Die EU-KI-Verordnung – Teil 1: Überblick und Struktur | Fieldfisher
Skip to main content
Insight

Die EU-KI-Verordnung – Teil 1: Überblick und Struktur

Double exposure image depicting a woman's profile on the right side merged with a digital blue world map on the left side, overlaid with lines and dots representing global connectivity and technology. The background transitions from dark blue to white.

Locations

Germany

Die EU plant, eine Führungsposition bei der Regulierung von künstlicher Intelligenz einzunehmen. Dazu setzt sie schrittweise die 2018 selbst gesteckten Ziele um. Hierzu folgt auf das KI-Weißbuch aus dem Februar 2020 der am 21. April 2021 veröffentlichte Entwurf der Kommission für eine KI-Verordnung. Brüssel hofft damit auf den nächsten großen Wurf nach der DSGVO, die selbst Kalifornien ein Datenschutzrecht bescherte und weltweit als Standard gilt.
 

Das Wichtigste:

Der Vorschlag der Kommission stellt den Bürger in den Mittelpunkt der Verordnung: Der Schutz von Allgemeininteressen, Gesundheit, Sicherheit und Grundrechten wird ausdrücklich betont. Wie schon die DSGVO soll auch die KI-Verordnung einem risikobasierten Ansatz folgen - kurz zusammengefasst: Je höher die möglichen Gefahren in einem Einsatzgebiet sind, desto höher sind auch die regulatorischen Anforderungen an das KI-System. Der Verordnungsentwurf unterscheidet im wesentlichen drei Gruppen: Verbotene KI-Systeme, Hochrisikosysteme, sowie sonstige Systeme, wobei auch letztere bei Vorliegen bestimmter Merkmale Sonderregeln unterworfen sein sollen.

Verbotene KI-Praktiken (Schwarze Liste)

Aus Sicht des Verordnungsgebers sind KI-Systeme mit bestimmten Eigenschaften so gefährlich, dass sie vollständig verboten sein sollen. Hierzu zählen:

  • KI-Systeme, die unterschwellige, für den Nutzer nicht wahrnehmbare Techniken einsetzen, um das Verhalten einer Person in einer Weise wesentlich zu beeinflussen, die dieser oder einer anderen Person körperlichen oder psychischen Schaden zufügen kann.
  • KI-Systeme, die Schwächen eine Person aufgrund ihres Alters oder einer Behinderung ausnutzen.
  • KI-Systeme, die zur Einstufung der Vertrauenswürdigkeit von Personen im Zusammenhang mit sozialer Zugehörigkeit oder gesellschaftlichem Verhalten genutzt werden können (Social Scoring).
  • Echtzeit-Fernidentifizierungssystemen zur biometrischen Identifizierung in öffentlich zugänglichen Räumen, sofern nicht die strengen in der Verordnung festgelegten Voraussetzungen erfüllt werden. Erlaubnisfähig sind Fernidentifizierungssysteme zum Beispiel bei der Suche nach Opfern von Straftaten oder Vermissten und der Verfolgung von Kapitalverbrechern.
 

Hochrisikosysteme

Regelungsschwerpunkt der Verordnung bilden die Hochrisikosysteme – weit über die Hälfte der Regelungen der Verordnung befassen sich mit dieser Kategorie, die der Verordnungsgeber nur unter strengen Voraussetzungen zulassen will. Welche Anwendungsfälle konkret betroffen sind, ergibt sich beispielhaft aus Anlage 3 der Verordnung. Interessant ist die Mischung aus technologie- und sektororientierter Betrachtung: Zu den Hochrisikosystemen zählen demnach Systeme zur biometrischen Gesichtserkennung oder zur Verwendung in besonders gefahrgeneigten Umfeldern (Verkehrsleitung, Wasserversorgung, Energieversorgung etc.), wie auch Systeme zur Zugangsprüfung bei universitären Prüfungen, zur Auswahl von Kandidaten für Jobs, zur prädiktiven Kriminalitätsbekämpfung, zur Prüfung von Zeugenaussagen und andere polizeiliche oder justizielle Verwendungszwecke, aber auch Systeme, die für einen Zugang zu essentiellen öffentlichen und privaten Leistungen wesentlich sind – hier dürfte unter anderem die Schufa gemeint sein.

Hochrisikosysteme lösen für Anbieter und Nutzer erhebliche Pflichten aus. Diese umfassen unter anderem:

  • Anforderungen an die Datenqualität
  • Informationspflichten gegenüber den Nutzern
  • Wahrung der menschlichen Aufsicht über das System.
  • Konformitätsprüfung und Zertifizierung
 

Geringes Risiko

KI-Systeme mit geringem Risiko sind Systeme, die für die Interaktion mit Menschen bestimmt sind, wie zum Beispiel Chatbots – einschließlich von Systemen, die fähig sind, Emotionen zu erkennen. Für diese gilt eine Informationspflicht: dem Nutzer muss der Einsatz der KI offengelegt werden.

Minimales Risiko

Alle anderen KI-Systeme und damit die große Mehrheit der heute eingesetzten Systeme, die nicht einer der andren Gruppen zugeordnet werden können, sind KI-Systeme, von denen nur ein minimales Risiko ausgeht. Diese können unter Einhaltung der allgemein geltenden Regeln wie zum Beispiel aus dem Datenschutzrecht entwickelt und verwendet werden, ohne neue zusätzliche rechtliche Verpflichtungen.

Anwendungsbereich

Der Regelungsentwurf folgt auch in Sachen Anwendungsbereich dem Vorbild DSGVO. Die Verordnung zielt dementsprechend auf nahezu jeden, der KI in oder in Bezug auf Bürger der EU einsetzt. Sie soll sowohl für öffentliche als auch für private Akteure innerhalb und außerhalb der EU gelten, sofern das KI-System in der Union in Verkehr gebracht wird oder Menschen in der EU von seiner Verwendung betroffen sind. Adressaten sind sowohl die Entwickler (Anbieter) als auch die Nutzer (Unternehmen, Behörden), die derartige Software einkaufen und für ihre Zwecke verwenden. Der rein private Gebrauch wird dagegen nicht reguliert.

Sanktionen, Artikel 71

Der Entwurf sieht eine dezentrale Durchsetzung der Vorschriften durch die Mitgliedsstaaten vor. Jeder Mitgliedstaat soll zumindest eine nationale Behörde benennen, welche die Anwendung und Umsetzung der Vorschriften beaufsichtigt und die Marktüberwachung wahrnimmt. Bei Verstößen drohen Bußgelder bis zu EUR 30 Mio. Euro oder 6 % des gesamten weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist.

Dieser Artikel ist der erste Teil einer Serie zur geplanten KI-Verordnung der Europäischen Union.
Die EU-KI-Verordnung – Teil 2: Das "KI-System"​
Die EU-KI-Verordnung – Teil 3: Das Hochrisikosystem
Autoren: Stephan Zimprich, Partner, Fieldfisher; Hagen Küchler, Rechtsreferendar