Die Verordnung (EU) 2024/1689 des Europäischen Parlaments und des Rates vom 13. Juni 2024 über künstliche Intelligenz (AI Act) ist am 01.08.2024 in Kraft getreten. Der AI Act wird binnen zwei Jahren ab Inkrafttreten stufenweise geltungswirksam werden und ab 02.08.2026 voll anzuwenden sein. Die Umsetzung des AI Act stellt Unternehmen vor eine große Compliance-Herausforderung. Der AI Act umfasst die gesamte Wertschöpfungskette rund um KI, sodass der AI Act nicht nur Hersteller und Anbieter von KI betrifft, sondern alle Unternehmen, die KI einsetzen. Spätestens jetzt sollten sich Unternehmen im Umgang mit KI mit der Entwicklung einer Strategie für die KI-Compliance befassen.
Zum einen sind Verletzungen des AI Act mit Sanktionen bewehrt, die je nach Art und Schwere des Verstoßes von Ermahnungen bis zu (schmerzhaften) umsatzabhängigen Geldstrafen reichen. Zum anderen besteht das Risiko einer zivilrechtlichen Haftung nach dem allgemeinen Schadenersatzrecht für Schäden, die durch fehlerhafte KI oder sorgfaltswidrige Anwendung von KI verursacht werden. Zur Haftungsvermeidung werden in der Compliance-Strategie je nach Einsatzbereich der KI im Unternehmen weitere relevante Rechtsvorschriften im Zusammenhang mit KI wie z.B. Datenschutzrecht, Urheberrecht, Persönlichkeitsschutzrechte etc. zu bedenken sein. Eine eigene EU-Richtlinie über eine ausdrücklich angeordnete zivilrechtliche Haftung für KI im außervertraglichen Bereich wird bereits ausgearbeitet.
Der AI Act soll einen einheitlichen Rechtsrahmen für den Umgang mit KI in der EU schaffen und KI so regulieren, dass Grundrechte, Gesundheit und Umwelt vor den mit KI verbundenen Risiken geschützt sind. Artikel 3 enthält umfangreiche Begriffsdefinitionen, beispielsweise, was überhaupt unter KI im Sinne des AI Act zu verstehen ist, und welche Unternehmen im Sinne des AI Act vom Geltungsbereich umfasst sind.
Nach dem AI Act wird KI je nach dem damit verbundenen Risiko in 4 „Risikostufen“ eingeteilt. Kriterium der Risikobewertung ist die Wahrscheinlichkeit und Intensität eines potenziellen Schadens gemessen am Zweck und Anwendungsbereich. Mit dem jeweiligen Risiko der KI sind Verbote oder Pflichten verbunden.
Der Handlungsbedarf der Unternehmen leitet sich daher aus der Bestandsaufnahme der angebotenen oder angewendeten KI und der Risikobewertung ab:
- KI mit „inakzeptablem Risiko“ ist dadurch gekennzeichnet, dass sie entweder intensiv in Grundrechte eingreift, mit besonders sensiblen Daten arbeitet oder hohes Manipulationspotenzial von Personen in vulnerablen Situationen aufweist, z.B. „Social Scoring“ oder biometrische Echtzeitüberwachung. Diese KI ist grundsätzlich verboten (Artikel 5).
- „Hochrisiko-KI“ ist dadurch gekennzeichnet, dass sie entweder biometrische, sensible Daten verarbeitet, vulnerable Lebensbereiche wie Arbeitsverhältnisse, Versorgungsdienstleistungen, Asyl und Migration oder kritische Infrastruktur betrifft, z.B. KI-generierte Bonitätsbewertung oder KI im Personalmanagement. „Hochrisiko-KI“ ist nur unter strengen Auflagen erlaubt, z.B. Risikomanagement, Qualitätssicherung, Cybersicherheit, Dokumentations-, Transparenz- und Informationspflichten. „Hochrisiko-KI“ muss vor der ersten Verwendung registriert werden, darf nur innerhalb der Grenzen der Zulassung genutzt werden und muss laufend durch Menschen überwacht werden. (Artikel 6 bis 49).
- Für KI mit „begrenztem Risiko“ (Artikel 50) besteht eine Transparenzpflicht, wonach durch KI-generierte Inhalte, z.B. Chatbots, ChatGPT oder Deepfake, eindeutig als KI gekennzeichnet werden müssen.
- Alle anderen Formen von KI, wie KI-fähige Videospiele oder Spamfilter, gelten als KI mit „minimalem Risiko“. Für sie gilt kein verpflichtender Handlungsbedarf. Freiwillige Verhaltenskodices dürfen aber jederzeit eingehalten werden.
- „KI mit generellem Verwendungszweck“, also KI, die nicht speziell für einen bestimmten Zweck trainiert wird und insofern als variables Tool einsatzfähig ist, kann je nach Anwendung in jede Risikostufe fallen.
- Alle Unternehmen, die KI anbieten oder verwenden, haben unabhängig von der jeweiligen Risikobewertung ab 02.02.2025 sicherzustellen, dass ihre Mitarbeiter und sonstige Personen, die in deren Auftrag mit KI umgehen, über ausreichende „KI-Kompetenz“ und damit über die Fähigkeit und notwendigen Kenntnisse verfügen, um die jeweilige KI rechtskonform einzusetzen (Artikel 4). KI-Kompetenz könnte beispielsweise durch Schulungen und schriftliche Informationsunterlagen wie Checklisten, Leitfäden etc. dokumentierbar vermittelt werden. Was unter ausreichender KI-Kompetenz zu verstehen ist, wird je nach Kontext variieren. Allgemein wird darunter die Fähigkeit zu verstehen sein, die jeweilige KI entsprechend anzuwenden und die Auswirkungen von mit KI getroffenen Entscheidungen auf Betroffene einzuschätzen [Erwägungsgrund 20]. Zur Haftungsvermeidung wird sich KI-Kompetenz im Einzelfall wohl nicht auf die Kenntnis der Handlungspflichten gemäß AI Act beschränken können, sondern je nach Anwendungsbereich darüber hinaus Kenntnisse in haftungsrelevanten Bereichen wie dem Datenschutzrecht oder Urheberrecht etc. erfordern. Eine Haftung für mangelnde KI-Kompetenz ist im AI Act nicht ausdrücklich angeordnet. Zurückkommend auf die oben angeführten Haftungsfragen könnte die Vorschrift zur Sicherstellung ausreichender KI-Kompetenz aber unter Umständen als „Schutzgesetz“ qualifiziert werden, dessen Verletzung eine zivilrechtliche Haftung nach allgemeinem Schadenersatzrecht auslösen könnte. Eine Rechtsprechung gibt es dazu naturgemäß noch nicht. Im juristischen Diskurs werden diesbezügliche Haftungsfragen aber bereits erörtert und in Betracht gezogen.