Veröffentlichung des AI Acts im Amtsblatt der Europäischen Union

Die Notwendigkeit harmonisierter Vorschriften für Künstliche Intelligenz

Künstliche Intelligenz (KI) ist ein sich rasant entwickelndes Technologiefeld, das zahlreiche wirtschaftliche, ökologische und gesellschaftliche Vorteile für verschiedene Industriezweige und Bereiche des öffentlichen Lebens mit sich bringt. Gleichzeitig kann KI auch Risiken für das öffentliche Interesse und die durch das EU-Recht geschützten Grundrechte – wie die Menschenwürde oder die Versammlungsfreiheit – erzeugen. Um ein hohes Maß an Sicherheit zu gewährleisten und das Funktionieren des Binnenmarktes zu verbessern, wurden gemeinsame Regeln für die Entwicklung, das Inverkehrbringen, die Bereitstellung und die Nutzung von KI-Systemen in der EU festgelegt, die im sogenannten AI Act veröffentlicht wurden.

Anwendungsbereich

Der EU-AI-Act, der auf einem risikobasierten Ansatz beruht, definiert Anforderungen für alle KI-Systeme und legt Pflichten fest für:

• Anbieter, die KI-Systeme oder allgemeine KI-Modelle in der EU in Verkehr bringen oder in Betrieb nehmen (unabhängig davon, ob sie in der EU oder in einem Drittland ansässig sind),
• Anwender von KI-Systemen, die ihren Sitz oder Standort in der EU haben,
• Anbieter und Anwender von KI-Systemen aus Drittländern, wenn die von der KI erzeugten Ergebnisse in der EU verwendet werden,
• Importeure und Händler von KI-Systemen,
• Hersteller von Produkten, die KI-Systeme in ihre Produkte integrieren und diese unter eigenem Namen oder eigener Marke in Verkehr bringen,
• Bevollmächtigte Vertreter von außerhalb der EU ansässigen Anbietern,
• betroffene Personen, die sich in der EU befinden.

Der AI Act gilt nicht für KI-Systeme, die ausschließlich zu militärischen, verteidigungs- oder sicherheitspolitischen Zwecken eingesetzt werden.

Was ist ein KI-System?

Nicht alle Technologien, die üblicherweise mit dem Begriff „Künstliche Intelligenz“ in Verbindung gebracht werden, fallen unter die Definition eines „KI-Systems“ und somit in den Anwendungsbereich der Verordnung. Gemäß Artikel 3(1) des AI Acts bezeichnet ein „KI-System“ ein maschinengestütztes System, das mit unterschiedlichen Autonomiestufen arbeitet, nach der Bereitstellung Anpassungsfähigkeit zeigen kann und – mit ausdrücklichen oder impliziten Zielen – auf der Grundlage der erhaltenen Eingaben ableitet, wie es Ausgaben wie Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen erzeugt, die physische oder virtuelle Umgebungen beeinflussen können.

Risikobasierter Ansatz

Je nach Risiko, das mit dem Einsatz des KI-Systems verbunden ist, werden folgende Risikostufen unterschieden:

• Unvertretbares Risiko – KI-Systeme, die eine unzumutbare Gefahr für Personen oder ihre Grundrechte darstellen, z. B. Systeme, die ältere Menschen durch manipulative Techniken in ihrer Entscheidungsfähigkeit beeinträchtigen.
• Hohes Risiko – KI-Systeme mit erheblichen Auswirkungen, etwa zur Fernidentifizierung biometrischer Daten oder zur Bewerberauswahl; sie unterliegen strengen Auflagen zu Datensicherheit, Transparenz und menschlicher Aufsicht.
• Begrenztes Risiko – Systeme mit geringeren Transparenzpflichten, z. B. Chatbots oder Deepfakes, bei denen Nutzer über den KI-Einsatz informiert werden müssen.
• Minimales Risiko – KI-Systeme mit sehr geringem Einfluss, etwa Spamfilter oder Videospiel-KI.

Deepfakes

Betreiber von KI-Systemen, die Bilder, Audio- oder Videoinhalte erzeugen oder manipulieren, die als Deepfake gelten, müssen darauf hinweisen, dass solche Inhalte künstlich erstellt oder verändert wurden. Diese Verpflichtung gilt nicht, wenn die Nutzung rechtmäßig ist und der Aufdeckung, Verhütung, Untersuchung oder Strafverfolgung von Straftaten dient. Wenn die Inhalte Teil eines künstlerischen, kreativen, satirischen oder fiktionalen Werks sind, genügt ein Hinweis, der das Publikum angemessen informiert, ohne die Wahrnehmung des Werks zu beeinträchtigen.

„Deepfake“ bezeichnet KI-generierte oder manipulierte Bild-, Audio- oder Videoinhalte, die real existierenden Personen, Objekten, Orten oder Ereignissen ähneln und fälschlicherweise echt erscheinen.

Wichtige Termine

• 12. Juli 2024 – Veröffentlichung des AI Acts im Amtsblatt der Europäischen Union
• 1. August 2024 – Inkrafttreten des AI Acts
• 2. Februar 2025 – Anwendung der allgemeinen Bestimmungen (Kapitel I) und der Bestimmungen zu verbotenen KI-Praktiken (Kapitel II)
• 2. August 2025 – Anwendung der Vorschriften zu notifizierenden Behörden, allgemeinen KI-Modellen, Governance, Sanktionen (außer Geldstrafen für Anbieter allgemeiner KI-Modelle) und Vertraulichkeit
• 2. August 2026 – vollständige Anwendung des AI Acts
• 2. August 2027 – Anwendung der Klassifizierungsregeln für Hochrisiko-KI-Systeme und der entsprechenden Verpflichtungen

Konformitätsbewertung von Medizinprodukten mit integrierten KI-Systemen

Gemäß dem Neuen Rechtsrahmen (NLF) kann ein Produkt mehreren unionsrechtlichen Harmonisierungsrechtsakten unterliegen. Medizinprodukte und In-vitro-Diagnostika, die KI-Systeme enthalten, können Risiken aufweisen, die durch die EU-Medizinprodukteverordnungen (EU) 2017/745 bzw. (EU) 2017/746 nicht vollständig abgedeckt sind. Daher müssen Hersteller dieser Produkte die Anforderungen sowohl der MDR/IVDR als auch des AI Acts erfüllen.

Um Konsistenz zu gewährleisten und Kosten zu reduzieren, können Hersteller bestimmte Prüf- und Berichtspflichten des AI Acts in ihre bereits vorhandene MDR/IVDR-Dokumentation integrieren. Dies darf jedoch die vollständige Einhaltung aller relevanten Vorschriften nicht beeinträchtigen.

Notifizierte Stellen werden von den zuständigen Behörden hinsichtlich ihrer Fachkenntnis im Bereich KI bewertet. Nach positiver Bewertung können sie CE-Zertifikate gemäß den geltenden Konformitätsbewertungsverfahren ausstellen, wobei auch Aspekte wie Datenmanagement, Protokollierung und menschliche Aufsicht berücksichtigt werden.

Sanktionen bei Nichteinhaltung

• bis zu 35 Mio. € oder 7 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist) für Verstöße gegen verbotene KI-Praktiken,
• bis zu 15 Mio. € oder 3 % des weltweiten Jahresumsatzes für Verstöße gegen Betreiber- oder Benannte-Stellen-Vorschriften,
• bis zu 7,5 Mio. € oder 1 % des weltweiten Jahresumsatzes für falsche oder irreführende Angaben gegenüber Benannten Stellen oder nationalen Behörden.

Fazit

Der AI Act stellt einen umfassenden Rechtsrahmen für die Regulierung der Entwicklung und Nutzung von KI-Systemen in der EU dar. Während die Verordnung viele Anpassungen vorsieht, um eine einheitliche Anwendung mit den Medizinprodukteverordnungen (MDR/IVDR) zu ermöglichen, bleiben die praktischen Herausforderungen bei der Umsetzung zahlreich. Die Medical Device Coordination Group (MDCG) plant, im vierten Quartal 2024 Leitlinien unter dem Titel „FAQ on Interplay between MDR/IVDR and AIA“ zu veröffentlichen, um Herstellern ein besseres Verständnis der Schnittstelle zwischen MDR/IVDR und AI Act zu ermöglichen.

Mehr erfahren: https://eur-lex.europa.eu/eli/reg/2024/1689/oj