Künstliche Intelligenz – Wettlauf zwischen Technologie und gesetzlicher Regulierung

Autonomes Fahren, Gesichtserkennung, ChatGPT, Stable Diffusion – die Bereiche in denen Künstliche Intelligenz uns begleitet sind vielfältig und ändern unsere Lebensrealität täglich. Für Unternehmen eröffnet der Einsatz von KI erhebliche Potenziale für Wachstum und Innovation. Um diese Potenziale zu nutzen, aber sich gleichzeitig nicht unüberschaubaren Risiken auszusetzen, bedarf es gesetzlicher Leitlinien. Auf europäischer Ebene soll das derzeitige Regelungsvakuum durch die Verordnung zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz (KI-VO) gefüllt werden. Nach dem ersten Entwurf der Europäischen Kommission im Frühjahr 2021 gibt es seit dem 6. Dezember 2022 einen Kompromissvorschlag des Europäischen Rates.

Künstliche Intelligenz: Der Inhalt der KI-VO

Im Unterschied zum ursprünglichen Entwurf der Kommission, ändert der Kompromissvorschlag des Rates die Definition von KI-Systemen. Wurde vorher KI als Software beschrieben, die Unternehmen nach speziellen Techniken und Konzepten entwickelt haben mussten, fehlt nun der Softwarebezug. Der Vorschlag geht damit auf vielseitig geäußerte Kritik am ursprünglichen KI-Begriff ein. Die Definition aus Art. 3 Nr. 1 KI-VO beruht momentan auf dem Konzept des maschinellen Lernens und der Arbeit mit logik- und wissensgestützten Konzepten zur Datenverarbeitung, um gewisse Ziele zu erreichen, die das mit der KI interagierende Umfeld beeinflussen. Die Diskussion um die Definition von KI dürfte damit aber noch nicht abgeschlossen sein.

Neben der Frage, was KI überhaupt ist, beschäftigt sich die Verordnung auf Grundlage eines risikobasierten Ansatzes mit den Anwendungsbereichen von KI-Systemen. Grundlage für die Klassifizierung ist das potentielle Risiko, welches KI-Systeme für Grundrechte der EU-Bürger darstellen können. Dabei wird zwischen verbotenen KI-Praktiken, Hochrisiko-KI und KI mit geringem und minimalem Risiko unterschieden. Je höher das Risiko, desto höher sind die Anforderung an den Einsatz von KI-Systemen.

Diese Anforderungen erfassen dabei nahezu alle Personen und Unternehmen entlang der Wertschöpfungskette. In Art. 3 der KI-VO werden insbesondere Anbieter, Nutzer, Einführer und Händler von KI-Systemen genannt und umfassen sowohl natürliche als auch juristische Personen. Ähnlich der DSGVO erweitert das Marktortprinzip den Anwendungsbereich auch räumlich über die Grenzen der EU hinaus.

Künstliche Intelligenz – die Herausforderungen

Die Risiko-Klassifizierung von KI-Systemen stellt Unternehmen schon jetzt schon vor die Frage, ob und in welchem Umfang sie von den neuen Regelungen betroffen sein könnten und ob ihr Geschäftsmodell und die dafür eingesetzte Technologie den künftigen Anforderungen aus der KI-VO (bereits) genügt. Verbotene KI-Praktiken werden für die meisten Unternehmen wohl von eher untergeordneter Bedeutung sein. Größere Herausforderungen bietet die Einstufung von Hochrisiko-KI-Systemen, welche auch den Regelungs-Schwerpunkt der KI-VO darstellen.

Die Anforderungen an diese Art von KI-Systemen sind hoch. Der Anforderungskatalog reicht von der Einrichtung eines Qualitätsmanagementsystems nach Art. 17 KI-VO zum Nachweis der Einhaltung der Verpflichtungen der Verordnung, über erforderliche CE-Konformitätskennzeichnungen nach Art. 27 KI-VO, Informations- und Transparenzpflichten nach Art. 13 KI-VO, hin zu aktiver menschlicher Aufsicht gemäß Art. 14 KI-VO. Neben dem KI-System selbst müssen auch die Datensätze, welche zu Trainings-, Validierungs- und Testzwecken verwendet werden, vorgegebenen Qualitäts- und Präzisionsstandards genügen. Darüber hinaus müssen Daten-Governance- und Datenverwaltungsverfahren eingeführt werden, welche bereits ab dem Zeitpunkt der Datenerfassung greifen.

Mehr Rechtssicherheit durch gesetzliche Vorgaben

Die Vorgaben der Verordnung sind umfangreich. Problematisch bleiben aber die konkreten Ausgestaltungen der Anforderungen, welche aktuell noch Fragen aufwerfen. Wenn also Art. 10 der Verordnung vorschreibt, dass die Datensätze für Trainingszwecke relevant, repräsentativ und so weit wie möglich fehlerfrei und vollständig sein müssen, ist dies nachvollziehbar. Für Entwickler, Anbieter und Nutzer von KI-Systemen stellt sich jedoch die Frage, wie diese Anforderungen konkret zu erfüllen sind. Denn der Verordnungstext „so weit wie möglich fehlerfrei und vollständig“ eröffnet einen großen Interpretationsspielraum, welcher wiederum zu mehr Rechtsunsicherheit führt.

Nun könnte man dieser Rechtsunsicherheit entgegenhalten, dass nach Schätzungen der EU-Kommission nur fünf bis 15 Prozent der KI-Systeme aktuell unter die Kategorie Hochrisiko-KI-System fallen. Der Anwendungsbereich der Verordnung schließt jedoch beispielsweise KI-Systeme ein, welche im Rahmen der Verwaltung von Kritischer Infrastruktur, etwa bei Wasser-, Gas-, Wärme- und Stromversorgung als Sicherheitskomponenten verwendet werden sollen oder im Zusammenhang mit Medizinprodukten, In-Vitro-Diagnostik, Kfz und Aufzügen eingesetzt werden. Als sogenannte Sicherheitskomponente wird KI bereits heute im Rahmen von teil- und vollautomatisierten medizinischen Prognostik- und Diagnostikverfahren eingesetzt. Der Anteil der betroffenen Industrie- und Wirtschaftszweige könnte also wesentlich höher liegen.

Haftungsregeln in Bezug auf künstliche Intelligenz

Die offenen Rechtsbegriffe bedürfen daher einer künftigen Konkretisierung. Unternehmen würden sonst das Haftungsrisiko, sich bei der Nutzung von KI unbewusst außerhalb des rechtlichen Dürfens zu bewegen tragen müssen. Haftungsregeln in Bezug auf künstliche Intelligenz werden sich zudem nicht nur aus der KI-VO, sondern insbesondere aus der sich bereits in Arbeit befindlichen KI-Haftungsrichtlinie ergeben. Diese wird ebenfalls auf europäischer Ebene diskutiert. Der Deutsche Anwaltverein ist in seiner Stellungnahme über die außervertragliche zivilrechtliche Haftung beim Einsatz von KI vom Dezember 2022 ebenfalls zu dem Schluss gekommen, dass „angesichts der Reichweite der vorgeschlagenen Änderungen […] es an vielen Stellen Änderungs- und Klarstellungsbedarf [gibt]“.

Dabei gibt Art. 71 KI-VO zur Absicherung der Einhaltung der europäischen Standards als Sanktionsmechanismus Geldbußen bei Pflichtverletzungen vor. Der Höhe nach wird es sich um bis zu 30 Millionen Euro oder im Falle von Unternehmen bis zu sechs Prozent des weltweiten Jahresumsatzes handeln können. Für KMU und Startups sollen sich die Geldbußen, so der Vorschlag des Rats, auf bis zu einem Prozent ihres weltweiten Jahresumsatzes des jeweils vergangenen Geschäftsjahres belaufen.

Eigens einzurichtende Marktüberwachungsbehörden sollen nach Art. 63 KI-VO Zugang zu den die eingesetzten KI-Systeme betreffenden Daten und Dokumentationen erhalten können, um die Einhaltung der Anforderungen aus der KI-VO zu kontrollieren. Kompensationsmöglichkeiten für Schäden, die ein KI-Einsatz verursacht, werden durch den Vorschlag zur KI-Haftungsrichtlinie für den Geschädigten noch erweitert.

Vorteil oder Nachteil für den Wettbewerb?

Die KI-VO ist weltweit ein einzigartiges Projekt. Die gesetzlichen Vorgaben können für Innovation und Wachstum von Unternehmen durch KI-Systeme sorgen, indem sie Rechtssicherheit und dadurch einen Wettbewerbsvorteil bieten. Es bleibt zu hoffen, dass die KI-VO in der letzten bevorstehenden Verhandlungsphase hinsichtlich der offenen Begriffe noch Konkretisierungen erfährt, damit das Innovationspotential nicht durch unklare Haftungsrisiken überschattet wird. Die aktuell noch offenen Formulierungen können dem nicht abgeschlossenen Entstehungsprozesses und dem neuen Regelungsgebiet geschuldet sein. In jedem Fall bedarf es der frühen Vorbereitung auf die Verordnung, diese Lehre sollten alle Akteure aus der Einführung der DSGVO gelernt haben. Sollte die KI-VO 2023 kommen, was nicht unwahrscheinlich ist, zahlt sich eine frühe Vorbereitung aus. (sg)

Über die Autoren

Ingmar Pönitz ist seit 2022 Rechtsanwalt und Associate bei Mazars am Standort Berlin. Er berät in den Bereichen Informationstechnologie (IT) und Intellectual Property (IP). Hierbei beschäftigt er sich unter anderem mit den Themen IT-rechtlicher Vertragsgestaltung, Fragen rund um Lizenzierungen. Und außerdem mit den rechtlichen Herausforderungen innovativer Technologien. Er berät branchenübergreifend auf nationaler und internationaler Ebene insbesondere mittelständische Unternehmen, die Öffentliche Hand und Startups.
Almut Vogel ist seit 2017 Rechtsanwältin und Managerin bei Mazars in Berlin. Sie berät umfassend in den Bereichen Intellectual Property und Informationstechnologie. Und zwar insbesondere im Zusammenhang mit innovativen Entwicklungs- und Lizenzierungsprojekten, Xaas und Cloud sowie Technologie- und Know-how-Transfers in der High-Tech-, IT- und Life-Sciences-Branche. Im Fokus ihrer Beratung stehen vorrangig nationale wie internationale Startups, mittelständische Mandanten sowie die öffentliche Verwaltung.
Sami Yousef ist seit 2022 wissenschaftlicher Mitarbeiter bei Mazars am Standort Berlin. Er ist dort in den Bereichen Informationstechnologie und Intellectual Property tätig.

Lesen Sie auch: KI-Lösungen: Neuer Leitfaden für das Qualitätsmanagement bei der Entwicklung