WAS BRINGT DER ARTIFICIAL INTELLIGENCE ACT (AIA) FÜR KMU?
„Aktuell ist der KI-Einsatz vor allem eine Frage der Unternehmensgröße“, so die Feststellung einer Umfrage[1] des Digitalverbands Bitkom aus dem Jahr 2022: Während 18% der Unternehmen mit 100 bis 499 Beschäftigten KI-basierte Anwendungen nutzen, sind es fast 50% aller Organisationen mit über 2.000 Mitarbeitenden.
Die Gesetzesinitiative der EU, Vorschriften für die Nutzung Künstlicher Intelligenz festzulegen, entspricht also der Aktualität des Themas. Trotz vieler Bestimmungen, die auf eine gleichberechtige Teilhabe von KMU an dieser Zukunftstechnologie abzielen, gibt es viele Vorgaben, die Nicht-Fachleuten im IT-Recht – und damit den meisten Verantwortlichen im Mittelstand – nicht zwingend klar ein dürften.
RAHMEN DES VERORDNUNGSENTWURFS ÜBER KÜNSTLICHE INTELLIGENZ.
Am 14. Juni 2023 hat das Europäische Parlament dem Entwurf einer „Verordnung zur Festlegung harmonisierter Vorschriften für Künstliche Intelligenz“ zugestimmt und damit den Weg für das weitere EU-Gesetzgebungsverfahren freigegeben.
Als Begriffsbestimmung für „KI-System“ liefert das Gesetz über Künstliche Intelligenz (Artificial Intelligence Act, AIA) in Artikel 3.1 eine Definition[2], die den Grad der System-Autonomie und damit die Unabhängigkeit von menschlicher Intervention zum zentralen Kriterium macht. Eine genauere Auflistung von Techniken und Konzepten der Künstlichen Intelligenz enthält Anhang I des Kommissionsvorschlags zum AIA und nennt Maschinelles Lernen, Logik- und wissensgestützte Konzepte sowie statistische Ansätze[3].
Das Ziel der Gesetzesinitiative ist, menschenzentrierte und vertrauenswürdige – so der Wortlaut – KI-Innovation zu fördern, die internationale Wettbewerbsfähigkeit in der EU ansässiger Unternehmen zu unterstützen und gleichzeitig natürliche und juristische Personen vor den Nachteilen von KI-Systemen zu schützen.
Zielgruppe des AIA sind Anbieter und Betreiber von KI-basierten Systemen. Dabei werden als „Anbieter“ solche Unternehmen bezeichnet, die Künstliche Intelligenz entwickeln und vertreiben. Als „Betreiber“ gelten Organisationen, die fremdentwickelte KI-Systeme für ihre Tätigkeit und unter ihrer Verantwortung einsetzen. Private Nutzer sind durch die zukünftige Verordnung nicht betroffen.
ALLGEMEINE GRUNDSÄTZE, RISIKOKLASSEN UND SONDERFALL GPAI.
Artikel 4a benennt „Allgemeine Grundsätze“, die für alle KI-Systeme in der EU gelten – unabhängig von ihrer Risikoklasse (s.u.). Sie sollen:
- menschenzentriert ausgelegt sein, d.h. den Menschen dienen und durch Menschen kontrollierbar sein
- technisch zuverlässig, sicher und bei unerwarteten Problemen robust sein
- im Einklang mit EU-Datenschutzbestimmungen entwickelt und betrieben werden
- Nutzern anzeigen, dass sie mit einer Maschine interagieren
- die Rückverfolgbarkeit und Erklärbarkeit der Interaktionen gewährleisten
- Vielfalt, Nichtdiskriminierung und Fairness fördern
- in Betrieb und bei Ausfall ökologische Folgen berücksichtigen
Neben diesen Allgemeinen Grundsätzen verwendet der Text einen risikobasierten Ansatz zur Klassifizierung von KI-Systemen und nimmt eine gesonderte Einordnung von generativer KI (General Purpose AI, GPAI) vor.
Konzeptionell geht der Entwurf von einer potenziellen Gefährdung von Gesundheit, Sicherheit und Grundrechten durch KI-Systeme aus und unterteilt sie in vier Gruppen mit minimalem, geringem, hohem und inakzeptablem Risiko – versehen mit ansteigenden Anforderungen bis hin zum Verbot.
Im Hinblick auf die Risikoklassifizierung gelten Basismodelle im aktuellen VO-Entwurf nicht mehr als hochriskant. Erst wenn sie in Hoch-Risiko-KI-Systeme integriert werden, müssen auch GPAI- bzw. FM-Anbieter die sehr strengen Vorgaben dieser Kategorie erfüllen.
Bei Non-Compliance mit der KI-Verordnung drohen Anbietern ähnliche hohe Sanktionen wie im Rahmen der DSGVO. Bei Hochrisiko-KI-Systemen kann sich die Strafzahlung auf bis zu 6% des weltweiten Jahresumsatzes oder maximal 30 Mio. € belaufen.
BERÜCKSICHTIGUNG MITTELSTÄNDISCHER KI-INNOVATOREN UND BETREIBER.
Die EU hat sich in ihrer Initiative zur Regulierung von KI-Systemen nicht nur von ethischen Prinzipien leiten lassen. Der Entwurf enthält ebenfalls einige dezidierte Bestimmungen, um mittelständische KI-Innovatoren und Betreiber in ihrer Geschäftstätigkeit zu unterstützen.
Hier eine Auswahl wichtiger Vorteile für KMU gemäß AIA, Artikel 53, 55, 58 und 69[6]:
- Gewährung eines vorrangigen, kostenlosen Zugangs zu KI-Reallaboren[7] für in der Union niedergelassene KMU
- an die rechtlichen und administrativen Kapazitäten angepasste Kommunikation in Zusammenhang mit der Teilnahme von KMU an Reallaboren
- Durchführung besonderer, auf KMU-Bedürfnisse zugeschnittener Maßnahmen für die Compliance mit der Verordnung – gegebenenfalls die Einrichtung eigener Kanäle für die diesbezügliche Kommunikation mit KMU
- Förderung der Beteiligung von KMU an der Entwicklung weiterer KI-Normen
- Berücksichtigung der besonderen Interessen von KMU bei der Festsetzung der Gebühren für die Konformitätsbewertung gemäß Art. 43 durch Absenken der Gebühren proportional zu deren Entwicklungsstadium, Größe und Marktnachfrage
- Regelmäßige Bewertung der Zertifizierungs- und Befolgungskosten für KMU durch transparente Stakeholder-Konsultationen
- In Ergänzung zum Europäischen Amt für künstliche Intelligenz, Einsetzung eines Beirats unter Beteiligung von KMU und der ausgewogenen Berücksichtigung KMU-spezifischer Inhalte innerhalb der Gruppe der gewerblichen Beiratsmitglieder
- Berücksichtigung der besonderen Bedürfnisse von KMU bei der Aufstellung von Verhaltenskodizes durch die Kommission und das Amt für künstliche Intelligenz.
Trotz dieser KMU-freundlichen Bestimmungen gibt es auch kritische Stimmen. Den größten Nachteil sehen viele Interessenvertreter in der Compliance mit der zukünftigen Verordnung. Deren Umsetzung, so schreibt zum Beispiel Dr. David Bomhard in seinem Beitrag „Zu viel KI-Regulierung durch die EU?“[8], würde „enorme personelle und finanzielle (..) Ressourcen“ erfordern, daher kleinere KI-Unternehmen benachteiligen und für „Tech-Giganten“ erhebliche Wettbewerbsvorteile bringen. Ist ein Unternehmen, das fremdentwickelte KI in eigenentwickelten Produkten in Verkehr bringt ein Anbieter oder ein Betreiber? Aus welchem Grund gibt es das doppelte Klassifizierungskonzept nach Risikoklasse und GPAI? Was exakt fällt im Rahmen der Verordnung unter den Begriff Basismodell? Welche Pflichten bestehen im Hinblick auf gewerbliche Schutzrechte für nachgeschaltete Anbieter etc.? Diese kritischen Bewertungen und Fragen gilt es, im kommenden Trilog zwischen Parlament, Rat und Kommission zu diskutieren und gegebenenfalls nachzubessern.
Wird noch in diesem Jahr eine Einigung erreicht, könnte die Verordnung Mitte 2024 formell in Kraft treten. Die daran anschließende 2jährige Übergangsfrist sollten alle KMU nutzen, um sich mit dem KI-Gesetz auseinanderzusetzen, dessen weitere Entwicklung zu verfolgen und Fragen zum Umgang mit gewerblichen Schutzrechten, Datenschutz, Vertraulichkeit und Nutzungsbedingungen ihrer KI-basierten Produkte und Dienstleistungen zu klären.
Scroll to see full table content
Risikoklasse | Kennzeichen | Beispiel | Anforderung |
minimales Risiko | KI-basierte Software | Computerspiele Spamfilter | keine |
geringes Risiko | KI-Systeme mit direkter Mensch-KI-Interaktion | Chatbots | Transparenz- pflicht |
hohes Risiko | KI-Systeme, die (a) in Produkten eingesetzt werden, welche den Produktsicherheitsvorschriften der EU unterliegen, die (b) selbst solche Produkte sind oder die (c) in Anhang III der VO aufgeführt | KI für das Management kritischer Infrastruktur KI im Bereich Beschäftigung und Personalmanagement Online-Plattformen mit über 45 Mio Nutzer | – Transparenz-pflicht – Offenlegungs-pflicht[4] – Dokumentations-pflicht – Risikomanagement – menschliche Aufsicht – Cybersicherheit – Meldung gravierender Vorfälle – Qualitätskriterien für Trainings‑, Validierungs- und Testdatensätze |
inakzeptables Risiko | KI-Systeme, die unter Verletzung der Grundrechte z. B. zur Emotionserkennung, Überwachung und Manipulation von Menschen eingesetzt werden können | Social Scoring; biometrische Identifizierung im öffentlichen Raum; Verhaltensmanipulation | grundsätzliches Verbot |
Im Hinblick auf die Risikoklassifizierung gelten Basismodelle im aktuellen VO-Entwurf nicht mehr als hochriskant. Erst wenn sie in Hoch-Risiko-KI-Systeme integriert werden, müssen auch GPAI- bzw. FM-Anbieter die sehr strengen Vorgaben dieser Kategorie erfüllen.
Bei Non-Compliance mit der KI-Verordnung drohen Anbietern ähnliche hohe Sanktionen wie im Rahmen der DSGVO. Bei Hochrisiko-KI-Systemen kann sich die Strafzahlung auf bis zu 6% des weltweiten Jahresumsatzes oder maximal 30 Mio. € belaufen.
BERÜCKSICHTIGUNG MITTELSTÄNDISCHER KI-INNOVATOREN UND BETREIBER.
Die EU hat sich in ihrer Initiative zur Regulierung von KI-Systemen nicht nur von ethischen Prinzipien leiten lassen. Der Entwurf enthält ebenfalls einige dezidierte Bestimmungen, um mittelständische KI-Innovatoren und Betreiber in ihrer Geschäftstätigkeit zu unterstützen.
Hier eine Auswahl wichtiger Vorteile für KMU gemäß AIA, Artikel 53, 55, 58 und 69[6]:
- Gewährung eines vorrangigen, kostenlosen Zugangs zu KI-Reallaboren[7] für in der Union niedergelassene KMU
- an die rechtlichen und administrativen Kapazitäten angepasste Kommunikation in Zusammenhang mit der Teilnahme von KMU an Reallaboren
- Durchführung besonderer, auf KMU-Bedürfnisse zugeschnittener Maßnahmen für die Compliance mit der Verordnung – gegebenenfalls die Einrichtung eigener Kanäle für die diesbezügliche Kommunikation mit KMU
- Förderung der Beteiligung von KMU an der Entwicklung weiterer KI-Normen
- Berücksichtigung der besonderen Interessen von KMU bei der Festsetzung der Gebühren für die Konformitätsbewertung gemäß Art. 43 durch Absenken der Gebühren proportional zu deren Entwicklungsstadium, Größe und Marktnachfrage
- Regelmäßige Bewertung der Zertifizierungs- und Befolgungskosten für KMU durch transparente Stakeholder-Konsultationen
- In Ergänzung zum Europäischen Amt für künstliche Intelligenz, Einsetzung eines Beirats unter Beteiligung von KMU und der ausgewogenen Berücksichtigung KMU-spezifischer Inhalte innerhalb der Gruppe der gewerblichen Beiratsmitglieder
- Berücksichtigung der besonderen Bedürfnisse von KMU bei der Aufstellung von Verhaltenskodizes durch die Kommission und das Amt für künstliche Intelligenz.
Trotz dieser KMU-freundlichen Bestimmungen gibt es auch kritische Stimmen. Den größten Nachteil sehen viele Interessenvertreter in der Compliance mit der zukünftigen Verordnung. Deren Umsetzung, so schreibt zum Beispiel Dr. David Bomhard in seinem Beitrag „Zu viel KI-Regulierung durch die EU?“[8], würde „enorme personelle und finanzielle (..) Ressourcen“ erfordern, daher kleinere KI-Unternehmen benachteiligen und für „Tech-Giganten“ erhebliche Wettbewerbsvorteile bringen. Ist ein Unternehmen, das fremdentwickelte KI in eigenentwickelten Produkten in Verkehr bringt ein Anbieter oder ein Betreiber? Aus welchem Grund gibt es das doppelte Klassifizierungskonzept nach Risikoklasse und GPAI? Was exakt fällt im Rahmen der Verordnung unter den Begriff Basismodell? Welche Pflichten bestehen im Hinblick auf gewerbliche Schutzrechte für nachgeschaltete Anbieter etc.? Diese kritischen Bewertungen und Fragen gilt es, im kommenden Trilog zwischen Parlament, Rat und Kommission zu diskutieren und gegebenenfalls nachzubessern.
Wird noch in diesem Jahr eine Einigung erreicht, könnte die Verordnung Mitte 2024 formell in Kraft treten. Die daran anschließende 2jährige Übergangsfrist sollten alle KMU nutzen, um sich mit dem KI-Gesetz auseinanderzusetzen, dessen weitere Entwicklung zu verfolgen und Fragen zum Umgang mit gewerblichen Schutzrechten, Datenschutz, Vertraulichkeit und Nutzungsbedingungen ihrer KI-basierten Produkte und Dienstleistungen zu klären.
[1] Vgl.: https://www.bitkom.org/Presse/Presseinformation/Kuenstliche-Intelligenz-2022 (abgerufen am 03.07.2023)
[2] „Maschinengestütztes System, das so konzipiert ist, dass es mit unterschiedlichem Grad an Autonomie operieren kann und das für explizite oder implizite Ziele Ergebnisse wie Vorhersagen, Empfehlungen oder Entscheidungen hervorbringen kann, die das physische oder virtuelle Umfeld beeinflussen“. Vgl.: https://www.europarl.europa.eu/doceo/document/TA-9-2023-0236_DE.html (abgerufen am 03.07.2023)
[3] Ebd.: Detailliert: „(a) Konzepte des Maschinelles Lernes, mit beaufsichtigtem, unbeaufsichtigtem und bestärkendem Lernen (…) einschließlich des tiefen Lernens (Deep Learning); (b) Logik- und wissensgestützte Konzepte einschließlich Wissensrepräsentation, induktiver (logischer) Programmierung, Interferenz- und Deduktionsmaschinen, (symbolischer) Schlussfolgerungs- und Expertensysteme“; (c) Statistische Ansätze; Bayessche Schätz-, Such- und Optimierungsmethoden“
[5] Beispielsweise Information für natürliche Personen, dass sie mit einem KI-System interagieren oder die Vorlage einer Liste aller für Trainingszwecke verwendeten, urheberrechtlich geschützten Daten auch für nachgeschaltete Anbieter oder Betreiber Vgl. https://www.europarl.europa.eu/doceo/ document/TA-9-2023-0236_DE.html (abgerufen am 03.07.2023)
[6] Vgl.: ebd.
[7] KI-Reallabor: „Ein offener und gleichzeitig geschützter Kollaborationsraum für Mensch und Technik“, in dem „mit möglichst wenigen Regulierungen (..) Potenziale und Auswirkungen von KI in enger Kooperation zwischen Wissenschaft und Industrie in realen Produktionsumgebungen erforscht werden.“ Vgl. https://www.iosb-ina.fraunhofer.de/de/geschaeftsbereiche/ maschinelles-lernen/next-level-ml/ki-reallabor.html#:~:text=Das%20vom%20BWMI%20gef%C3%B6rderte%20KI, in%20 realen%20Produktionsumgebungen%20erforscht%20werden. (abgerufen am 03.07.2023)
[8] Vgl.: LinkedIn Notification „Im Fokus“ vom 15.6.2023