Am 21. April 2021 hat die Europäische Kommission („EU-Kommission“) mit dem „Gesetz über Künstliche Intelligenz“ („KI-Verordnung“) ihren mit Spannung erwarteten Entwurf einer Verordnung zur Regulierung der Nutzung Künstlicher Intelligenz („KI“) veröffentlicht. Er basiert auf der am 19. Februar 2020 vorgestellten Digitalstrategie „Weißbuch zur Künstlichen Intelligenz – Ein europäisches Konzept für Exzellenz und Vertrauen“ und ist in dieser Form der weltweit erste Versuch der Regulierung von KI.[1] Auch wenn es noch nicht absehbar ist, wann die KI-Verordnung erlassen wird, scheint jedoch jetzt schon eines deutlich zu werden: Kommt es zu Verstößen gegen bestimmte verbotene Nutzungen von KI, drohen empfindliche Sanktionen.
Was für Sanktionen drohen?
Die KI-Verordnung sieht derzeit in Art. 71 KI-Verordnung ein dreistufiges Sanktionskonzept vor, das, je nach Schwere des Verstoßes, unterschiedliche Bußgelder beinhaltet:
- 30 Millionen Euro oder 6 Prozent des weltweiten Jahresumsatzes
Den obersten Bußgeldrahmen sieht Art. 71 Abs. 3 KI-Verordnung in Höhe von 30 Millionen Euro oder – im Falle von Unternehmen – 6 Prozent des weltweiten Jahresumsatzes, je nachdem welcher Betrag höher ist, vor. Dieses Bußgeld droht entweder (a) bei dem Einsatz eines verbotenen KI-Systems nach Art. 5 KI-Verordnung [2] oder (b) soweit die in Art. 10 KI-Verordnung genannten Qualitätskriterien an Hochrisiko-KI-Systeme nicht erfüllt werden.
- 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes
Den mittleren Bußgeldrahmen bildet Art. 71 Abs. 4 KI-Verordnung mit einer Geldbuße von bis zu 20 Millionen Euro oder – im Falle von Unternehmen – 4 Prozent des weltweiten Jahresumsatzes, je nachdem welcher Betrag höher ist. Dieser Bußgeldtatbestand droht, wenn KI-Systeme gegen die sonstigen, also außerhalb Art. 5 und 10 KI-Verordnung liegenden, in der KI-Verordnung festgelegten Anforderungen und Pflichten verstoßen. In der Praxis dürfte dieser Bußgeldtatbestand wohl mit Abstand die größte Rolle spielen, da die KI-Verordnung eine ganze Reihe an Pflichten vorsieht. Die wohl relevantesten davon sind die Einrichtung und Dokumentation eines Risikomanagementsystems (Art. 9 KI-Verordnung), die technische Dokumentation (Art. 11 KI-Verordnung) sowie die Vorgaben an Hochrisiko-KI-Systeme bezüglich Genauigkeit, Robustheit und Cybersicherheit (Art. 15 KI-Verordnung).
- 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes
Der niedrigste Bußgeldrahmen findet sich in Art. 71 Abs. 5 KI-Verordnung und normiert Geldbußen bis zu 10 Millionen Euro oder – im Falle von Unternehmen – 2 Prozent des weltweiten Jahresumsatzes, falls letzterer Betrag höher ist. Diese Bußgelder drohen, sollten gegenüber zuständigen Behörden auf deren Auskunftsverlangen hin falsche, unvollständige oder irreführende Angaben gemacht werden.
Durch das dreistufige Sanktionskonzept macht die EU-Kommission deutlich, wie sie die KI-Systeme sowie die damit einhergehenden Anforderungen und Pflichten gewichtet. Die Höhe der angedrohten Sanktionen geht dabei sogar über die in der Datenschutzgrundverordnung (DSGVO) vorgesehenen Bußgelder hinaus. Ein Überblick:
Wer kann Adressat einer Sanktion sein?
Adressat einer Sanktion kann grundsätzlich jeder sein, der die Anforderungen und Verpflichtungen der KI-Verordnung zu erfüllen hat und diese verletzt. Darunter fallen zunächst Anbieter, welche als natürliche oder juristische Personen, Behörden, Einrichtungen oder sonstige Stellen KI-Systeme entwickeln oder entwickeln lassen und im eigenen Namen oder eigener Marke – entgeltlich oder unentgeltlich – in den Verkehr bringen oder in Betrieb nehmen (vgl. Art. 3 Nr. 2 KI-Verordnung). Darüber hinaus sind Bußgeld-Adressaten aber auch Produkthersteller, Einführer (Importeure), Händler oder auch Nutzer von KI-Systemen (vgl. Art. 24 bis 29 KI-Verordnung). Letztlich können sogar sonstige Dritte von einer Sanktion betroffen sein, wobei die KI-Verordnung an dieser Stelle offen lässt, wer hierunter zu fassen ist. Alle diese Genannten haben gemeinsam, dass sie unter den Voraussetzungen des Art. 28 KI-Verordnung als Anbieter gelten und somit auch dessen Pflichten übernehmen. Ein Überblick:
Wer entscheidet über die Bußgelder?
Die KI-Verordnung sieht eine dezentrale Durchsetzung der Vorschriften durch die Mitgliedsstaaten vor. Entsprechend heißt es in Art. 71 Abs. 1 KI-Verordnung, dass die Mitgliedstaaten Vorschriften für Sanktionen, beispielsweise in Form von Geldbußen, die bei Verstößen gegen die Verordnung Anwendung finden, erlassen und alle Maßnahmen ergreifen, die für deren ordnungsgemäße und wirksame Durchsetzung notwendig sind. Jeder Mitgliedstaat muss daher zumindest eine nationale Behörde benennen, welche die Anwendung und Umsetzung der Vorschriften beaufsichtigt und die Marktüberwachung wahrnimmt. Ob Bußgelder gegen Behörden und Einrichtungen verhängt werden, kann jeder Mitgliedstaat selbst festlegen (vgl. Art. 71 Abs. 7 KI-Verordnung).
Wie wird die Höhe der Bußgelder ermittelt?
Bei der Ermittlung der Bußgeldhöhe dürfte nach den derzeitigen Regelungen grundsätzlich eine zweistufige Prüfung erfolgen. Zunächst wird festzustellen sein, welcher der drei Bußgeldrahmen eröffnet ist. Sodann wird die konkrete Höhe des Bußgeldes innerhalb des Bußgeldrahmens zu ermitteln sein. Neben dem Erfordernis, dass Sanktionen wirksam, verhältnismäßig und abschreckend sein müssen (vgl. Art. 71 Abs. 1 KI-Verordnung), muss die Bußgeldbemessung gemäß Art. 71 Abs. 6 KI-Verordnung einzelfallbezogen erfolgen und alle relevanten Umstände der konkreten Situation berücksichtigen. Hierzu sollen die Art, Schwere und Dauer des Verstoßes und dessen Folgen, Geldbußen anderer Marktüberwachungsbehörden für denselben Verstoß sowie Größe und Marktanteil des Verstoßenden in die Entscheidung einbezogen werden. Zudem sollen insbesondere den Interessen der Kleinanbieter und Start-Ups sowie deren wirtschaftlicher Leistungsfähigkeit Rechnung getragen werden. Ein Vergleich mit dem Bußgeldtatbestand des Art. 83 DSGVO, der vergleichbaren Norm aus dem Datenschutzrecht, macht eines deutlich: Die KI-Verordnung beinhaltet keine Kriterien, die bei der Bemessung der Bußgeldhöhe mildernd zu berücksichtigend sind. Anders als die KI-Verordnung berücksichtigt die DSGVO im Rahmen der Bußgeldberechnung nämlich beispielsweise, ob das Unternehmen den Verstoß der Aufsichtsbehörde selbst angezeigt hat, den Umfang der Zusammenarbeit mit der Aufsichtsbehörde oder die Maßnahmen zur Minderung des entstandenen Schadens. Solche Kriterien bilden in der Praxis oftmals die „goldene Brücke“ in der Kooperation zwischen Unternehmen und Aufsichtsbehörde. Es bleibt daher zu hoffen, dass im weiteren Gesetzgebungsprozess solche Kriterien noch Eingang in die KI-Verordnung finden werden.
Worauf kann sich schon jetzt eingestellt werden? Wie geht es weiter?
Der Entwurf der KI-Verordnung muss im Gesetzgebungsverfahren noch durch das Europäische Parlament und den Rat der Europäischen Union, was angesichts der deutlich unterschiedlichen Vorstellungen in den EU-Mitgliedsstaaten hinsichtlich der Notwendigkeit der Regulierung von KI nicht nur einige Zeit in Anspruch nehmen dürfte, sondern höchstwahrscheinlich auch zu Änderungen führen wird. Ob diese Änderungen auch die Bußgeldhöhe betreffen werden, bleibt abzuwarten. Eine Erhöhung der Bußgeldrahmen ist angesichts der bereits jetzt durchaus empfindlichen Bußgeldandrohungen, die im Fall des Art. 71 Abs. 3 KI-Verordnung weit über die der DSGVO hinausgehen, aber unwahrscheinlich. Jeder, der mittel- und langfristig plant, KI einzusetzen, zu entwickeln oder in seinem Geschäftsfeld zu platzieren, sollte sich dennoch schon jetzt mit den Grundzügen der KI-Verordnung befassen und vertraut machen. Wegen der drohenden empfindlichen Sanktionen sollte schon jetzt bei Entwicklungen von KI-Systemen darauf geachtet werden, ob die Anforderungen und Pflichten der KI-Verordnung berücksichtigt werden. Ist die KI-Verordnung nämlich erst einmal in Kraft getreten, kommt das große Erwachen, ähnlich wie es für viele Unternehmen bei Inkrafttreten der DSGVO war, reichlich spät. Verarbeiten KI-Systeme dann auch noch personenbezogene Daten, könnten zu allem Übel parallel auch Bußgelder wegen Datenschutzverstößen drohen.[3] Eines bleibt jedoch zu beachten: Um tatsächlich ein „scharfes Schwert“ zu werden und effektiv Verstöße verhindern zu können, ist bekanntermaßen weniger die reine Bußgeldhöhe relevant, als vielmehr eine effektive Kontrolle und konsequente Durchsetzung von Bußgeldvorschriften. Bei der Durchsetzung der DSGVO haben die Datenschutzbehörden – zumindest in Deutschland – einen gewissen Anlauf gebraucht, in letzter Zeit aber die Kontroll- und Bußgelddichte deutlich erhöht. Wie dies im Falle der KI-Verordnung gehandhabt werden wird, bleibt abzuwarten.
[1]Die KI-Verordnung – Zeitenwende in der KI-Regulierung? Ein Überblick.
[2]Verbotene Praktiken nach dem Entwurf der KI-VO – Verbietet die Europäische Kommission Instagram?
[3]Daten-Governance in der KI-Verordnung – im Konflikt mit der DSGVO?