Nach einleitenden Worten von Claudia Schöler, Referatsleiterin für digitale Strategie und Entwicklung der Vertretung des Landes Hessen in Brüssel, wurde die Tagung durch den Vortrag von Axel Voss, Mitglied des Europäischen Parlaments in der EVP-Fraktion, eröffnet. Insbesondere anhand des Phänomens ChatGPT ließe sich die zunehmende Bedeutung von Künstlicher Intelligenz stark verdeutlichen. Vor diesem Hintergrund sei es von fundamentaler Bedeutung, dass eindeutige rechtliche Grenzen definiert würden, die gleichsam die technische Weiterentwicklung nicht zu stark unterbinden würden. Obgleich der Erlass des KI-Verordnungsentwurfs am 21.4.2021 grundsätzlich von enormer Bedeutung für Europa sei, vermöge der derzeitige Entwurf diese Gratwanderung an manchen Stellen noch nicht ausreichend zu erfüllen und müsse daher im Rahmen des Gesetzgebungsverfahren noch ausgeglichen werden.
In welcher Weise diese Schwächen noch behoben werden müssten, bilde den Gegenstand einer Reihe von Änderungsvorschlägen im Ministerrat und den Ausschüssen des Europäischen Parlaments. Während der Ministerrat im Dezember 2022 seinen finalisierten Änderungsvorschlag veröffentlichte, ist eine Veröffentlichung der finalisierten Position des Europäischen Parlaments für das erste Viertel 2023 geplant. Mit der Annahme des Berichts des Europäischen Parlaments könnten sodann die Verhandlung der europäischen Organe im Rahmen des sog. Trilogs beginnen.
In materieller Hinsicht beträfen die Änderungsvorschläge, neben der in dem Entwurf noch viel zu weit geratenden Definition für den Begriff der „KI-Systeme“, vor allem auch das von der Kommission vorgeschlagene Klassifizierungsschema für Hochrisiko-KI-System, das in seiner derzeitigen Ausgestaltung dazu führen würde, dass eine ganz überwiegende Anzahl an KI-Systemen als Hochrisiko-KI-Systeme zu qualifizieren seien. Um jedoch zu gewährleisten, dass die Verordnung nicht durch die Kapazitätsgrenzen der benannten Stellen bei der Konformitätsbewertung auf praktische Umsetzungsschwierigkeiten treffen würden, sei es notwendig das Klassifizierungsschema entsprechend zu spezifizieren, indem der Anwendungskontext stärker in die Klassifizierungsentscheidung miteinbezogen werde. Ferner bestünde eine Notwendigkeit, dass der restriktive Umgang mit Daten aufgeweicht und andererseits Möglichkeiten vorgesehen werden, die es ermöglichen, dass die Systeme auch in der Anwendungsumgebung ausreichend getestet werden können. Da die KI-Verordnung ohnehin nur die wesentlichen Anforderungen festlege, sei es für eine wirksame Umsetzung der KI-Verordnung von zentraler Bedeutung, konkretisierende Normsetzung weitervoranzutreiben.
Die Änderungsvorschläge des sog. „General Approach“ (der allgemeinen Ausrichtung) des Ministerrates bildeten sodann den Gegenstand des zweiten Vortrags von Kilian Gross, Referatsleiter zuständig für die Entwicklung und Koordinierung der Europäischen KI-Politik bei der EU-Kommission bei der GD-Kommunikationsnetze, Inhalte und Technologien (CNECT) in Brüssel. Im Rahmen dieser Änderungen seien insbesondere Klarstellungen in Bezug auf die Definition von KI-Systemen aufgenommen worden. Darüber hinaus habe der Rat versucht den Anwendungsbereich der KI-Verordnung klarzustellen. Die Verordnung solle auch für Systeme gelten, die gleichzeitig einer zivilen und militärischen Zielsetzung dienten (sog. „Dual-Use“-Systeme). Zudem sehe der Vorschlag des Rates die Einführung von besonderen Regelungen explizit für KI-Systeme mit allgemeiner bzw. multipler Zwecksetzung vor.
Durch den besonderen Bedarf eines hohen Datenumfangs von Systemen mit einer allgemeiner bzw. multipler Zwecksetzungen sei es nach Ansicht des Rates dabei von fundamentaler Bedeutung, dass die strengen Vorschriften an Hochrisiko-KI-Systeme auf diese Systeme sachgerecht angepasst würden. Diesen Umstand berücksichtige der Änderungsvorschlag des Rates durch die Möglichkeit der Kommission, konkretisierende Durchführungsrechtsakten zu erlassen. Weitreichende Auswirkungen, die bisher jedoch wenig Aufmerksamkeit erregt hätten, sei ferner durch die von dem Rat vorgeschlagene Ausweitung, des in dem Verordnungsvorschlag vorgesehenen Verbots des sog. „social scorings“ auf private Anbieter, zu erwarten.
Zudem sehe der Änderungsvorschlag des Rates eine Ausweitung der Möglichkeiten vor, dass KI-Systeme auch in Anwendungsfällen getestet werden könnten, ohne dass dabei bereits alle Voraussetzungen des Titel III Kapitel 2 erfüllt werden müssten. Der Rat habe zudem auch die Marktüberwachungsmaßnahmen überarbeitet. Eine Besonderheit bestünde dabei insbesondere darin, dass der Änderungsvorschlag des Rates auf Forderung der Mitgliedstaaten hin eine Unterstützung nationaler Behörden bei der Marktüberwachung vorsehen würde, um diese bei der Umsetzung der KI-Verordnung hinreichend zu unterstützen.
Die zahlreichen Änderungsvorschläge hätten dabei die besonderen Herausforderungen zum Ausdruck gebracht, die mit der Begründung eines horizontalen Rechtsrahmen für algorithmische Systeme verbunden wäre. Eine zukünftige KI-Verordnung muss sich einerseits konsistent in ein umfassendes Geflecht bereits bestehenden Regelungen einfügen und gleichzeitig andererseits gewährleisten, dass bei der Einhaltung höchster Sicherheitsanforderungen die Innovation nicht unterbunden wird.
Der zweite Teil der Tagung widmete sich sodann dem Zusammenspiel des AI-Acts mit Vorgaben des Datenwirtschaftsrechts, namentlich mit Blick auf Unternehmens- oder Finanzdaten und wurde mit dem Vortrag von Prof. Dr. Herbert Zech, Humboldt-Universität zu Berlin, und Direktor am Weizenbaum-Institut für die vernetzte Gesellschaft in Berlin zu dem Thema: „Haftung für Trainingsdaten“, in dem er die Schnittstelle zwischen KI und Datenwirtschaft beleuchtete, eröffnet. Er betonte vorab, dass die von ihm betrachteten Trainingsdaten von Künstlichen Intelligenzen nicht zwangsläufig vom Hersteller einer Künstlichen Intelligenz herrühren müssten. Vielmehr würden die Daten häufig auch von Dritten – etwa den zukünftigen Anwendern der Künstlichen Intelligenz – zur Verfügung gestellt. Dabei sei das Haftungsrecht neben der direkten Regulierung ein wichtiges Steuerungsinstrument des Normgebers. Die Debatte um die Trainingsdaten sei neben der Haftung für die Anwender und Hersteller von Künstlichen Intelligenzen dabei massiv vernachlässigt worden.
Es folgte eine Einordnung der Haftung von Trainingsdaten in die deutsche Rechtsordnung, wobei Zech betonte, dass die für die deutsche Haftung geltende Einordnung auch in anderen Rechtsordnungen auf europäischer Ebene gelte. Für eine Haftung nach § 823 Abs. 1 BGB sei es praktisch schwierig, die Kausalität etwaig fehlerhafter Trainingsdaten für Rechtsgutsverletzungen nachzuweisen. Schwieriger gestalte sich die Frage, ob sich eine Haftung aus § 823 Abs. 2 BGB in Verbindung mit den Verhaltenspflichten aus Art. 10 AI-Act-Entwurf herleiten lassen. Die zentrale Frage sei, ob diese Verhaltenspflichten auch die Datenlieferanten träfen. Das wäre insbesondere relevant für Sachverhalte, in denen nicht die Verletzung eines absoluten Rechtsguts vorläge.
Relevant sei in diesem Zusammenhang auch die Frage nach der Produkthaftung: Bislang reguliere das europäisch determinierte Produkthaftungsrecht nur körperliche Gegenstände, in Zukunft werde aber auch Software aufgenommen. Nichtsdestotrotz sei mit der KRONE-Rechtsprechung des EuGH zu beachten, dass eine Haftung für den reinen Informationsgehalt nicht bestehe. Der Entwurf für die neue Produkthaftungsrichtlinie sehe dabei ein Konzept vor, nachdem nicht nur die Hersteller von Produkten, sondern auch die Hersteller von Komponenten haftbar gemacht werden könnten. Die entscheidende Frage sei daher, ob der Einsatz von Trainingsdaten für das Training einer Künstlichen Intelligenz als Integrierung der Daten in das Produkt oder als Verbindung mit dem Produkt und damit die Daten als Komponente einzuordnen seien. Der Entwurf der KI-Haftungs-RL hingegen enthalte im Wesentlichen nur Beweiserleichterungen und eine Beweislastumkehr, Datenmittler seien wohl jedenfalls nicht umfasst. Zuletzt ging Zech auf die Konsequenzen für die europäische Gesetzgebung ein. Er forderte, die Frage der Haftung der Lieferanten von Trainingsdaten mehr in den Vordergrund zu stellen. Abzuwägen sei zwischen Sicherheitsaspekten und Innovationsfreudigkeit.
Danach trug Dr. Anne-Marie Weber, Assistant Professor an der Universität Warschau, zum Thema „Unternehmensdaten und Künstliche Intelligenz“ vor. Grund für den Vortrag sei die Konzpetion des AI-Acts als Produktregulierung, die eine besondere Schnittstelle zu öffentlich zugänglichen Unternehmensdaten darstelle. Für die Offenlegung von Unternehmensdaten sei besonders das III. Kapitel der RL zur Offenlegung und Vernetzung von Zentral-, Handels-, und Gesellschaftsregistern relevant, welche Offenlegungspflichten für bestimmte Informationen für Unternehmen vorsehe. Der direkte regulatorische Bezug zwischen AI-Act und Offenlegungs-RL fehle derzeit noch komplett, obwohl praktisch ein erheblicher Handlungsbedarf bestehe. Dies ergebe sich insbesondere aus der EuGH-Entscheidung „Manni“. Demnach bestehe kein Recht auf Vergessen von personenbezogenen Daten im Kontext veröffentlichungspflichtiger Unternehmensdaten. Daraus, so Weber, könnte sich für die Nutzung von Unternehmensdaten ein Anwendungsbereich vom AI-Act ergeben. Sie seien „low hanging fruits“, die einen interessanten und großen Datensatz für AI-Anwendungen darstellen sollten. Fraglich ist, ob die „Manni“-Grundsätze unter Berücksichtigung des AI-Acts noch Gültigkeit erlangen würden. Dies gelte insbesondere, da es eine Initiative zur Modernisierung des Gesellschaftsrechts auf EU-Ebene gäbe, nach der vor allem Berichtspflichten auch auf Personengesellschaften und auf weitere Daten (zB Informationen zu Konzernstrukturen) ausgedehnt werden sollen. Dadurch würde der potenzielle Datensatz noch erweitert. Das zentrale Problem sei die fehlende Helikopterperspektive der EU. Auf Ebene des Gesellschaftsrechts und auf AI-Ebene verlaufen die Regulierungskonzepte eher gegensätzlich und nicht kohärent.
Anschließend gab Christine Mai, Policy Officer bei der EU- Kommission, GD Finanzstabilität, Finanzdienstleistungen und Kapitalmarktunion (FISMA) in Brüssel, einen kurzen Input zum Thema Finanzdaten. Die Datenstrategie der Finanzdirektion sei eingebaut in die Gesamtdigitalisierungsstrategie der EU. Die „EU Digital Finance Plattform“, die innovativen Finanzunternehmen unter die Arme greift, solle den Markteintritt von Firmen in weitere EU-Länder erleichtern. Geplant sei auch ein Data-Hub, der Finanzunternehmen Zugang zu nicht-öffentlichen Daten ermöglicht, die zum Testen innovativer Produkte genutzt werden können. Ziel sei auch durch weitere Projekte eine bessere Verbindung von Aufsehern und Marktteilnehmern. Finanzmarktregulierung sei ihrer Zeit oftmals weit voraus.
Es folgte zuletzt eine intensive Diskussion, bei der die verschiedenen aufgeworfenen Aspekte noch tiefer beleuchtet wurden.