken.