Der EU-AI-Act

Update vom 28.05.2024: Am 21.05.24 wurde der AI-Act verabschiedet, wird nun im Amtsblatt der EU veröffentlicht und tritt 20 Tage später in Kraft. Eine vollständige Umsetzung muss jedoch erst 2 Jahre nach der Veröffentlichung erfolgt sein, wobei einzelne Bestimmungen auch kürzere Umsetzungszeiten haben.

Wie auch aus einigen unserer letzten Blogbeiträge ersichtlich ist, ist der Einsatz von künstlicher Intelligenz (KI bzw. engl. AI) ein kaum mehr wegzudenkendes Thema. Dass sich hierdurch datenschutzrechtliche Probleme und Fragen ergeben, ist inzwischen Allgemeinwissen. Doch auf diese Fragen könnte es jetzt eine Antwort von gesetzgeberischer Seite geben. Denn das EU-Parlament verabschiedete im März 2024 den EU-AI-Act. Ziel dieser Verordnung ist den Umgang mit KI zu regulieren und damit die Rahmenbedingungen für den Einsatz von KI in der EU einheitlich festzulegen.

Anwendungsbereich des EU-AI-Act

Die KI-Verordnung verfolgt dabei einen risikobasierten Ansatz. D. h. der Umfang der Pflichten für Unternehmen richtet sich nach dem zu erwartenden Risiko beim Einsatz eines bestimmten KI-Systems. Gegenstand der KI-Verordnung sind dabei alle KI-Systeme, die in der EU in den Verkehr gebracht oder in Betrieb genommen werden. Darunter zählen allerdings auch Anbieter von Systemen, deren Sitz außerhalb der EU liegt. Alle, die das System im eigenem Namen in Betrieb nehmen oder in den Verkehr bringen, werden durch die Verordnung verpflichtet. Jedoch sind auch Händler, Einführer und zu guter Letzt auch Betreiber, welche KI-Systeme nicht nur zu rein persönlichen Zwecken verwenden, betroffen.

Klassifizierung der Systeme

Der EU-AI-Act sieht dabei die Unterteilung der Systeme in drei Risikoklassen vor: unannehmbares, hohes und geringes Risiko. Der ersten Klasse unterfallen dabei alle Systeme, die ein erhebliches Risiko bergen, Personen zu manipulieren. Hierunter fallen z. B. KI-Systeme zu Zwecken des Social Scorings, biometrische Echtzeit-Fernidentifizierungssysteme zur Strafverfolgung im öffentlichen Bereich oder Systeme zur Emotionserkennung am Arbeits- oder Bildungsplatz. Für solche Systeme sieht die KI-Verordnung ein Verbot in Europa vor.

Die zweite Risikoklasse besteht aus Hochrisiko-Systemen, wie z. B. Systeme zur Einstellung, Beförderung, Bewertung oder Kündigung von Mitarbeitern, Systeme für den Zugang zu beruflicher Bildung und Bewertung oder Systeme zur biometrischen Identifizierung und Kategorisierung natürlicher Personen. Der Einsatz von Hochrisiko-Systemen soll möglich bleiben. Die Verordnung sieht für diese jedoch vor, dass bestimmte Anforderungen eingehalten und Konformitätsbewertungen durchgeführt werden.

In die dritte Klasse mit geringem Risiko – aber mit einer sehr großen praktischen Bedeutung – fallen KI-Systeme, die für eine direkte Interaktion mit natürlichen Personen bestimmt sind, wie bspw. klassische Chatbots. Für diese sind minimale Transparenzpflichten vorgesehen. Diese Transparenzplichten umfasst unter anderem, dass natürliche Personen darauf hingewiesen werden müssen, dass sie mit KI-System interagieren, sofern dies nicht offensichtlich ist. Ähnliches gilt für KI-Systeme, die Audio-, Bild-, Video- oder Textinhalte generieren. Hier müssen die Ausgaben in maschinenlesbarem Format gekennzeichnet und als künstlich erzeugt erkennbar sein.

Ausblick und nächste Schritte

Um also KI-Systeme in Zukunft im Einklang mit dem Gesetz zu entwickeln und einzusetzen zu können, ist wichtig, zunächst das betroffene Tool in die entsprechenden Risikoklassen einzuordnen. Mithilfe der Risikoklasse kann man dann aus dem Gesetz die entsprechenden Pflichten, wie z. B. den Einsatz angemessener technischer und organisatorischer Maßnahmen oder die menschliche Beaufsichtigung, ableiten und umsetzen.

Zuletzt sollte man nicht vergessen, die ergriffenen Maßnahmen auch zu Nachweiszwecken zu dokumentieren. Denn für Verstöße gegen die Vorgaben der KI-Verordnung sind strenge Sanktionen vorgesehen. Diese umfassen Geldbußen in Höhe von bis zu 35 Mio. Euro oder 7% des weltweiten Jahresumsatzes (vor allem für Verstöße im Zusammenhang mit verbotenen KI-Systemen) oder auch die Verpflichtung entsprechende KI-Systeme vom Markt zu nehmen.

Dies bedeutet allerdings nicht, dass der Einsatz von KI-basierten Tools in Zukunft nicht mehr möglich sein wird. Vielmehr sollte man auf einen richtigen und sicheren Einsatz setzen. Dies gelingt auch, wenn man sich rechtzeitig mit der KI-Verordnung und den daraus resultierenden Pflichten auseinandersetzt und sich dementsprechend auf das Inkrafttreten vorbereitet.

Benötigen Sie Beratung zum Thema KI und deren datenschutzkonformen Einsatz oder allgemein Unterstützung in Sachen Datenschutz? Dann zögern Sie nicht, uns zu kontaktieren. Wir sind bundesweit tätig und unterstützen Sie gerne: info@sidit.de oder 0931-780 877-0.

Melden Sie sich an, um regelmäßig tolle Inhalte in Ihrem Postfach zu erhalten!

Hiermit willige ich ein, dass mich die SiDIT GmbH per E-Mail kontaktieren darf, um mir auf meine persönlichen Interessen zugeschnittene Angebote im Zusammenhang mit ihren Waren/Dienstleitungen zu unterbreiten und mich über Neuigkeiten ihres Unternehmens und Waren/Dienstleistungen zu informieren. Erläuterungen zu Informationen auf Basis persönlicher Interessen erhalten Sie hier. Mir ist bewusst, dass ich diese Einwilligung jederzeit mit Wirkung für die Zukunft, per E-Mail an info@sidit.de widerrufen kann. Wir setzen Sie davon in Kenntnis, dass durch den Widerruf der Einwilligung die Rechtmäßigkeit, der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung, nicht berührt wird. Weitere Informationen finden Sie in unserer Datenschutzerklärung.

21. Mai 2024

Der EU-AI-Act

Anwendungsbereich des EU-AI-Act

Klassifizierung der Systeme

Ausblick und nächste Schritte

VorherigeDer Google Consent Mode V2

NächsteArbeiten im Mobile Office

Verwandte Beiträge ...

Der Google Consent Mode V2

Das Ende der Third Party Cookies?

Freiberufliche Mitarbeiter und der Datenschutz

IT-RECHT. DATENSCHUTZ. EINFACH.