Der AI Act: Moralischer Kompass oder Innovationshemmer?

Die EU-Mitgliedstaaten haben am 21. Mai das weltweit erste Gesetz zur Regulierung von KI verabschiedet. Es soll sicherstellen, dass KI-Systeme sicher und transparent eingesetzt und die Verbraucher vor Risiken geschützt werden. Wir haben Rechtsanwalt Christian Solmecke, der auf die Beratung der Internet- und IT-Branche spezialisiert ist, nach seiner Einschätzung der neuen Verordnung gefragt.

Christian Solmecke (Bildquelle: WBS.LEGAL)

AGEV: Wie bewerten Sie den europäischen AI Act, taugt er als Steuerungsinstrument und zur Abwehr von Gefahren durch die KI?

Christian Solmecke: Der AI Act hat einen soliden Mittelweg gefunden. Durch die risikobasierte Herangehensweise kann er gezielt dort eingreifen, wo die Risiken für Grundrechte am höchsten sind. Also etwa dort, wo Profile von Menschen erstellt und persönliche Daten verarbeitet werden oder die Infrastruktur betroffen ist. Je niedriger das Risiko, umso geringer die Anforderungen. Das ist der logischste rechtliche Weg, um die Gefahren mit dem rasant wachsenden Potenzial von KI in Einklang zu bringen. In der Theorie ergibt der AI Act ein klar abgrenzbares System. Allerdings muss die Praxis noch zeigen, dass die Kriterien für Systemrisiken auch gut zu handhaben sind. Ich persönlich bin sehr gespannt, ob das einzurichtende „AI Office“ der EU-Kommission da Verwirrung auflöst oder stiftet.

AGEV: Welche Regelungen des AI Acts sind aus Ihrer Sicht am relevantesten?

Christian Solmecke: Am häufigsten bespielt werden sicherlich die Vorschriften zu Hochrisiko-Systemen und Grundlagenmodellen. Erstere waren auch ein klarer Fokus im Gesetzgebungsprozess. Anbieter werden die eigenen Systeme behördlich auf ihre Grundrechtsrelevanz überprüfen lassen müssen und daher einen besonders kritischen Blick auf alle Aspekte ihres Systems werfen. Das beinhaltet die verwendeten Trainingsdaten, die Genauigkeit, Cybersicherheit und Fehleranfälligkeit in der späteren Anwendung. Am wichtigsten für Verbraucher werden die Regeln für Grundlagenmodelle wie GPT-4 sein, die neben eigenen Transparenzpflichten auch eine Kennzeichnungspflicht für KI-generierte Inhalte vorsehen.

AGEV: Kann eine europäische Regulierung die sich weltweit rasant entwickelnde KI überhaupt wirksam kontrollieren?

Christian Solmecke: Ich bin mir sicher, dass das möglich ist, auch da der AI Act als erstes umfassendes KI-Gesetz internationale Signalwirkung haben wird. Die großen „Player“ in Sachen Künstlicher Intelligenz werden in der Regel nicht auf den europäischen Raum verzichten können und ihre Sicherheitsstandards entweder insgesamt angleichen oder zumindest lokalisieren.

Ob der AI Act auch der schieren Geschwindigkeit der Entwicklung gerecht wird, lässt sich bisher nicht klar sagen – das lässt sich aber auch nicht verneinen. Das Gesetz verwendet bewusst relativ breite Begriffe, um Systeme einzuordnen. Die Ausfüllung der Kriterien wird der (behördlichen) Praxis überlassen.

AGEV: Wie groß ist die Gefahr, dass die Regulierung zum Innovationshemmer wird?

Christian Solmecke: Diese Gefahr besteht vor allem für kleine KI-Unternehmen, die keine eigenen Ressourcen haben, um Compliance zu betreiben. Dabei kommt es aber auf die Risikoklasse, und damit wiederum auf den Use Case ihres Systems an. Einige risikofreie KI-Systeme werden unter dem AI Act gar nicht reguliert, Systeme mit begrenztem Risiko treffen nur mindere Kennzeichnungspflichten. So muss dem Nutzer von Chatbots zum Beispiel deutlich gemacht werden, dass er es mit KI zu tun hat. Diese lassen sich denkbar einfach umsetzen.

AGEV: Wie werden Verstöße rechtlich geahndet?

Christian Solmecke: Verstöße gegen den AI Act werden streng geahndet. Unternehmen, die verbotene KI-Technologien entwickeln oder einsetzen, können mit empfindlichen Strafen von bis zu 35 Millionen Euro oder 7 Prozent ihres Jahresumsatzes belegt werden. Für andere Verstöße drohen Bußgelder von bis zu 15 Millionen Euro oder 3 Prozent des Jahresumsatzes. Im Vergleich liegt das Höchstmaß für DSGVO-Bußgelder bei 4 Prozent des Jahresumsatzes oder 20 Millionen Euro.

AGEV: Vielen Dank für das Gespräch.

Über Christian Solmecke

 

Christian Solmecke (50) hat sich als Rechtsanwalt und Partner der Kölner Medienrechtskanzlei WBS.LEGAL auf die Beratung der Internet- und IT-Branche spezialisiert. So hat er in den vergangenen Jahren den Bereich Internetrecht/E-Commerce der Kanzlei stetig ausgebaut und betreut zahlreiche Medienschaffende, Web 2.0 Plattformen und App-Entwickler. Neben seiner Tätigkeit als Anwalt ist Christian Solmecke vielfacher Buchautor und als Gründer der cloudbasierten Kanzleisoftware Legalvisio.de auch LegalTech-Unternehmer.