AI Act: Finale Fassung

Nachdem wir in unserem Beitrag vom 2.1.2024 bereits von einer abschließenden Einigung der Unterhändler von EU-Parlament, Kommission und Regierungen zur geplanten KI-Verordnung  berichtet haben, ist Ende Januar auch das Verhandlungsergebnis bekanntgeworden. Dieses wurde nun auch von den Vertretern der Mitgliedsländer abgesegnet. Sofern die Verabschiedung durch das EU-Parlament noch in dieser Legislaturperiode gelingt, sollte sich inhaltlich also nichts mehr ändern.

Für den Großteil der Vorgaben besteht eine zweijährige Übergangsperiode, wobei einige Ausnahmen auch Anpassungen bis 2030 zulassen. Umgekehrt greifen besonders risikomitigierende Vorschriften bereits sechs Monate nach Verabschiedung. Somit ist die Anwendbarkeit einzelner Normen bereits für Ende des Jahres 2024 zu erwarten, ihre volle Wirkung wird die Verordnung aber erst 2026 entfalten. Eine Übersicht über den zeitlichen Rahmen finden Sie hier.

Beobachter bewerten das Ergebnis so, dass sich in der letzten Runde die Regierungen durchgesetzt haben, da die Vertreter des Parlaments nach den Wahlen zum EU-Parlament andere politische Kräfteverhältnisse befürchten und mit diesem Verhandlungsergebnis zumindest die Regulierung auf den Weg gebracht wurde und grundrechtsorientierte Schranken eingefügt werden konnten.

Die Änderungen und Neuerungen, die sich in der finalen Fassung im Vergleich zum bisher Bekannten finden, sind allerdings überschaubar und werden für die meisten Unternehmen nur eine geringe Bedeutung haben.

Anpassungen im Katalog inakzeptabler Risiken

So wurde der Katalog der inakzeptablen Risiken leicht verändert. Wichtigster Streitpunkt war der Einsatz von KI für die oben genannte biometrische Echtzeit-Gesichtserkennung durch Strafverfolgungsbehörden. Hier konnten sich die Staaten mit ihrer permissiven Linie durchsetzen. Für eng definierte Zwecke der Terrorabwehr und der Bekämpfung von Menschenhandel darf biometrische Echtzeit-Gesichtserkennung von der Strafverfolgung angewandt werden, um gezielt nach einzelnen, bereits bekannten, Personen zu suchen. Hierbei darf auf Aufzeichnungen der letzten zwei Tage zurückgegriffen werden. Die Anwendung wird dabei sehr detaillierten Bedingungen unterworfen. Ebenso ist das Scraping von Personenfotos verboten, wenn damit Gesichtserkennungsdatenbanken gefüttert werden sollen (Art. 5(1)(d) KI-Verordnung). Verboten ist in der jetzigen Fassung des Katalogs hingegen explizit der Einsatz von KI am Arbeitsplatz zur Interpretation der Gemütsverfassung eines Beschäftigten, sofern diese nicht aus Sicherheitsgründen notwendig ist (z. B. Sekundenschlaf). Somit sind diese „Emotion Recognition Systems“ in bestimmten Anwendungsbereichen verboten. Daraus folgt, dass sie aber generell erlaubt sind. Hier ergeben sich für viele Unternehmen breite Anwendungspotenziale, zum Beispiel im Bereich „Social Listening“, also dem KI-gestützten automatisierten Auswerten von Beiträgen in Internetforen und Sozialen Medien zu einem bestimmten Thema, Produkt oder Marke.

Abweichungen der Mitgliedsländer zu erwarten

Die Ampelkoalition hat bereits angekündigt, die in der KI-Verordnung offen gelassenen Spielräume in der nationalen Gesetzgebung dahingehend zu nutzen, dass biometrischen Massenüberwachung unterbunden bleiben soll. Hier zeigt sich, dass die verhärten Fronten nur durch Öffnungsklauseln aufgelockert werden konnten, wodurch das eigentliche Ziel einer harmonisierten europäischen Gesetzgebung unterlaufen wird.

Erleichterungen für Forschung und Anwender

Häufig geäußerte Befürchtungen der Überregulierung werden durch zwei wichtige Änderungen besänftigt. KI-Systeme, die für den einzigen Zweck wissenschaftlicher Forschung und Entwicklung entwickelt wurden, sind nach Erwägungsgrund 12c vom Anwendungsbereich ausgenommen. Dies entspricht dem innovationsbejahenden Anspruch der Verordnung. Ebenso wurden die Vorschriften für KI-Lösungen mit offenem Verwendungszweck gelockert und lasten die Pflichten jetzt ausschließlich dem Anbieter (Provider), aber nicht dem Anwender (Deployer) auf.

Handlungsbedarf für Unternehmen

Für sehr viele Unternehmen dürfte sich aus den genauer gefassten Trainings- und Transparenzpflichten To-Dos ergeben. So sind auch die reinen Anwender verpflichtet, durch Trainingsmaßnahmen ein ausreichendes KI-Verständnis der Belegschaft sicherzustellen. „Ausreichend“ bemisst sich dabei sowohl an den Einsatzzwecken und Risiken der KI-Lösung als auch an den Vorkenntnissen der Mitarbeiter (Art. 4b). Um die Vertrauenswürdigkeit künstlicher Intelligenz zu stärken, müssen Personen, die KI oder deren Output nutzen oder von der Verarbeitung betroffen sind, über die Rolle der KI in dem Prozess aufgeklärt werden (Erwägungsgrund 14a).

Wie bereits im letzten Beitrag festgestellt, spricht für Unternehmen weiterhin prinzipiell nichts dagegen, KI-Anwendungen zu entwickeln und zu nutzen. Gleichzeitig sollten sich die Organisationen aber bereits jetzt auf die kommende Regulierung einzustellen. Dies wird vor allem erfordern, Prozesse zu etablieren, die relevante KI-Anwendungen identifizieren und mittels standardisierter Methoden klassifizieren. Insbesondere sollte geprüft werden, ob bestehende oder geplante Verarbeitungstätigkeiten in der Liste in „Anhang III“ zu KI-Gesetz aufgeführt ist. Eine gute lesbare Darstellung des ausverhandelten Anhang III finden Sie hier. Auf der Grundlage dieser Erkenntnisse müssen Unternehmen gegebenenfalls Risk-Assessments zu den verwendeten oder geplanten KI-Lösungen durchführen.

Das bayerische Landesamt für Datenschutz hat kürzlich eine Checkliste für Risiko-Assessments für KI veröffentlicht.

Abonnieren Sie hier unseren Newsletter, um hinsichtlich der weiteren Rechtsentwicklung stets auf dem Laufenden zu bleiben.