Von Prof. Dr. Dr. h.c. Gerhard Dannecker, Universität Heidelberh
1. Die Europäische Union hat mit dem Artificial Intelligence Act das weltweit erste umfassende KI-Gesetz beschlossen, um Künstliche Intelligenz als Faktor der Entfaltung der Persönlichkeit und als Wirtschaftsfaktor zu fördern, die Bürger, die Unternehmen und den Staat vor Schäden zu schützen und das Recht in diesem Bereich EU-weit zu harmonisieren. In diesem Rechtsakt werden KI-Systeme identifiziert, die im jeweiligen Anwendungskontext regulierungsbedürftig sind; es werden die verantwortlichen Personen benannt, Ge- und Verbote statuiert, Sanktionen angedroht, Transparenzpflichten auferlegt sowie Audits, Zulassungsverfahren und Zertifizierungen gefordert. Die Pflichten betreffen vor allem den Anbieter des KI-Systems, teilweise den Betreiber und punktuell den Einführer, Händler, Bevollmächtigten, die benannte Stelle oder den Endnutzer.
2. Der Verordnungsgeber fasst den Begriff der Künstlichen Intelligenz weit. Erfasst sind in erster Linie „KI-Systeme", die definiert sind als „ein maschinengestütztes System, das so konzipiert ist, dass es mit unterschiedlichem Grad an Autonomie operieren und nach seiner Einführung Anpassungsfähigkeit zeigen kann, und das für explizite oder implizite Ziele aus den Eingaben, die es erhält, ableitet, wie es Ausgaben wie Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen generieren kann, die physische oder virtuelle Umgebungen beeinflussen können".
3. Die EU verfolgt mit dem Artificial Intelligence Act einen anwendungsorientierten, risikobasierten Ansatz. Es wird klargestellt, dass es sich bei der KI-Verordnung um eine Produktregulierung handelt; ausgenommen von der Anwendung sind Forschungs- und Entwicklungsaktivitäten sowie der militärische Bereich. Die KI-Anwendungen werden in unterschiedliche Risikoklassen eingeordnet: unannehmbares Risiko, hohes Risiko (Hochrisiko-KI-Systeme) und geringes oder minimales Risiko. Je höher die Risiken sind, desto strenger sind die rechtlichen Vorgaben.
4. Der AI Act selbst enthält – anders als z.B. die DSGVO – keine eigenen Bußgeldtatbestände, sondern verpflichtet die Mitgliedstaaten in Art. 71 zur Einführung von Bußgeldvorschriften gegen natürliche und juristische Personen, die Geldbußen von bis zu 35 Mio. EUR bzw. 7 % des weltweiten Jahresumsatzes erreichen.
5. Während bei Bußgeldvorschriften, deren materielle Voraussetzungen in einer EU-Verordnung geregelt sind, nach Auffassung des EuGH das schuldhafte Verhalten jedes Angestellten der juristischen Person zugerechnet werden kann, knüpft das nationale Recht in § 30 OWiG die Sanktionierung des Verbandes an den Verstoß einer Leitungsperson oder eines speziell Beauftragten. Zwar wird durch den Verzicht auf unionsrechtliche Bußgeldtatbestände auf eine Vollharmonisierung in der EU verzichtet, damit aber eine nicht zu unterschätzende Einpassung des KI-Bußgeldrechts in das nationale Sanktionssystem erreicht, die eine erhöhte Akzeptanz der zuständigen Behörden und Gerichte wie auch der betroffenen Akteure erwarten lässt. Da das Opportunitätsprinzip als prozessuale Regelung für die Bußgeldverhängung auch im Falle materiellrechtlicher EU-Bußgeldtatbestände anzuwenden wäre, bleibt den Sanktionsinstanzen ein erheblicher Entscheidungsspielraum, der auch im Falle einer Vollharmonisierung des materiellen Bußgeldrechts bestünde. Das Bußgeldverfahren richtet sich nämlich nach dem Verfahrensrecht des jeweiligen Mitgliedstaats.