NJW-Editorial
KI-Verordnung ante portas

Eine 33-monatige Odyssee des EU-Gesetzgebers geht zu Ende. Die KI-Verordnung steht. Das Ergebnis ist ernüchternd: Getrieben durch Angst, die EU könne nach der Europawahl die „Leadership in AI Governance“ verlieren, wurde mit heißer Nadel an einem innovationsfeindlichen Verbotsgesetz gestrickt.

14. Feb 2024

Bis heute fehlt eine belastbare Empirik zur Notwendigkeit und zum Umsetzungsaufwand. Der Kompetenzverlust der Mitgliedstaaten durch Bildung eines „AI Offices“ dürfte noch den EuGH beschäftigen. Der AI Act ist ein Musterbeispiel für schlechte Rechtsetzung. Doch er kommt. Am 2.2.​2024 haben die Mitgliedstaaten einem Trilogergebnis zugestimmt, das viele umstrittene Anforderungen verschlimmbessert. Die Zustimmung des EU-Parlaments (am 10./11.4.​2024) sowie einer Ratsformation gilt als reine Formsache. Die KI-Verordnung wird voraussichtlich im zweiten Quartal 2024 in Kraft treten.

Für Unternehmen gilt es nun, die Ärmel hochzukrempeln und schnellstmöglich mit der Umsetzung zu starten. Zunächst müssen alle Tools aus dem Verkehr gezogen werden, die einen KI-Verbotstatbestand erfüllen. Das betrifft etwa KI zur Bewertung des Sozialverhaltens oder zur Emotionserkennung am Arbeitsplatz. Die Umsetzungsfrist hierfür beträgt nur sechs Monate, läuft also bis ca. Ende 2024. Verstöße sind nicht vergnügungssteuerpflichtig, es drohen Bußgelder von bis zu 35 Mio. Euro bzw. 7 % des weltweiten Jahresumsatzes.

Eine weitere Herausforderung besteht darin, dem Pflichtenkorsett für Hochrisiko-KI-Systeme zu entkommen. Hierbei gibt es schöne Gestaltungsmöglichkeiten, auch weil der eilige Gesetzgeber handwerkliche Fehler und Lücken in Kauf genommen hat. Vielversprechend ist, dass bestimmte KI-Systeme für vorbereitende Aufgaben vom Hochrisiko-Tatbestand ausgenommen sind. Zudem droht ein Vollzugsdefizit: Im Cloud-Zeitalter lässt sich ein KI-System leicht in Nicht-EU-Länder mit technologiefreundlicheren Gesetzen verlagern. Zwar erfasst der AI Act auch ausländische KI-Systeme, deren Output in die EU gelangt. Aber wie wollen Behörden kontrollieren, ob transatlantische (verschlüsselte) Signale KI-Output enthalten? Das wirkt praxisfern, genauso wie das in Brüssel angestrebte „Level-Playing Field“ in einer globalisierten Welt.

Kann man dem Hochrisiko-Tatbestand nicht entkommen, sind zahlreiche technische und organisatorische Anforderungen innerhalb von 24 bzw. 36 Monaten umzusetzen. Wer das Rad nicht neu erfindet, sondern seine KI auf ein General Purpose AI Model (zB GPT4) aufbaut, kann in den Genuss gewisser Unterstützung durch dessen Anbieter (zB Microsoft) kommen – so die Theorie. In jedem Fall sollten bei der Umsetzung des AI Act die parallelen Rechtsakte mitgedacht werden, wie etwa der Data Act, der Cyber Resilience Act sowie die neue ProdukthaftungsRL. Die EU ist Weltspitze. Im Regulieren. Der AI Act war wohl leider nicht die letzte Odyssee des Gesetzgebers.

Dieser Inhalt ist zuerst in der NJW erschienen. Sie möchten die NJW kostenlos testen? Jetzt vier Wochen gratis testen inkl. Online-Modul NJWDirekt

Dr. David Bomhard ist Physiker und Rechtsanwalt bei Aitava in München.