Viele Kanzleien. Ein starkes Netzwerk.
Aktuelles
Neues aus Markt und Netzwerk
 

KI-Verordnung Neue EU-Verordnung zur Regulierung von Künstlicher Intelligenz

Am 12. Juli 2024 wurde die Verordnung (EU) 2024/1689 des Europäischen Parlaments und des Rates zur Schaffung einheitlicher Vorschriften für Künstliche Intelligenz (KI) im Amtsblatt der Europäischen Union veröffentlicht. Die Verordnung tritt am 01.08.2024 in Kraft.

Wir geben einen ersten Überblick über das Regelwerk, welches einen im Jahre 2021 gestarteten Gesetzgebungsprozess abschließt und das erste verbindliche Regelwerk für Künstliche Intelligenz darstellt.

Geltungsbereich der Verordnung

Die erste entscheidende Frage für jeden Unternehmer muss sein, ob die KI-Verordnung überhaupt Anwendung findet. Hierzu müssen der sog. sachliche, wie auch der persönliche Geltungsbereich eröffnet sein.

Sachlicher Geltungsbereich

Im Mittelpunkt der Verordnung steht die Definition der künstlichen Intelligenz, die Verordnung spricht hier etwas verwirrend von einem „KI-System“. Nur wenn ein solches KI-System vorliegt, sind die Regelungen der Verordnung überhaupt anwendbar.

Ein KI-System wird dabei in Art. 3 wie folgt definiert:

„KI-System: ein maschinengestütztes System, das für ein in unterschiedlichem Grad  autonomen  Betrieb ausgelegt ist und das nach seiner Betriebsaufnahme  anpassungsfähig  sein kann und das aus den erhaltenen Eingaben für explizite oder implizite Ziele ableitet, wie Ausgaben wie etwa Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen erstellt werden, die physische oder virtuelle Umgebungen beeinflussen können“.

Die wichtigsten Elemente haben wir der Einfachheit halber bereits kenntlich gemacht: Autonomie und Anpassungsfähigkeit.

Die Verordnung hält in Erwägungsgrund Nr. 12 glücklicherweise eine Umschreibung dieser beiden Begriffe bereit:

„KI-Systeme sind mit verschiedenen Graden der  Autonomie  ausgestattet, was bedeutet, dass sie bis zu einem gewissen Grad unabhängig von menschlichem Zutun agieren und in der Lage sind, ohne menschliches Eingreifen zu arbeiten. Die  Anpassungsfähigkeit , die ein KI-System nach Inbetriebnahme aufweisen könnte, bezieht sich auf seine Lernfähigkeit, durch sie es sich während seiner Verwendung verändern kann.“

Trotz dieser Umschreibungen wird es sicherlich nicht immer eindeutig sein, ob der sachliche Geltungsbereich eröffnet ist. Wir raten daher dazu im Zweifel vom Vorliegen eines KI-Systems und damit der Eröffnung des sachlichen Geltungsbereichs auszugehen.

Persönlicher Geltungsbereich

Neben dem sachlichen muss auch der persönliche Geltungsbereich eröffnet sein. Interessant ist hierbei, dass der persönliche Geltungsbereich nicht nur entscheidend für die Frage ist, ob die Verordnung überhaupt Anwendung findet, sondern gleichzeitig auch hauptsächlich bestimmt, welche nachfolgenden Bestimmungen der Verordnung – im Falle der Einschlägigkeit – gelten. Denn nicht für jeden Adressaten geltend dieselben Bestimmungen.

Gemäß Art. 2 Abs. 1 KI-Verordnung umfasst der persönliche Geltungsbereich:

  • Anbieter
  • Betreiber
  • Einführer und Händler
  • Produkthersteller
  • Bevollmächtigte von Anbietern
  • Betroffene Personen

Die spezifischen Adressaten werden in Art. 2 Abs. 1 weiter definiert. Zusammenfassend kann jedenfalls festgehalten werden, dass der persönliche Geltungsbereich sehr weit gefasst ist. Bereits die reine Verwendung eines KI-Systems kann zur Anwendbarkeit der Verordnung führen. So ist „Betreiber“, eine natürliche oder juristische Person, Behörde, Einrichtung oder sonstige Stelle, die ein KI-System in eigener Verantwortung verwendet, es sei denn, das KI-System wird im Rahmen einer persönlichen und nicht beruflichen Tätigkeit verwendet.

Einteilung in vier Risikoklassen

Ist der Geltungsbereich eröffnet und finden somit die nachstehenden Bestimmungen Anwendung, erfolgt eine risikobasierte Einteilung, wobei die Vorschriften je nach Risikograd und -umfang variieren. Es gibt vier Risikoklassen:

  • Verbotene KI-Praktiken
  • Hochrisiko-KI-Systeme
  • KI-Systeme mit geringem Risiko
  • KI-Systeme mit minimalem Risiko

Verbotene Praktiken

Art. 5 der Verordnung listet verbotene Praktiken auf. Systeme, die solche Praktiken anwenden, sind nicht zulässig. Beispielsweise ist es gemäß Art. 5 Abs. 1 lit. a) untersagt, KI-Systeme einzusetzen, die unterschwellige Beeinflussung oder absichtliche Manipulation mit dem Ziel, das Verhalten von Personen zu ändern, nutzen.

Hochrisiko-KI-Systeme

Art. 6 der Verordnung beschreibt die Einstufung von Hochrisiko-KI-Systemen. Die Anhänge I und III sind heranzuziehen, um zu prüfen, ob ein System in diese Kategorie fällt. Eine Ausnahme besteht, wenn kein erhebliches Risiko für Gesundheit, Sicherheit oder Grundrechte besteht (Art. 6 Abs. 3). Hochrisiko-KI-Systeme müssen mehrere Anforderungen erfüllen, darunter:

  • Errichtung eines Risikomanagementsystem (Art. 9)
  • Etablierung eines Daten-Governance (Art. 10)
  • Erstellung einer technischen Dokumentation (Art. 11)
  • Aufzeichnungspflichten (Art. 12)
  • Anforderungen an Transparenz und die Bereitstellung von Informationen für die Betreiber (Art. 13)
  • Anforderungen an die menschliche Aufsicht (Art. 14)
  • Anforderungen an Genauigkeit, Robustheit und Cybersicherheit (Art. 15)

Die Pflichten variieren zudem je nach Adressat (siehe persönlicher Geltungsbereich). Anbieter von Hochrisiko-KI-Systemen müssen bspw. eine EU-Konformitätserklärung ausstellen und sich selbst sowie das KI-System registrieren (Art. 47, Art. 49 Abs. 1).

Geringes Risiko und minimales Risiko

Für KI-Systeme mit geringem Risiko gelten Transparenzpflichten gemäß Art. 50.

Aufsichtsmechanismen und Sanktionen

Überwachung der Einhaltung

Um die Umsetzung der Verordnung sicherzustellen, gibt es verschiedene Aufsichtsinstanzen. Nationale Behörden (Art. 70) sowie ein Büro für Künstliche Intelligenz (Art. 64) und ein Europäisches Gremium für Künstliche Intelligenz (Art. 65) auf Unionsebene sind dafür zuständig. Die jeweiligen Aufsichtsinstanzen haben unterschiedliche, in der KI-Verordnung festgehaltene Aufgaben.

Sanktionsregelungen

Art. 99 regelt die Sanktionen bei Verstößen. Missachtung der verbotenen Praktiken (Art. 5) kann zu Geldbußen von bis zu 35 Millionen Euro führen (Art. 99 Abs. 3). Weitere Verstöße können Bußgelder bis zu 15 Millionen Euro nach sich ziehen (Art. 99 Abs. 4 a).

Was tun? Empfehlungen für Unternehmen

Vorbereitung und Umsetzung

Die Verordnung tritt am 1. August 2024 in Kraft, aber die meisten Bestimmungen werden erst ab dem 2. August 2026 wirksam. Einige Regelungen, wie die Verbote gemäß Art. 5, treten bereits ab dem 2. Februar 2025 in Kraft, die Sanktionen gemäß Art. 99 gelten ab dem 2. August 2025.

Empfohlene Maßnahmen

Unternehmen und staatliche Stellen sollten die Übergangszeit nutzen, um zu analysieren, ob und in welchem Umfang sie von der Verordnung betroffen sind. Es ist empfehlenswert, frühzeitig Compliance-Maßnahmen umzusetzen, wie die Entwicklung einer unternehmensspezifischen KI-Richtlinie und die Ernennung zuständiger und fachkundiger Personen. Eine detaillierte Auseinandersetzung mit den Bestimmungen der Verordnung ist unerlässlich, um die neuen Anforderungen zu erfüllen.

Beitrag veröffentlicht am
30. Juli 2024

Sina Bader
DH&K Rechtsanwälte
Rechtsanwältin

Stichworte in diesem Beitrag
Diesen Beitrag teilen

Alle Fachbeiträge zeigen

Produkthaftung, Wirtschaftsrecht, Wettbewerbsrecht
16.09.2024

VORSICHT STICHTAGSREGELUNG! Ab dem 13.12.2024 gilt die neue EU-Verordnung über die allgemeine Produktsicherheit (EU) 2023/988

Ab dem 13.12.2024 gilt die neue EU-Verordnung über die allgemeine Produktsicherheit (EU) 2023/988 und damit neue Pflichten für Hersteller, aber auch z.B. für Online-Händler

Beitrag lesen
IT-Recht, Informationstechnologie, Informationstechnologierecht, AGB, Vertragsrecht
16.09.2024

EVB-IT Cloud AGB: Rechtssicherheit für Ihr Cloud-Projekt

In der heutigen digitalisierten Geschäftswelt ist Cloud Computing nicht mehr wegzudenken. Ob als Anbieter oder Nutzer von Cloud-Lösungen — Unternehmen stehen vor der Herausforderung, die rechtlichen Rahmenbedingungen für ihre Cloud-Aktivitäten zu klären. Dabei spielen die EVB-IT Cloud AGB (Ergänzende Vertragsbedingungen für Cloudleistungen) eine zentrale Rolle. Dieser Artikel beleuchtet die wichtigsten Aspekte der EVB-IT Cloud AGB und zeigt, worauf Unternehmen bei der Vertragsgestaltung achten sollten.

Beitrag lesen
Gesellschaftsrecht
16.09.2024

Geschäftsführer kündigt selbst: Rechtssicher handeln und die Weichen richtig stellen

Die Nachricht kommt oft überraschend: Der Geschäftsführer Ihres Unternehmens kündigt von sich aus seinen Vertrag. Was auf den ersten Blick wie ein Schock wirken mag, muss bei richtiger Herangehensweise kein Beinbruch sein. Mit der passenden Strategie können Sie die Situation meistern und sogar als Chance für einen Neuanfang nutzen. In diesem Artikel erfahren Sie, worauf es ankommt, wenn der Geschäftsführer selbst kündigt, und wie Sie rechtssicher und zukunftsorientiert handeln.

Beitrag lesen
Alle Fachbeiträge

Einwilligung in Cookies und zur Erhebung und Weitergabe Ihrer Nutzerdaten an Dritte

Wir platzieren auf unserer Webseite technisch notwendige Cookies, die die grundlegenden Funktionen der Website gewährleisten und unentbehrlich sind. Für diese Cookies benötigen wir keine Einwilligung, so dass diese Cookies auch dann gesetzt werden, wenn Sie unten „alle ablehnen“ auswählen. Technisch notwendige Cookies verwenden wir, um unsere Dienste anbieten zu können und um vom Nutzer vorgenommene Einstellungen (wie z. B. die präferierte Sprache) zu speichern. Im Falle Ihrer Einwilligung verwenden wir darüber hinaus weitere performancesteigernde Cookies (Statistik und Nutzungsmessung sowie externe Dienste). Die Cookies verwenden wir ausschließlich dazu, unsere Website Ihren Wünschen entsprechend anpassen und weiterentwickeln zu können. Dabei werden Ihre personenbezogenen Daten (IP-Adresse, Nutzerverhalten etc.) verarbeitet und gespeichert, um die obigen Zwecke zu erreichen. Eine Identifizierung Ihrer Person ist durch die Pseudonymisierung der Daten nicht zu befürchten. Die Erläuterung zu den verschiedenen Cookies und datenschutzrechtlichen Vorgängen finden Sie unter „individuelle Einstellungen vornehmen“ oder in unseren Datenschutzhinweisen. Durch die Betätigung eines der untenstehenden Buttons willigen Sie in die Verwendung der jeweils ausgewählten Cookies und gleichzeitig in die Verarbeitung Ihrer personenbezogenen Daten zu oben beschriebenen Zwecken ein. Die Erteilung der Einwilligungen ist freiwillig.

Details finden Sie in unserer Datenschutzerklärung   Hier finden Sie unser Impressum

Einstellungen
Technisch notwendige Cookies

Technisch notwendige Cookies (essentielle Cookies) ermöglichen grundlegende Funktionen und sind für die einwandfreie Funktion der Homepage unentbehrlich. Sie können ohne Einwilligung gesetzt werden und daher nicht abgewählt werden.

DIRO Multisite Cookie

Mit dem DIRO Multisite Cookie werden die von Ihnen selbst vorgenommenen Einstellungen auf dieser Website (z. B. die bevorzugte Sprache) sowie die von Ihnen zugelassenen Inhalte externer Anbieter gespeichert. Dabei werden unter dem Verarbeitungsvorgang DIRO_C_FINGERPRINT die IDs der beim letzten Seitenaufruf vorhandenen zustimmungspflichtigen Dienste, sowie deren Konfigurationseinstellungen und die Zuordnung zu Kategorien im Datenschutz Popup (als verschlüsselte Zeichenfolge) erhoben und gespeichert. Alleiniger Zweck dieser Datenverarbeitung ist die Speicherung der vorgenommenen Einstellungen. Die Speicherung erfolgt für ein Jahr.

Statistik und Nutzungsmessung

Wir möchten unser Angebot für Sie dauerhaft attraktiv gestalten. Dafür sind wir auf Informationen darüber angewiesen, wie unsere Seiten genutzt werden. Dafür erheben wir automatisiert Daten.

Nutzungsmessung mit Matomo

Wir verwenden zur Analyse des Nutzerverhaltens und der Reichweite unserer Website das Website-Analyse-Tool Matomo. Dadurch wird das Cookie „_pk_id“ gesetzt. Durch die Verwendung von Matomo werden 2 Bytes Ihrer IP-Adresse, die aufgerufene Website, die Referrer-Website (Website, von der Sie auf die hier aufgerufene Website gelangt sind), die von der aufgerufenen Website aus aufgerufenen Unterseiten, die Verweildauer und die Häufigkeit des Aufrufs der Website ermittelt und gespeichert. Dies dient allein dem Zweck, anonymisierte statistische Daten darüber zu erlangen, wie Sie die Website nutzen. Die Speicherdauer beträgt im Falle des Cookies pk_ref 6 Monate, im Falle des Cookies _pk_ses 30 Minuten.

Externe Dienste

An einigen Stellen unseres Angebote nutzen wir externe Dienste, um Ihnen bestimmte Inhalte oder Funktionen zuverlässig und komfortabel bereitstellen zu können (z.B. Karten, interaktive Formulare oder Kalender zur Terminvereinbarung).

Videowiedergabe mit Vimeo

Wir verwenden auf unserer Website den externen Dienst Vimeo. Dabei handelt es sich um ein Video-Portal des US-amerikanischen Unternehmens Vimeo.com, Inc., 330 West 34th Street, 5th Floor, New York, New York 10001, USA. Durch das Einbinden von Vimeo-Videos werden Cookies gesetzt, die bei Abrufen des Videos unter anderem Ihre IP-Adresse, den Browser-Typ, Ihr Betriebssystem, Ihr Klickverhalten und Ihre Verweildauer erheben und sodann speichern. Die Speicherung erfolgt auf Servern in den USA, die über keinerlei Datenschutzrecht verfügen. Näheres entnehmen Sie bitte den unter https://vimeo.com/privacy abrufbaren Informationen.

Geographische Karten von OpenStreetMaps

Durch die Einbindung von OpenStreetMaps auf unserer Website setzen wir das Cookie „_osm_location“. Dabei wird Ihre IP-Adresse an den fremden Server von OpenStreetMaps übermittelt, wodurch dieser erfährt, dass Sie unsere Seite besucht haben. Zweck dieser Einbindung ist die Darstellung von Adressen auf einer Karte, die in die Website eingebunden wird. Die Speicherdauer beträgt 1 Jahr.

Terminvereinbarung mit Calendly

Wir verwenden auf unserer Website den externen Dienst Calendly. In diesem Zuge werden Ihre E-Mail-Adresse, weitere Kontaktinformationen, Termininhalte und -daten, sowie alle von Ihnen in diesem Zusammenhang zusätzlich angegebenen Daten erhoben und gespeichert. Dies dient dem alleinigen Zweck, Termine und Gruppentermine online buchbar zu machen. Hierzu wird seitens Calendly eine Webanwendung zur Buchung von Terminvereinbarungen zur Verfügung gestellt. Die Daten werden auf Servern in der USA verarbeitet. Sie stellen Ihre Daten für die Laufzeit des Vertrages mit Calendly zur Verfügung. Näheres zu der Verarbeitung der Daten durch Calendly entnehmen Sie bitte den unter https://calendly.com/legal abrufbaren Informationen.

Details finden Sie in unserer Datenschutzerklärung   Hier finden Sie unser Impressum