R&W Abo Buch Datenbank Veranstaltungen Betriebs-Berater
 
BM - Berater-Magazin
Header Pfeil
 
 
K&R 2024, I
Franke 

Der AI Act kommt

Abbildung 1

RAin Lucia Franke, B. A.

Das Gesetz über Künstliche Intelligenz – auch bekannt als „AI Act“ – kommt. Bereits im Dezember haben sich das Europäische Parlament, der Rat der Europäischen Union und die Europäische Kommission im Trilog auf einen Gesetzesentwurf geeinigt. Inkrafttreten wird der AI Act dann vermutlich im zweiten oder dritten Quartal dieses Jahres.

Aber was ist der AI Act überhaupt? Mit dem AI Act hat die EU versucht, auf die rasanten Entwicklungen im Bereich der Künstlichen Intelligenz zu reagieren. Reguliert werden mit dem AI Act aber nicht nur die bekannten KI-Systeme wie OpenAIs ChatGPT, Microsofts Copilot, Googles Gemini etc. Stattdessen soll jede Software, die mit „varying levels of autonomy“ arbeitet und nach der Entwicklung „may exhibit adaptiveness“, als KI-System reguliert sein, wenn die Software aus einem Input einen Output generiert wie „predictions, content, recommendations, or decisions that can influence physical or virtual environments“. Kurz gesagt: Sehr viel Software wird zukünftig durch den AI Act reguliert sein.

Dieser breite Anwendungsbereich ist gewollt: Denn die Entwicklung und der Einsatz von KI-Systemen bergen Risiken. Die EU hat dabei aber nicht nur Risiken vor Augen gehabt, die dabei für die Gesundheit und Rechte natürlicher Personen entstehen. Der AI Act hat vielmehr auch zum erklärten Ziel, die Risiken für Sicherheit, Demokratie, Rechtsstaatlichkeit und Umweltschutz zu minimieren. Es verwundert dennoch, dass derart viele unkritische Systeme durch den AI Act als „Hochrisiko KI-Systeme“ eingestuft werden. Im Ergebnis ist der AI Act ein Gesetz, das im KI-Bereich viel verbietet oder nur gestattet, wenn ein umfangreiches Pflichtenprogramm mit technischen, organisatorischen und rechtlichen Aufgaben erfüllt wird.

Welche Pflichten das genau sein werden, ist gar nicht so klar: An vielen Stellen bleiben die Anforderungen des AI Act unkonkret. Diese Lücke schließen soll die EU-Kommission durch den Erlass von Guidelines, die die praktische Umsetzung des AI Act konkretisieren sollen. Wann dies geschehen wird und wie viel Klarheit die EU-Kommission dann bringen wird, bleibt abzuwarten. Denn die Konkretisierung des AI Act ist nicht die einzige Hausaufgabe, die der AI Act der Kommission mitgibt: Für die Teilbereiche, für die der AI Act nicht unmittelbar gilt, wie beispielsweise für das Typgenehmigungsverfahren im Automobilsektor, muss die Kommission den AI Act durch delegierte Rechtsakte und Durchführungsrechtsakte noch in die Branchenregelungen überführen.

Neben dem Schutz vor Risiken durch die Entwicklung und den Einsatz von KI-Systemen hat der AI Act übrigens noch ein zweites Ziel: Die Förderung von Innovation. Innovation im IT-Bereich ist in der EU derzeit eine echte Herausforderung. Es gilt nicht nur, ein Regelungsdickicht an zahlreichen EU-Gesetzen zu durchsteigen, die in den letzten Jahren ergangen sind und zunehmend immer mehr Pflichten auferlegen (z. B. Data Act, Digital Services Act, Cyber Resilience Act, NIS 2, etc.). Sondern Innovationsschaffende müssen auch Wege finden, mit den bestehenden und geplanten Gesetzen umzugehen.

Nimmt sich der AI Act diesen Innovationshürden an? Schafft er Ausnahmeregelungen von den im KI-Kontext ohnehin nicht ganz passenden Gesetzen? Ein Blick auf die konkreten Regelungen des AI Act ernüchtert: Ausnahmen von den strengen Vorschriften des Datenschutzrechts werden nur ganz vereinzelt getroffen, das Urheberrecht bleibt unangetastet. Und die Vorschriften, die Innovation konkret fördern sollen, werden in der Praxis auf wenige Anwendungsfälle beschränkt bleiben. Damit bleibt die Förderung von Innovation nicht mehr als ein Lippenbekenntnis.

Gerade KMU wird der AI Act deshalb hart treffen. Für KMU sieht der AI Act nur wenige Privilegierungen vor, die zudem nicht von dem umfangreichen Pflichtenprogramm entlasten. Anders als für die Big Tech wird die Umsetzung des AI Act für KMU deshalb einen spürbaren Teil personeller, finanzieller und zeitlicher Ressourcen beanspruchen.

Was also ist zu tun? Die Umsetzungsfrist des AI Act erscheint mit 2 Jahren (bzw. 3 Jahren bei Hochrisiko-KI-Systemen) auf den ersten Blick zwar lang zu sein. Da jedoch unklar ist, wann die Kommission die Anforderungen des AI Act weiter konkretisieren wird und das Pflichtenprogramm umfangreich ist, ist es ratsam, sich schon jetzt intensiv mit den möglichen Anforderungen auseinanderzusetzen.

RAin Lucia Franke, B. A.*

*

Jahrgang 1994; 2012-2020 Studium der Philosophie und der Rechtswissenschaft an der Goethe Universität in Frankfurt; 2020-2021 Akademiestudium Informatik an der Fernuni Hagen; 2018-2022 Promotion zur juristischen Argumentationstheorie an der Goethe Universität Frankfurt (in Zweitkorrektur); seit 2023 Rechtsanwältin bei Aitava; Schwerpunktbereiche: KI- und IT-Recht.

 
stats