Ein neuer Rechtsrahmen für KI-Anwendungen, der sowohl für öffentliche als auch für private Akteure innerhalb und außerhalb der EU gelten soll, sorgt momentan für Aufsehen.[1]   Social-Scoring-Systeme oder der Einsatz unterschwelliger Techniken im digitalen Raum werden – neben anderen Praktiken – nach dieser neuen Regulierung explizit verboten.

Zumal der Entwurf neben einer Vielzahl anderer Normensysteme gelten soll, ist ferner von einer (erneuten) Komplexitätssteigerung sowie Compliance-Anstrengungen für das Entwicklungsfeld rund um KI auszugehen. Insb dort, wo neu Begriffe eingeführt werden (vgl etwa Risikoabstufung unten), oder besonders schwer einzuhegende Technologien beschrieben werden sollen (wie etwa bei der Definition von KI überhaupt).

Diese (neuen) Entwicklungen sollen in das vorliegende Forschungsprojekt jedenfalls einfließen und kritisch auf Defizite und Verbesserungs- bzw Weiterentwicklungsmöglichkeiten de lege ferenda untersucht werden.  

Nach Risiko abgestufte Regulierung

Der gegenständliche Entwurf ist Ausfluss einer Vielzahl von Policy Papers und Stellungnahmen rund um KI und schlägt eine risikobasierte Regulierung vor. Nach dem Entwurf ergeben sich abgestuft nach dem Risikopotenzial der jeweiligen KI-Anwendung vier unterschiedliche Kategorien:

1. Unannehmbares Risiko (unacceptable risk)
2. Hohes Risiko (high risk)
3. Geringes Risiko (low risk)
4. Minimales Risiko (minimal risk)

Die Einstufung des Risikos idZ richtet sich ua nach Umfang und Zweck der KI-Anwendung, der Anzahl der potenziell betroffenen Personen, einer allfälligen Unumkehrbarkeit etwaiger Schäden sowie, inwiefern das Unionsrecht bereits Maßnahmen wesentlichen Verringerung dieser Risiken vorsieht.

Während Anwendungen mit unannehmbarem Risko grundsätzlich verboten sind, wird ein hohes Risiko unter bestimmten Auflagen toleriert. So werden für high-risk Anwendungen insbesondere Vorgaben für die Entwicklung, den Einsatz und verschiedenartige Rechenschaftspflichten, sowie eine Kooperationspflicht mit den Aufsichtsbehörden normiert.

KI-Anwendungen mit geringem oder minimalem Risiko müssen im Übrigen keine hohen Hürden auf dem Weg zur Compliance überwinden. Sie dürfen im Rahmen des bereits geltenden Rechts (insb der DSGVO) ohne zusätzliche rechtliche Verpflichtungen entwickelt und eingesetzt werden. Nach Einschätzung der Kommission fällt der Großteil der geläufigen KI-Anwendungen, in diese beiden letzten (innovationsfreundlicheren) Kategorien. Ob diese Einschätzung zutreffend ist, wird die Zukunft noch weisen.

Abschreckende Strafdrohungen

Als Sanktion für Verstöße gegen diese Regulierung sind Verwaltungsstrafen bis zu 30 Mio. EUR oder 6 % des gesamten weltweiten Vorjahresumsatzes (je nachdem, welcher Wert höher ist) vorgesehen. Diese Strafdrohungen übersteigen damit deutlich die Maximalstrafen nach der DSGVO.

[1] Europäische Kommission, Proposal for a Regulation laying down harmonised rules on Artificial Intelligence, COM(2021) 206 final, abrufbar unter: <https://digital-strategy.ec.europa.eu/en/library/proposal-regulation-european-approach-artificial-intelligence>(06.05.2021).