EU-Verordnung: Ein Rahmen für die Künstliche Intelligenz?

Lässt sich Künstliche Intelligenz regulieren? Die EU versucht es mit einer Verordnung. Lutz Riede und Matthias Hofer, Rechtsanwälte bei Freshfields Bruckhaus Deringer nehmen den Vorschlag für die EU-Verordnung unter die Lupe und erläutern, was die Umsetzung für Unternehmen bedeuten würde.

EU-Verordnung: Ein Rahmen für die Künstliche Intelligenz?

Künstliche Intelligenz (KI bzw englisch AI, Artificial Intelligence) ist mittlerweile keine völlige Fiktion: Selbstfahrende Autos, intelligente Automatisierung und Chatbots sind schon Realität, auch wenn die technologische Entwicklung echter AI zweifellos noch in den Kinderschuhen steckt. Die EU sieht in „AI-Systemen“ eine Zukunftstechnologie, die eine gesteigerte Wettbewerbsfähigkeit bringen soll und bemüht sich daher um eine weltweite Führungsrolle.

Technisch basieren AI-Anwendungen häufig auf „Machine Learning“ bzw „Deep Learning“-Methoden. Dabei erlernt das AI-System aus einer Vielzahl von Beispielen, sogenannten Trainingsdaten, Muster und Gesetzmäßigkeiten. Das „trainierte“ AI-System kann neue Daten ohne menschliche Intervention beurteilen und zum Beispiel beim autonomen Fahren Objekte erkennen und dadurch Entscheidungen treffen.

Die Entscheidungen dieser komplexen Systeme sind jedoch teilweise nicht leicht nachvollziehbar/erklärbar, insbesondere dann wenn es zu unerwünschten Ergebnissen kommt, wie etwa Diskriminierung einer Personengruppe durch eine AI-Anwendung im Personalbereich. Diese „black-box“-Problematik ist wohl ein Mitgrund für das öffentliche Misstrauen das AI-gestützten Anwendungen teilweise entgegengebracht wird.

Der Vorschlag der EU-Kommission

Bislang gibt es noch keine einheitliche auf AI-Systeme abstellende EU-Regulierung, sondern neben generellen Normen – zum Beispiel zur Produktsicherheit – vor allem sektorspezifische Vorschriften (etwa im Bereich der Luftfahrt oder für Kraftfahrzeuge). Diese Vorgaben müssen AI-Systeme schon heute einhalten.

In dieser Gemengelage hat die EU-Kommission kürzlich eine Verordnung zur Regulierung von AI-Systemen vorgestellt, die für Interessenausgleich sorgen soll. Die AI-Verordnung würde ein EU-weit einheitliches – und unmittelbar anwendbares – Regime für bestimmte, jedoch nicht alle, AI-Systeme schaffen: AI soll zwar einerseits gefördert, aber andererseits auch reguliert werden, indem bestimmte AI-Systeme verboten oder zumindest strikten Regelungen unterworfen werden.

„Risikoampel“ für AI-Systeme

Der Vorschlag definiert AI-Systeme breit und würde deutlich mehr als die oben beschriebenen Machine Learning Anwendungen erfassen. Ausgeklammert werden unter anderem AI-Systeme, die ausschließlich für militärische Zwecke genutzt oder entwickelt werden.

Die erfassten AI-Systeme werden nach einer Art Ampelsystem in vier Risikostufen (unannehmbares, hohes, niedriges und minimales Risiko) gegliedert. Je höher das Risiko, desto strikter die Vorschriften:

  1. Einzelne, besonders heikle AI-Anwendungen sollen grundsätzlich verboten werden.
  2. AI-Systeme mit hohem Risiko wären hingegen zulässig, aber strengen Regelungen unterworfen.
  3. AI-Systeme mit geringem Risiko würden im Wesentlichen nur Transparenzpflichten unterliegen.
  4. Alle anderen AI-Systeme mit „minimalen Risiko“ würden keinen neuen Sondervorschriften unterliegen.

1. Einzelne, besonders heikle AI-Anwendungen

Unter diesen Punkt würden zum Beispiel biometrische Fern-Identifikation im öffentlichen Raum oder Sozialkreditsysteme (mit Ausnahmen, zum Beispiel für Fern-Identifikation zur Verhinderung schwerer Verbrechen) fallen.

2. AI-Systeme mit hohem Risiko

Diese Systeme wären hingegen zulässig, aber strengen Regelungen unterworfen. Das betrifft im Vorschlag näher definierte Anwendungen, zum Beispiel AI-Systeme für kritische Infrastruktur oder Programme zur Einschätzung von Kreditwürdigkeit oder Stellenbewerbungen. Bevor ein solches „high-risk“ AI-System in der EU in Verkehr gebracht oder in Betrieb genommen wird, wäre eine Konformitätsbewertung durchzuführen sowie eine CE-Kennzeichnung anzubringen.

Dabei bestünden unter anderem umfassende Vorgaben zur Qualität/-struktur von Trainingsdaten, Transparenz oder menschlicher Aufsicht. Diese AI-Systeme müssten somit bereits in der Entwicklungsphase die entsprechenden Vorgaben berücksichtigen. Weiters müssten die Anbieter Qualitäts- und Risikomanagementsysteme einführen und Audits durch die Marktüberwachungsbehörden akzeptieren.

Interessant am Vorschlag ist, dass AI-Systeme, die Sicherheitskomponenten in Produkten bestimmter Sektoren sind (zum Beispiel in den Bereichen Luftfahrt, PKW, …), zwar als „high-risk“ Anwendungen gelten könnten – aber offenbar nicht den umfassenden Verpflichtungen unter der Verordnung unterliegen. Vielmehr bliebe das bisherige sektorspezifische Regime diesbezüglich, zumindest vorläufig, unverändert.

3. AI-Systeme mit geringem Risiko

Solche Systeme, wie etwa Chatbots, würden im Wesentlichen nur Transparenzpflichten unterliegen: Damit soll sichergestellt werden, dass dem Nutzer bekannt ist, dass er mit einer Maschine interagiert.

4. Alle anderen AI-Systeme mit minimalen Risiko

Sie würden keinen neuen Sondervorschriften unterliegen, sie könnten unter Einhaltung der bestehenden Vorschriften entwickelt und verwendet werden


Anbieter und Nutzer, aber auch Importeure/Händler in der Pflicht

Der Vorschlag nimmt insbesondere die Anbieter als auch Nutzer der AI-Systeme in die Pflicht (ausgenommen ist die rein private, nicht gewerbliche Verwendung), sofern die AI-Systeme in der EU in Verkehr gebracht werden oder Menschen in der EU von der Verwendung betroffen sind. Aber auch Importeure bzw Händler von AI-Systemen müssten sicherstellen, dass für importierte AI-Systeme (soweit einschlägig) die notwendigen Konformitätsbewertungsverfahren durchgeführt wurden bzw. die CE-Kennzeichnung samt erforderlicher Dokumentation vorliegt.

Bei Verstößen drohen drastische Strafen

Der Entwurf sieht, ähnlich wie das in der DSGVO für Datenschutzverstöße der Fall ist, für Verstöße gegen (i) das AI-Verbot oder (ii) Regeln betreffend AI-Systeme mit hohem Risiko drastische Strafen vor, nämlich von bis zu sechs Prozent des weltweiten Jahresumsatzes bzw. 30 Millionen Euro. Für andere Verstöße gegen die Verordnung würden Strafen von bis zu vier Prozent des weltweiten Jahresumsatzes bzw. 20 Millionen Euro anfallen.

Ausblick

Gerade bei einem komplexen und sektorübergreifenden Thema wie AI wird es noch einige Zeit dauern, bis die AI-Verordnung in Kraft treten könnte. Im Lichte des potentiell breiten Anwendungsbereichs der Vorschriften, der drastischen Strafen sowie des für eine CE-Kennzeichnung notwendigen Standardisierungsprozesses (der einen langen Vorlauf hat) sind betroffene Unternehmen jedoch gut beraten, diese Entwicklungen schon heute genau zu verfolgen.

Dazu kommt, dass die Kommission durchaus gewillt zu sein scheint, die AI-Verordnung durch weitere Rechtsakte zu ergänzen. Das zeigt der zeitgleich vorgelegte Vorschlag für eine „Maschinen-Verordnung“. Mit dieser sollen Sicherheitsregeln für Roboter, 3D-Drucker und dergleichen geschaffen bzw. angepasst werden.

Offen ist dagegen, ob zur weiteren Förderung von AI auch Anpassungen im Bereich des geistigen Eigentums erfolgen (zum Beispiel im Bereich des Urheberrechts). Von besonderem Interesse wird jedenfalls sein, ob noch sektorspezifische Regeln für jene „high-risk“ AI-Systeme folgen, die bisher weitgehend von der AI-Verordnung ausgenommen wären.


Die Autoren

Lutz Riede

Lutz Riede

Lutz Riede LL.M. (UBC) LL.M. (IT-Law) berät Mandanten weltweit und branchenübergreifend in den Bereichen Geistiges Eigentum, Digitalisierung und Technologierecht sowie in Fragen des Unlauteren Wettbewerbs, Vertriebs- und Verbraucherrechts. Hierzu gehören die Vertretung in gerichtlichen Verfahren wie auch die Betreuung komplexer vertragsrechtlicher Projekte im internationalen Kontext, insbesondere mit Blick auf Digitalisierung, Industrie 4.0 und dem „Internet der Dinge“.


Matthias Hofer

Matthias Hofer

Matthias Hofer, LL. B., LL. M. (WU) Matthias Hofer ist auf die Rechtsdurchsetzung und Beratung im Immaterialgüterrecht, Lauterkeitsrecht, Vertriebsrecht und Verbraucherschutzrecht spezialisiert. Weiters ist Matthias Hofer im internationalen Schiedsrecht spezialisiert und verfügt über Schiedserfahrung in Verfahren nach den Regeln der ICC, DIS und der VIAC sowie in Ad-hoc-Verfahren in den Bereichen Energie (insbesondere Gas und Gasspeicherung), Post-M&A, Telekommunikation und Finanzwesen.


Beide Autoren sind Rechtsanwälte sind bei Freshfields Bruckhaus Deringer in Wien. Dieser Beitrag gibt ausschließlich ihre persönliche Meinung wieder.

[THEMA]: Rechtsschutz - die D.A.S.-Experten geben Rat

Reisemängel: Das sollten Sie bei Reklamationen wegen einer verpatzen Reise wissen [Reiserecht]

Was ist ein Reisemangel? Welche Mängel rechtfertigen Minderungen? Was …

Legal Tech: Digitale Herausforderung für Juristen

Auch im Rechtswesen schreitet der Siegeszug der Digitalisierung voran. Am …

Rechtsanwältin Katharina Körber-Risak

Viertagewoche auch bei uns - warum nicht?

Ein Pilotversuch in Großbritannien lässt aufhorchen - es geht um die …