Rechtsatlas KI

Künstliche Intelligenz (KI) entwickelt sich von Tag zu Tag exponentiell und wird im Alltag immer präsenter. Gleichzeitig wächst weltweit die Besorgnis über die möglichen wirtschaftlichen, sozialen und ethischen Auswirkungen der KI. Dies veranlasst immer mehr Länder, sich mit der Frage der Regulierung zu befassen, um die sichere Nutzung dieser Art von Technologie in ihren Staatsgebieten zu gewährleisten. Mehrere Länder haben bereits Gesetzgebungsverfahren eingeleitet, und seit 2023 sind einige spezifische Gesetze in Kraft getreten. Die Tendenz geht dahin, dass in den nächsten Jahren auf allen fünf Kontinenten eine Reihe von KI-Gesetzen erlassen werden.

Um die Entwicklung der Gesetzgebung auf einen Blick verfolgen zu können, zeigt die vorliegende Zeitleiste das Inkrafttreten der wichtigsten KI-Gesetze auf der ganzen Welt.

Von Dr. Julio Pereira | Berlin

Peru war das erste Land der Welt, das ein spezifisches nationales Gesetz über künstliche Intelligenz verabschiedet hat (Gesetz Nr. 31814 vom 5. Juli 2023). Mit dem Schwerpunkt auf nachhaltiger Entwicklung legt das Gesetz die Förderung neu entstehender Technologien fest. Es enthält zudem wesentliche Definitionen und bestimmt die für die KI zuständige Behörde. Die volle Wirksamkeit des Gesetzes hängt noch von der Regulierung ab, deren Überarbeitung unter breiter Beteiligung des Privatsektors in der Endphase ist.

Ziele, Grundsätze und nationales Interesse

Das Hauptziel des peruanischen Gesetzes besteht darin, die Entwicklung und Nutzung künstlicher Intelligenz im Rahmen des digitalen Transformationsprozesses des Landes zu regeln. Das Gesetz legt ausdrücklich fest, dass diese Nutzung „ethisch“ und „nachhaltig“ sein muss, um der wirtschaftlichen und sozialen Entwicklung des Landes auf der Grundlage einer sicheren Cyberumgebung Vorrang zu geben. Darüber hinaus legt das Gesetz einige wesentliche Grundsätze fest, die die Entwicklung der künstlichen Intelligenz in Peru leiten. Zu den wichtigsten für Unternehmen gehören:

1. Risikobasierte Sicherheitsstandards
2. Beteiligung des Privatsektors und anderer Akteure an der konkreten Regulierung des Einsatzes von künstlicher Intelligenz im Lande
3. Förderung der digitalen Wirtschaft, der Konnektivität und der Innovation im Hinblick auf das soziale und wirtschaftliche Wohlergehen
4. Schutz der Privatsphäre der Menschen.

Das KI-Gesetz stellt außerdem ausdrücklich fest, dass es im nationalen Interesse liegt, „aufkommende Technologien“ (tecnologías emergentes) zu fördern, um unter anderem öffentliche Dienstleistungen wie Bildung, Gesundheit, Justiz, Sicherheit und Landesverteidigung sowie wirtschaftliche Aktivitäten im gesamten peruanischen Staatsgebiet zu optimieren.

Begriffsbestimmungen

Aus der Sicht der Rechtsanwendung liegt die Bedeutung des peruanischen Gesetzes vor allem in den enthaltenen Begriffsbestimmungen. Drei Begriffe sind sowohl für zusätzliche Regelungen als auch für künftige Rechtsprechung besonders relevant:

• Aufkommende Technologie: Darunter versteht das Gesetz „digitale Technologien“, mit denen innovative Lösungen für die Industrie 4.0 geschaffen werden können, unter anderem künstliche Intelligenz, Robotik und Nanotechnologie.
• Künstliche Intelligenz: Aufkommende Technologie, die das Potenzial hat, „Innovation und Produktivität zu steigern“, das menschliche Wohlbefinden zu erhöhen und zu einer nachhaltigen globalen Wirtschaftstätigkeit beizutragen.
• Auf künstlicher Intelligenz basierendes System: Ein elektronisch-mechanisches System, das nach menschlichen Zielvorgaben entwickelt wurde, um mit verschiedenen Autonomiestufen zu funktionieren, welches Vorhersagen, Empfehlungen oder Entscheidungen treffen kann und „reale oder virtuelle Umwelten“ beeinflusst.

Zuständige Behörde

Zusätzlich zu den Definitionen legt das Gesetz auch den Vorsitz des Ministerrats (Presidencia del Consejo de Ministros - PCM) als zuständige Behörde fest, und zwar über das Sekretariat für digitale Transformation (Secretaría de Gobierno y Transformación Digital - SGTD). Neben anderen Aufgaben ist der PCM befugt, die Ausbildung von Fachleuten, die Verabschiedung von ethischen Richtlinien, die Stärkung der digitalen Infrastruktur und die Entwicklung einer Dateninfrastruktur für öffentliche Informationen zu fördern.

Neben seiner Regulierungsfunktion überwacht der PCM auch den Einsatz von künstlicher Intelligenz in Peru. Er informiert den Kongress der Republik (Congreso de la República) durch jährliche Berichte über die Fortschritte bei der digitalen Transformation. Und im Falle von ernsthaften Bedrohungen oder Verletzungen der nationalen Cybersicherheit ist der PCM verpflichtet, das Parlament unverzüglich zu benachrichtigen.

Regulierungsprozess

Obwohl die Regulierung innerhalb von 90 Tagen nach Inkrafttreten des Gesetzes hätte verabschiedet werden müssen, wurde diese Frist nicht eingehalten. Die Ausarbeitung der Regulierung erwies sich als aufwändig, da sie die Beteiligung zahlreicher sozialer Akteure erfordert. Daher wird der Regulierungsprozess fortgesetzt, laut einer am 6. September 2024 veröffentlichten Mitteilung des Sekretariats für digitale Transformation (SGTD). Der Regulierungsentwurf wird unter anderem von Vertretern der Organisation für wirtschaftliche Zusammenarbeit und Entwicklung (OECD) geprüft. Nach Abschluss der Prüfung wird sie per Dekret des PCM verkündet.

Zum Thema:

• Vorläufige Fassung der Regulierung des peruanischen KI-Gesetzes (Reglamento de la Ley Nr. 31814, Gobierno de Perú)
• Offizielle Meldungen über die regulatorische Entwicklung der künstlichen Intelligenz in Peru (Inteligencia Artificial en Perú, PCM)

Von Dr. Julio Pereira | Berlin

Nicht jede KI wird reguliert

Der AI Act verfolgt einen risikobasierten Ansatz. Er teilt KI-Systeme in Risiko-Kategorien ein:

Inakzeptables Risiko 

Diese Kategorie bezeichnet der AI Act als „verbotene Praktiken“ (Artikel 5). Hier liegt der Fokus auf dem Einsatz der KI, aber auch das Inverkehrbringen und die Inbetriebnahme solcher Systeme sind in der EU verboten. Dies betrifft zum Beispiel sogenannte Social Scoring Systeme, die das Verhalten von Bürgerinnen und Bürgern aufzeichnen, bewerten und klassifizieren. Auch andere Arten der Beeinflussung und Manipulation des Verhaltens einer Person oder Personengruppe sind verboten, wenn sie geeignet sind, diesen Personen oder Gruppen Schaden zuzufügen.

Hochrisiko KI-Systeme (Artikel 6 ff.) 

Diese Systeme sind in Anhang III der Verordnung aufgezählt. Sie fallen allerdings nur dann in diese Kategorie, wenn sie ein erhebliches Risiko der Beeinträchtigung in Bezug auf die Gesundheit, Sicherheit oder Grundrechte natürlicher Personen bergen. Hochrisiko KI wird sehr streng reguliert. So muss ein Risikomanagementsystem eingerichtet, angewandt, dokumentiert und aufrechterhalten werden. Das System muss registriert werden, es muss eine technische Dokumentation erstellt werden, seine Aktionen müssen aufgezeichnet werden und es muss einer menschlichen Steuerung zugänglich sein. Hochrisiko KI-Systeme müssen zudem eine Konformitätsbewertung durchlaufen und mit einer CE-Kennzeichnung versehen werden. 

Begrenztes Risiko (Artikel 50 ff.) 

Hier stehen die Transparenzpflichten im Vordergrund (siehe insbesondere Artikel 50). So müssen Chatbots als solche erkennbar sein, entsprechendes gilt für KI-generierte Audio-, Bild-, Video- oder Textinhalte. Weitere Pflichten betreffen insbesondere die Anbieter von KI (Artikel 53 ff.): technische Dokumentation, eine Strategie zur Einhaltung von Urheberrechten und eine Dokumentation der für das Training der KI-Modelle verwandten Daten sind obligatorisch.

Alle anderen KI-Systeme sind – abgesehen von den Transparenzpflichten (siehe oben) – nicht spezifisch reguliert. 

Neue Pflichten – nicht nur für OpenAI & Co

Hochrisiko-KI-Systeme schaffen nicht nur Pflichten für Anbieter, sondern auch für Bevollmächtigte der Anbieter (Artikel 22), Einführer (Artikel 23), Händler (Artikel 24) und Betreiber (Artikel 26). Bei Einfuhr und Inverkehrbringen muss insbesondere darauf geachtet werden, dass für die Systeme CE-Kennzeichnung und Konformitätsbewertung vorliegen; Betreiber müssen geeignete technische und organisatorische Maßnahmen treffen, um sicherzustellen, dass sie solche Systeme entsprechend der den Systemen beigefügten Betriebsanleitungen verwenden. Außerdem übertragen sie die Aufsicht über die Systeme ausschließlich natürlichen Personen, die über die erforderliche Kompetenz, Ausbildung und Befugnis verfügen. Gemäß Artikel 25 treffen Händler, Einführer, Betreiber oder sonstige Dritte als Anbieter eines Hochrisiko-KI-Systems sogar die kompletten Anbieterpflichten aus Artikel 16 der Verordnung, nämlich dann, wenn sie ein System mit ihrem Namen oder ihrer Handelsmarke versehen oder eine wesentliche Veränderung vornehmen, insbesondere, wenn diese Veränderung dazu führt, dass das System als Hochrisiko-System einzustufen ist.

Innovationen sollen gefördert werden

Künstliche Intelligenz soll nicht nur reguliert, sondern auch gefördert werden. Dazu werden die Mitgliedstaaten verpflichtet, Reallabore einzurichten, die spätestens bis 2. August 2026 betriebsbereit sein müssen (Artikel 57). So können in einer kontrollierten Umgebung Tests und Entwicklungen unter Realbedingungen durchgeführt werden. Die zuständigen Behörden unterstützen die Nutzenden umfassend, insbesondere im Hinblick auf Grundrechte, Gesundheit und Sicherheit, Tests und Risikominderungsmaßnahmen sowie deren Wirksamkeit. Die Mitgliedstaaten gewähren KMU und Start-ups, die ihren Sitz oder eine Zweigniederlassung in der EU haben, vorrangigen Zugang zu den Reallaboren. Unterstützt werden die Mitgliedstaaten hierbei – wie auch bei anderen Aufgaben – durch das ebenfalls durch den AI Act eingeführte Büro für Künstliche Intelligenz der EU (Artikel 64).    

Zeitlich abgestuftes Inkrafttreten

Der AI Act tritt 20 Tage nach seiner Veröffentlichung im Amtsblatt der EU in Kraft, also am 2. August 2024. Die vollständige Anwendbarkeit der Verordnung erfolgt jedoch gestaffelt (Artikel 113):

• 2. Februar 2025: Verbot von KI-Systemen mit inakzeptablem Risiko (Artikel 1 bis 5);
• 2. August 2025: insbesondere Sanktionen (Artikel 99 ff.) und Verhaltenskodizes und Regeln für KI mit allgemeinem Verwendungszweck (Artikel 51 ff); 
• 2. August 2026: Allgemeine Anwendbarkeit der meisten Vorschriften bis auf Artikel 6 Abs. 1 und die entsprechenden Pflichten;
• 2. August 2027: Verpflichtungen für Hochrisiko-KI-Systeme (Artikel 6 Abs. 1).

Sanktionen bei Nichteinhaltung

Unternehmen, die gegen die Vorschriften des AI Act verstoßen, müssen mit erheblichen Sanktionen rechnen. Auch hier gibt es Abstufungen: Geldbußen von bis zu 35 Millionen Euro oder 7 Prozent des gesamten weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist, werden fällig, wenn verbotene KI (Artikel 5) eingesetzt wird. Verstöße gegen die meisten anderen Vorschriften werden mit bis zu 15 Millionen Euro oder von bis zu 3 Prozent des gesamten weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist, geahndet. Achtung: hierunter fallen nicht nur die Pflichten der Anbieter, sondern auch diejenigen der Bevollmächtigten, Händler, Einführer und Betreiber. Verstöße gegen Transparenzanforderungen können immer noch mit Geldstrafen von bis zu 7,5 Millionen Euro oder 1,5 Prozent des Jahresumsatzes geahndet werden.

Zum Thema: 

• Verordnung (EU) 2024/1689 vom 12. Juli 2024 

Von Karl Martin Fischer | Bonn

Das US-National Security Agency’s Artificial Intelligence Security Center (NSA AISC) hat in Zusammenarbeit mit dem Federal Bureau of Investigation (FBI), dem Australian Signals Directorate’s Australian Cyber Security Centre (ASD ACSC), dem Canadian Centre for Cyber Security (CCCS) und dem New Zealand National Cyber Security Centre (NCSC-NZ) sowie dem United Kingdom’s National Cyber Security Centre (NCSC-UK) am 16. April 2024 einen Leitfaden für den sicheren Einsatz von KI-Systemen veröffentlicht. 

Im Rahmen des Leitfadens werden Methoden zum Schutz von Daten und Systemen, die Künstliche Intelligenz (KI) nutzen, sowie zur Reaktion auf bösartige Aktivitäten beschrieben. Zudem soll der Leitfaden die Integrität von KI-Systemen verbessern. Die Cybersicherheitsbehörden empfehlen Unternehmen, die extern entwickelte KI-Systeme einsetzen, Sicherheitsmaßnahmen zu implementieren, die den Diebstahl sensibler Daten und den Missbrauch von KI-Systemen verhindern.

Zum Thema: 

• Webseiten der am Leitfaden beteiligten Behörden: US-National Security Agency’s Artificial Intelligence Security Center, Federal Bureau of Investigation, Australian Signals Directorate’s Australian Cyber Security Centre, Canadian Centre for Cyber Security, New Zealand National Cyber Security Centre, United Kingdom’s National Cyber Security Centre
• GTAI-Textsammlung Datenschutz in den US-Bundesstaaten

Von Jan Sebisch | Bonn

Am 17. Mai 2024 hat der Gouverneur von Colorado (Jared Polis) das Senatsgesetz 24-205 unterzeichnet. Colorado ist damit der erste US-Bundesstaat, der einen gesetzlichen Regulierungsrahmen für die Entwicklung und Nutzung von Künstlicher Intelligenz geschaffen hat. Inkrafttreten wird das Gesetz am 1. Februar 2026.

Das Gesetz verlangt unter anderem von Entwicklern und Betreibern von Hochrisiko-KI-Systemen (high-risk AI systems), dass sie algorithmische Diskriminierung (algorithmic discrimination) vermeiden und schreibt die Meldung aller Fälle von Diskriminierung an die Generalstaatsanwaltschaft von Colorado vor. Im Rahmen des Gesetzes wird jedes KI-System, das ein wesentlicher Faktor für Folgeentscheidungen ist, als "hochriskant“ angesehen.

Ferner sieht das Gesetz vor, dass die Betreiber von Hochrisiko-KI-Systemen die Verbraucher:innen darüber informieren, dass sie einem Hochrisiko-KI-System unterliegen.

Zum Thema:

• GTAI-Rechtsmeldung Gemeinsamer Leitfaden für den Einsatz von KI-Systemen
• GTAI-Textsammlung Datenschutz in den US-Bundesstaaten

Von Jan Sebisch | Bonn

Wie wird Künstliche Intelligenz definiert?

Das Weißbuch beschreibt Künstliche Intelligenz (KI), KI-Systeme und/oder KI-Technologien als "Produkte und Dienstleistungen, die 'anpassungsfähig' und 'autonom' sind". Eine erschöpfende Definition gibt es nicht, aber zumindest konkrete Beispiele für die oben genannten Begriffe: In Bezug auf die Anpassungsfähigkeit betont das White Paper, dass KI-Systeme oft die Fähigkeit entwickeln, aus vorhandenen Informationen Schlüsse zu ziehen, die ihre menschlichen Programmierer nicht vorausgesehen hatten. In Bezug auf die Autonomie der KI sagt das Weißbuch, dass KI-Systeme unter Umständen schon Entscheidungen treffen können, ohne dass es eine ausdrückliche Absicht oder laufende Kontrolle eines Menschen gegeben hat.

Welche KI-spezifischen Risiken werden identifiziert?

Im Weißbuch werden spezifische Risiken genannt, die durch die Nutzung von KI entstehen können. 

• Risiken für die Menschenrechte (Beispiel: generative KI wird genutzt, um Deepfake-Videoinhalte zu erstellen, die den Ruf einer Person schädigen)
• Sicherheitsrisiken (Beispiel: ein auf LLM-Technologie basierendes KI-System empfiehlt eine gefährliche Aktivität, die es im Internet gefunden hat, ohne den Kontext in der ursprünglichen Quelle zu verstehen oder zu kommunizieren)
• Risiken für die Fairness (Beispiel: ein KI-Tool bewertet mit falschen oder veralteten Daten die Kreditwürdigkeit, so dass Kredite gar nicht oder zu unangemessenen Bedingungen angeboten werden)
• Risiken für die Privatsphäre und die Handlungsfähigkeit (Beispiel: vernetzte Geräte sammeln in einem Haushalt kontinuierlich Daten – einschließlich Gesprächen – und erstellen ein möglicherweise nahezu vollständiges Porträt des Privatlebens einer Person)
• Risiken für Demokratie und Gesellschaft (Beispiel: von KI erzeugte und verbreitete Desinformationen über politische oder gesellschaftliche Fakten können das Vertrauen in demokratische Institutionen und Prozesse untergraben)
• Risiken für die Sicherheit (Beispiel: KI-Tools werden verwendet, um die Auswirkungen gezielter Cyberangriffe zu automatisieren, zu beschleunigen und zu verstärken).

Diese Risiken sollen durch einen auf Prinzipien basierenden Regulierungsansatz ausgeschaltet oder doch zumindest gemindert werden. Dabei soll immer ein verhältnismäßiger Ansatz gewählt werden. Das bedeutet, dass die Intensität der Regulierung von der Wichtigkeit des bedrohten Rechts und der Schwere der Beeinträchtigung abhängen muss.

Welcher Regulierungsansatz wird gewählt?

In ihrer Antwort auf die Konsultation zum Weißbuch erläutert die Regierung ihre künftige Herangehensweise an die KI-Regulierung. Es wird aktuell kein formelles Gesetz mit Ge- und Verboten geben. Der britische Ansatz unterscheidet sich also fundamental von demjenigen der EU. 

Die britische Regierung hat etliche Regulierungsbehörden dazu aufgefordert, ihre strategische Herangehensweise an das Thema KI zu veröffentlichen. Einige Beispiele gibt es insofern bereits, so etwa vom Information Commissioner oder der Medicines and Healthcare products Regulatory Agency. Weitere, so zum Beispiel Ofgem oder die Civil Aviation Authority, haben entsprechende Veröffentlichungen für später im Jahr 2024 angekündigt.

Die Behörden sollen auch weiterhin selbst regulieren, auch sofern künstliche Intelligenz betroffen ist. Allerdings sollen sie dabei an fünf Prinzipien gebunden sein, die die Regierung vorgibt und die sektorübergreifend die Regulierung der künstlichen Intelligenz prägen sollen:

1. KI muss sicher und robust sein, also verlässlich. Dies dürfte ganz besonders bei technischen Anwendungen relevant sein, etwa bei selbstfahrenden Autos. Diese Anforderung resultiert in einer umfassenden Pflicht, die Risiken der jeweiligen KI regelmäßig einzuschätzen und zu kontrollieren.
2. KI muss transparent und erklärbar sein, insbesondere in Bezug auf die Natur und den Zweck des jeweiligen KI-Systems, die benutzten Daten und auch die Verantwortlichkeit für das System und seine Ergebnisse. 
3. KI muss fair sein, zum Beispiel wenn sie zur Beurteilung der Kreditwürdigkeit einer Person oder eines Unternehmens eingesetzt wird.
4. Rechenschaftspflicht und Governance: Die Regulierungsbehörden bestimmen, wer für die KI und ihre Ergebnisse verantwortlich ist. Sie unterstützen beispielsweise in puncto Risikomanagement und Berichtspflichten. 
5. Anfechtbarkeit und Wiedergutmachung: Entscheidungen, die KI getroffen hat, dürfen nie das letzte Wort sein. Sollte ein Schaden eingetreten sein, muss angemessene Entschädigung gewährleistet sein. 

Die britische Regierung hält diesen Regulierungsansatz, der auf Gesetze verzichtet, für besonders agil. Damit sei er besonders geeignet, den aktuellen Veränderungen einer sich sehr schnell entwickelnden Technologie gerecht zu werden. Ausdrücklich bleibt eine gesetzliche Regelung aber für einen späteren Zeitpunkt vorbehalten.

Zum Thema: 

• Weißbuch und Konsultation „A pro-innovation approach to AI regulation“ aus August 2023 (englisch)
• Antwort der britischen Regierung auf den Input der Konsultation aus Februar 2024 (englisch)

Von Karl Martin Fischer | Bonn

In Anlehnung an die von US-Präsident Biden am 30. Oktober 2023 erlasse Executive Order on the Safe, Secure, and Trustworthy Development and Use of Artificial Intelligence hat das US-Patent- und Markenamt (Patent and Trademark Office) eine Richtlinie für Erfindungen veröffentlicht, bei denen ein menschlicher Erfinder von künstlicher Intelligenz (Artificial Intelligence) unterstützt worden ist (Inventorship Guidance for AI-assisted Inventions). Die Richtlinie ist am 13. Februar 2024 im Federal Register veröffentlicht worden.

Die Richtlinie legt fest, dass KI-gestützte Erfindungen nicht kategorisch nicht patentierbar sind, aber im Rahmen der Erfindung ein signifikanter Beitrag des menschlichen Erfinders erkennbar sein muss. Denn Patente dienten dazu, den menschlichen Einfallsreichtum zu belohnen.

Zum Thema:

• Informationen des Patent and Trademark Office

• GTAI-Publikation Recht kompakt USA

Von Jan Sebisch | Bonn

Mit der Technologie der generativen künstlichen Intelligenz (KI) können etwa Texte, Videos oder Bilder geschaffen werden. Anbieter generativer KI-Dienste sind nach den neuen Regeln solche Organisationen und Einzelpersonen, die mittels dieser Technologie entsprechende KI-Dienste bereitstellen (Begriffsbestimmungen in Art. 22 der Measures).

Die 24 Artikel umfassenden Übergangsbestimmungen (chinesische Fassung) gehören zu den ersten derartigen KI-Regeln der Welt überhaupt. Sie enthalten Vorgaben für Anbieter generativer KI-Dienste und basieren insbesondere auf dem chinesischen Cybersicherheitsgesetz, dem Datensicherheitsgesetz sowie dem Gesetz zum Schutz persönlicher Daten.

Wer generative KI-Dienste anbietet, hat nach den Maßnahmen bestimmte Verpflichtungen, vor allem in Bezug auf den Datenschutz und Schutz geistigen Eigentums (dazu Art. 7 ff.). Bei Verstößen greifen insbesondere die Sanktionsmöglichkeiten der genannten Gesetze, Art. 21.

Die Bestimmungen gelten innerhalb Chinas (Art. 2). Werden entsprechende KI-Dienste außerhalb Chinas der Öffentlichkeit in China bereitgestellt, kann Chinas nationale Cyberspace-Behörde Verstöße gegen chinesisches Recht den zuständigen Institutionen zur Maßnahmenergreifung melden, Art. 20. Unter anderem ist zu beachten, ob es in der jeweiligen Branche Beschränkungen für ausländische Investitionen gibt (vgl. Art. 23 Abs. 2).

In China soll in naher Zukunft ein eigenes KI-Gesetz entstehen.

Zum Thema:

• GTAI-Rechtsbericht China: E-Commerce und Datenschutz vom 6. September 2022

Von Julia Merle | Bonn