Die Abgeordneten des EU-Parlaments haben bereits im März des Kalenderjahres 2024 die sogenannte „KI-Verordnung“ (den AI Act) angenommen. Sie ist nach Prüfung von Rechts- und Sprachsachverständigen am 1. August 2024 in Kraft getreten (EU-Verordnung 2024/1689 des Europäischen Parlaments und des Rates vom 13. Juni 2024 zur Festlegung harmonisierter Vorschriften für die künstliche Intelligenz und zur Änderung verschiedener früherer Verordnungen).
Gepriesen wird der EU AI Act als erste umfassende Verordnung über Künstliche Intelligenz durch eine Regulierungsbehörde weltweit. Die Anwendungen werden in drei Risikokategorien eingeordnet, nämlich in inakzeptable Risiken (wie z.B. staatlich betriebene Social Scorings wie etwa in China), in Anwendungen mit hohem Risiko (z.B. Tools zum Scannen von Lebensläufen, die eine Rangfolge der Bewerber herstellen) sowie sonstige Anwendungen mit begrenztem oder minimalem Risiko. KI-Systeme mit begrenztem Risiko müssen nur Transparenzanforderungen erfüllen, minimale Risiken lösen keine spezifischen regulatorische Vorgaben aus.
Obwohl natürlich das Anliegen der EU zu begrüßen ist, ein hohes Schutzniveau für die Gesellschaft zu sichern und gleichzeitig Innovationen zu fördern, dürfte die praktische Umsetzbarkeit der Verordnung nicht einfach werden, sie schafft insbesondere hohen Bürokratieaufwand, der schon bislang harsche Kritik an EU-rechtlichen Vorgaben im Wirtschaftsleben hervorrief. Die Zielsetzung an sich erinnert an die Quadratur des Kreises.
Ohne Rücksicht darauf, wann die EU-Verordnung umgesetzt wird, bedarf es bereits jetzt vertraglicher Vorkehrungen insbesondere im Bereich der Lizenzierung von Software und im Rahmen von Einkaufsbedingungen, insbesondere wenn sie IT-Produkte zum Gegenstand haben. Auch im Rahmen des Datenschutzes müssen vertragliche Regelungen zur Auftragsdatenverarbeitung betreffend KI ergänzt werden, wenn Unternehmen Produkte untereinander austauschen, die teilweise mit Künstlicher Intelligenz geschaffen wurden. Unternehmen sind gut beraten, jedenfalls Anzeigepflichten vorzusehen, soweit KI-Leistungen in ihrer Software oder in IT-Dienstleistungen implementiert sind.
Eine Anpassung bisheriger Standard-Regelungen in Bezug auf Künstliche Intelligenz ist jedenfalls angezeigt.
Dr. Walter Brunner, Rechtsanwalt