Die KI-Verordnung der EU – ist das aus Ihrer Sicht ein „großer Wurf“ oder eher nicht?
Prof. Dr. Peter Wedde: Die EU-KI-Verordnung ist das Ergebnis eines intensiven europäischen Abstimmungsprozesses und damit natürlich ein politischer wie inhaltlicher Kompromiss. Dem europäischen Gesetzgeber ist vor diesem Hintergrund zwar war kein „großer Wurf“ gelungen, wohl aber die Schaffung des weltweit ersten umfassenden KI-Gesetzes. Da sich an diese EU-Regelung alle hier tätigen Anbieter und Anwender von KI-Systemen halten müssen, setzt die neue Regelung einen weltweiten Standard, der insbesondere Entwicklungen außerhalb Europas beeinflussen wird.
Damit ist dem europäischen Gesetzgeber zwar kein ‚großer Wurf‘ gelungen, wohl aber die Schaffung des weltweit ersten umfassenden KI-Gesetzes.
Der Weg bis zur Verabschiedung war ja etwas holperig. Woran lag das?
Prof. Dr. Peter Wedde: Europäische Gesetzgebungsverfahren sind naturgemäß darauf ausgerichtet, einen ausgewogenen Ausgleich zwischen unterschiedlichen und vielfach gegensätzlichen Interessen zu schaffen. Bezogen auf die EU-KI-Verordnung trafen beispielsweise Forderungen nach vereinfachten Entwicklungs- und Anwendungsmöglichkeiten für KI-Anwendungen auf staatliche Sicherheitsbedenken oder auf Hinweise zur Gefährdung der Persönlichkeitsrechte. Bestrebungen, den Schutz durch das neue KI-Gesetz deutlich auszubauen, wurde deshalb die Vorstellung entgegengehalten, auf eine solche normative Regelung vollständig zu verzichten.
Welche Unternehmen werden von den neuen Regelungen betroffen sein – und ab wann gelten diese überhaupt bei uns?
Prof. Dr. Peter Wedde: Die EU-KI-Verordnung gilt sowohl für Entwickler oder Anbieter von KI-Systemen als auch für deren Anwender oder Nutzer in öffentlichen oder nicht-öffentlichen Bereichen. Eine Mindestgröße von Unternehmen oder Behörden gibt die Verordnung nicht vor. Von der Anwendung ausgenommen sind Verwendungen für ausschließlich private Zwecke.
Die EU-KI-Verordnung tritt zwanzig Tage nach ihrer Verkündung im Amtsblatt der EU in Kraft. Uneingeschränkt anwendbar wird sie aber erst 24 Monate später. Damit haben Hersteller von KI-Systemen ebenso wie deren Anwender zwei Jahre Zeit, um in ihren Zuständigkeitsbereichen die Einhaltung der neuen gesetzlichen Regel sicherzustellen. Um dieses Ziel fristgemäß zu erreichen, müssen notwendige Umsetzungs- und Anpassungsprozesse angesichts des sich hiermit verbindenden Aufwands jetzt schnell beginnen.
Probleme bezüglich der Anwendung könnten aus den zahlreichen unbestimmten und relativierenden Rechtsbegriffen folgen, die die EU-KI-Verordnung enthält.
Wie bewerten Sie die Wirksamkeit der neuen Regelungen und wo sehen Sie hier Probleme?
Prof. Dr. Peter Wedde: Die EU-KI-Verordnung hat einen „risikobasierten Ansatz“. Auf dieser Grundlage gibt es einerseits für KI-Systeme, mit denen sich für Bürger keine oder nur geringe Risiken verbinden, nur minimale Regelungen wie etwa spezifische Transparenzvorgaben. Andererseits gelten für die Entwicklung und die Anwendung von sogenannten Hochrisiko-KI-Systemen nun umfassende gesetzliche Vorgaben, durch die die Rechte von Bürgern bzw. von Beschäftigten gesichert und gewahrt werden sollen. Mit Blick auf die in Art. 99 EU-KI-Verordnung festgelegten hohen Geldbußen gehe ich davon aus, dass insbesondere Anwender aus dem nicht-öffentlichen Bereich sich bemühen werden, KI-Systeme rechtskonform einzusetzen.
Probleme bezüglich der Anwendung könnten aus den zahlreichen unbestimmten und relativierenden Rechtsbegriffen folgen, die die EU-KI-Verordnung enthält: Dieser Gesetzestext ist schon für Juristen schwer zu durchdringen und für juristische Laien vielfach einfach nur unverständlich. Von einer präzisen, transparenten, verständlichen und leicht zugänglichen Form und einer klaren und einfachen Sprache ist diese EU-KI-Verordnung leider weit entfernt.
Stichwort Datenschutz: Wo liegen hier mögliche Risiken?
Prof. Dr. Peter Wedde: Die EU-KI-Verordnung enthält keine spezifischen Vorgaben zum Datenschutz. Damit gelten die einschlägigen Regeln der DSGVO und des BDSG uneingeschränkt fort. Deshalb gibt es beispielsweise für zweckfreie Vorratsdatenverarbeitungen von personenbezogenen Daten für Trainingszwecke von KI-Systemen weiterhin keine datenschutzrechtliche Grundlage. Grundsätzlich besteht aus dem datenschutzrechtlichen Blickwinkel auch das Risiko, dass etwa „selbstlernende“ KI-Systeme im Einzelfall personenbezogene Daten verarbeiten, ohne dass es hierfür eine datenschutzrechtliche Grundlage gibt. Betroffene Bürger können dann möglicherweise auch bei KI-Systemen unterhalb der Hochrisiko-Schwelle nicht mehr transparent erkennen, welche Erkenntnismöglichkeiten sich mit diesen verbinden. Besonders kritisch wird dies im Rahmen von Beschäftigungsverhältnissen.
Erwarten Sie große Veränderungen, sobald die Regelungen hier bei uns gelten?
Prof. Dr. Peter Wedde: Das Inkrafttreten der EU-KI-Verordnung wird dazu führen, dass Hersteller und Anwender ihre KI-Systeme in Risikoklassen einteilen. Hieran wird sich für Hochrisiko-Systeme die Schaffung der vorgeschriebenen Rahmenbedingungen anschließen müssen. Hierzu gehört beispielsweise nach Art. 11 Abs. 1 die Erstellung einer technischen Dokumentation, in der in klarer und verständlicher Form dargestellt wird, das KI-System die einschlägigen gesetzlichen Anforderungen erfüllt.
Für Betriebsräte bringt die EU-KI-Verordnung viel Arbeit mit sich, aber auch die Chance, den Schutz der Beschäftigten vor negativen Auswirkungen von KI-Systemen sicherzustellen.
Was sollten Betriebsräte und Beschäftigte jetzt tun, welche Tipps haben Sie?
Prof. Dr. Peter Wedde: Für Betriebsräte bringt die EU-KI-Verordnung viel Arbeit mit sich, aber auch die Chance, den Schutz der Beschäftigten vor negativen Auswirkungen von KI-Systemen sicherzustellen. Auf Grundlage ihrer umfassenden gesetzlichen Informationsrechte müssen sie hierfür alle Informationen einfordern, die sie brauchen, um bestehende Mitbestimmungsrechte wie etwa die in § 87 Abs. 1 Nr. 1, 6 oder 7 BetrVG effektiv auszugestalten.
Beschäftigte sollten neue KI-Anwendungen nicht als Bedrohung ansehen, sondern als Chance für innovative neue Arbeitsformen. Voraussetzung hierfür ist allerdings, dass Arbeitgeber die neue Technik strukturiert, zielgerichtet und im Rahmen von wirksamen und auf die individuellen Fähigkeiten von Beschäftigten ausgerichteten Aus- und Weiterbildungskonzepten einführen. „Self Learning“ anhand von kurzen Videoclips erfüllt diese Anforderungen im Regelfall nicht. (cbo)