Die Zeitenwende ist da: Nach jahrelangen Verhandlungen und zahllosen Diskussion zum EU AI Act dürfte Mitte Juli 2024 endlich die finale Fassung verabschiedet werden. Ab dann wird es nur noch 24 Monate dauern, bis für die meisten Unternehmen weitreichende Pflichten greifen. Der AI Act ist der weltweit erste umfassende Rechtsrahmen zur Regulierung Künstlicher Intelligenz. Algorithmen, die auf Machine oder Deep Learning bzw. auf sog. Generative Pre-trained Transformer (GPT bzw. GenAI) basieren, sorgen schon seit einiger Zeit für viele Hoffnungen aber auch einige Ängste. Insofern haben Behörden schon seit geraumer Zeit einen Canon an Stellungnahmen erlassen. Wir haben diese Stellungnahmen, nach Bereichen geordnet, hier in Englisch zusammengestellt. Sie lassen sich im Wesentlichen in die folgenden Bereiche einteilen:
Regulatorischer Rahmen zu KI vor dem AI Act
Künstliche Intelligenz (KI) durchdringt zunehmend alle Lebensbereiche und wirft komplexe Fragestellungen auf. Dies reicht von großen Chancen, technologischen Risiken bis hin zu ethischen Überlegungen. Aufgrund der Verarbeitung von personenbezogenen oder urheberrechtlich geschützten Daten, sowie Geschäftsgeheimnissen, gibt es viele rechtliche Herausforderungen. Zudem gibt es Bedenken, dass Unternehmen mit bereits großem Marktanteil durch umfangreiche Investitionen in KI-Startups ggf. Innovationen hemmen.
Die Implikationen für Wirtschaft, Gesellschaft und Individuum haben eine umfassende regulatorischen Auseinandersetzung mit KI-Systemen zur Folge. Insofern haben Behörden zuletzt einige Richtlinien und Empfehlungen zu u.a. Datenschutz, IT-Sicherheit und Wettbewerbsrecht veröffentlicht. Diese betreffen sowohl den technischen und wirtschaftlichen Entwicklungsrahmen als auch den Einsatz von KI-Systemen.
Übersicht zu Stellungnahmen von Behörden zu KI
Wir haben diese Stellungnahmen, nach Bereichen geordnet, hier zusammengestellt. Sie lassen sich im Wesentlichen in die folgenden Bereiche einteilen:
Datenschutz: Datenschutzbehörden adressieren die Interaktion zwischen Datenschutzanforderungen und KI-Systemen. Dabei geht es oft um Transparenz der durch KI-Systeme verarbeiteten Daten, sowie Datensparsamkeit und andere Grundprinzipien, wie etwa nach der DSGVO.
Cybersecurity: Insoweit konzentrieren sich behördliche Stellungnahmen vor allem darauf, wie KI-Systeme gegenüber Bedrohungen abgesichert werden können. Hierbei geht es insbesondere um Leitlinien zur Identifikation von Sicherheitsrisiken und um Minderungsstrategien für Angriffe auf KI-Anwendungen in kritischen Infrastrukturen.
Wettbewerbsrecht: Wettbewerbsbehörden untersuchen, inwiefern KI-Systeme bzw. deren Einsatz ggf. Innovation fördern oder Marktpraktiken beeinflussen kann, die kartellrechtlich relevant sind. Die Beurteilung solcher Kooperationen zeigt das Bemühen, einen fairen Wettbewerb unter Einbeziehung moderner Technologien sicherzustellen.
Diese behördlichen Maßnahmen sollen sicherstellen, dass KI-Systeme ethisch, vertrauenswürdig und im Einklang mit den gesetzlichen Anforderungen entwickelt und eingesetzt werden. Es ist zu erwarten, dass Behörden auch nach Verabschiedung des AI Act auf die dabei entwickelten Grundsätze aufbauen und in deren Entscheidungen berücksichtigen. Ferner dürften die bisherigen behördlichen Stellungnahmen auch nach Wirksamwerden des AI Act weiterhin Geltung haben.
Ausblick auf den AI Act
Der AI Act wird weitreichende Auswirkungen sowohl für die Entwicklung als auch die Nutzung von KI haben. Was das aber konkret für Anbieter und Nutzer konkret bedeutet ist noch an vielen Stellen unklar. Erste Veröffentlichungen von Behörden wie beispielsweise das "NIST AI RMF Generative AI Profile" oder die Leitlinien der französischen Datenschutzaufsichtsbehörde (CNIL) zur Nutzung von KI-Systemen bieten erste Anhaltspunkte. Maßgeblich wird der AI Act in der Zukunft aber auch von freiwilligen Verhaltenskodizes, Leitlinien und delegierten Rechtsakten weiter konkretisiert. Im Einzelnen sieht der AI Act insbesondere Folgendes vor:
- Freiwillige Verhaltenskodizes: Diese sollen vom AI Office und den EU-Mitgliedstaaten gefördert werden, damit die Ziele und Anforderungen des AI Acts auf freiwilliger Basis berücksichtigt werden. Es bleibt abzuwarten, ob sie aufgrund der Vielzahl von Verpflichtungen im AI Act große Auswirkungen für die Praxis haben.
- Leitlinien der Kommission: Diese sind wesentlich wichtiger für die praktische Umsetzung der eigentlichen Verpflichtungen nach dem AI Act. Sie werden wertvolle Informationen u.a. zum Umfang der verbotenen Systeme, den genauen Verpflichtungen der Anbieter von Hochrisikosystemen und der praktischen Umsetzung von Transparenzpflichten liefern. Bis jetzt besteht in diesen Bereichen noch große Rechtsunsicherheit.
- Praxisleitfäden für allgemeine KI-Modelle: Diese vom AI-Office zu erarbeitenden Dokumente sollen u.a. Hilfestellung für die Risikoermittlung und die Erstellung von Transparenzberichten durch die Anbieter erleichtern.
- Leitlinien zur Transparenz: Diese soll das AI Office erstellen, um die Feststellung und Kennzeichnung künstlich erzeugter oder manipulierter Inhalte zu erleichtern.
Mehr über den AI Act
Wir bieten eine Vielzahl von Schulungs- und Weiterbildungsangeboten an, die sich mit den aktuellen Entwicklungen im Bereich der Künstlichen Intelligenz befassen. Unsere Inhalte decken wichtige Themen wie Datenschutz, Urheberrecht, Arbeitsrecht, IT-Sicherheit oder Wettbewerbsrecht ab und bieten praxisorientierte Leitlinien für Unternehmen und Entwickler. Sie finden eine Übersicht hier. Am 9. Juli und am 19. September werden die nächsten Folgen unseres internationalen Webinars “Tech Me Up!” stattfinden. Die nächste Folge befasst sich mit der Frage der AI Act Governance. Nach der Sommerpause werden wir eine Datenschutzbehörde zu Gast haben. Hier können Sie sich für das Webinar anmelden.