AI Act: Ein Blick aus europäisch-rechtlicher Sicht

31. Juli 2024 um 09:19
image
Illustration: Erstellt durch inside-it.ch mit Midjourney

Fachanwalt für IT-Recht Sven Kohlmeier bewertet, wie der AI Act umgesetzt werden könnte und welche Chancen dies für den Schweizer Forschungs- und Entwicklungsstandort bietet.

Mit dem AI Act ist der EU, nach diversen anderen Marktzugangsgesetzen, sicherlich ein grosser Wurf gelungen. Nicht nur, dass sich die EU frühzeitig, bereits 2021 und noch vor dem Hype um ChatGPT, mit einer Verordnung für Künstliche-Intelligenz-Systeme befasste, sondern auch, weil erstmal KI-Systeme weitreichend rechtlich reguliert werden.
Dass dies für den ohnehin schwächelnden EU-Innovationsstandort von Vorteil ist, mag ich bezweifeln – die Schweiz könnte davon jedenfalls profitieren, wenn der wohl überwiegenden Auffassung von Verbänden (z.B. Swico) gefolgt wird und keine Übernahme des AI Acts und keine eigene Swiss-KI-Regulierung erfolgt.

Für die Umsetzung des AI Acts gelten diverse Übergangsfristen

Wer KI-Systeme in der EU betreiben will, wird sich spätestens ab dem 2. Februar 2025 mit den Anforderungen des AI Acts befassen müssen. Zum einen gilt eine Verpflichtung zur Schulung von Mitarbeitenden (Art. 4 AI Act "KI-Kompetenz"). Zwar ist ein Verstoss gegen Art. 4 nicht unmittelbar sanktionsbewährt, für Unternehmer dürfte es aus Compliance-Gründen ohnehin erforderlich sein, KI-Governance einzuhalten. Zum anderen werden diverse Systeme nach Art. 5 AI Act verboten.
Ab dem 2. August 2025 gelten dann weitere Regelungen des AI Acts. So gelten die Sanktionsvorschriften: Ein Verstoss gegen Art. 5 kann mit bis zu 35 Millionen Euro oder 7% des weltweiten Jahresumsatzes gebüsst werden. Weiter gelten die Regelungen für notifizierende Behörden in den Mitgliedstaaten (Art. 28 ff), die Vorschriften für KI-Systeme mit allgemeinem Verwendungszweck (Kap. V AI Act) sowie das Kapitel VII zur Governance auf Unionsebene.
Ab dem 2. August 2026 gilt der AI Act dann nahezu vollständig, mit Ausnahme der "Einstufungsvorschriften für Hochrisiko-KI-Systeme" (Art. 6 Abs. 1), die zum 2. August 2027 in Kraft treten.
Es bleibt also einige Zeit, sich auf den AI Act vorzubereiten. Da der AI Act für die Schweiz nicht gilt, sehe ich die grosse Chance, dass die Idee "Die Schweiz als KI-Innovations-Hub" Wirklichkeit wird. Unternehmen könnten hier im Herzen Europas weitgehend unreguliert forschen und entwickeln und würden nur jene Projekte EU-konform umsetzen, die auch in der EU eingesetzt werden. Für EU-Unternehmen dürfte das unmittelbar geltende Damoklesschwert des AI Acts eher innovationshemmend sein.

Datenschutzbehörde als zuständige nationale Behörde?

Der Europäische Datenschutzausschuss hat sich erst kürzlich dafür ausgesprochen (PDF), für die KI-Regulierung als nationale Marktüberwachungsbehörde zu agieren. Auch die Deutsche Datenschutzkonferenz hat sich dafür ausgesprochen (PDF). Dafür spricht sicherlich die Erfahrung der Datenschutzbehörden der DSGVO. Zudem könnten die Datenschutzbehörden bessere personelle und finanzielle Ausstattung verlangen.
Auf der anderen Seite haben die Datenschutzbehörden schon heute weitestgehend mit der Umsetzung der DSGVO ihre personelle Leistungsfähigkeit erreicht. Das lässt sich in anwaltlichen Beratungspraxis durchaus nutzen, um bei Verfahren, gerade bei nicht schwerwiegenden Verstössen, pragmatische Lösungen ohne Gerichtsverfahren mit der Behörde zu verhandeln. Auch würden Unternehmen die nach AI Act erforderliche EU-Vertretung wohl in einem EU-Land verorten, das in ihrer Einschätzung eher vorteilhaft agiert. Zudem kontrollieren die Datenschutzbehörden heute oft nicht von sich aus, sondern nur auf Beschwerden oder aufgrund öffentlicher Berichterstattung.
Einige Unternehmen, Vereine oder Verpflichtete haben die DSGVO bis heute nicht umgesetzt und letztlich stört sich auch niemand daran. Ähnliches könnte auch mit dem AI Act passieren.

"Nichts wird so heiss gegessen, wie es gekocht wird"

Oder übersetzt: "Nichts wird so heiss umgesetzt, wie es im Gesetz steht." Aus meinen Erfahrungen mit der DSGVO hat sich gezeigt, dass die Panikmache in keiner Weise den Umsetzungsgegebenheiten entsprach.
Zum einen gab es keine Rechtsprechung über die konkrete Umsetzung, sodass mit anwaltlicher Beratung durchaus der ein und andere Spielraum genutzt werden konnte – und wurde. Zum anderen waren die Datenschutzbehörden anfänglich überhaupt nicht mit den erforderlichen Ressourcen ausgestattet und sind es teilweise bis heute nicht.
Auch aus meiner legislativen Erfahrung kann ich nur leidvoll berichten: Man kann das beste Gesetz in bester Absicht schreiben, es gibt aber immer einen Unternehmer und Juristen, der das Gesetz auslegt oder eine Lücke findet. Das wird auch bei dem AI Act nicht anders sein und das ist letztlich auch unser Job als Anwälte. Und bis dann der Europäische Gerichtshof final entschieden hat, vergehen oftmals Jahre, bis Interpretationsklarheit besteht.

Fazit

Soweit es um den Schutz von Demokratie und Grundrechten geht, bin ich ein grosser Verfechter von Regulierung. Denn die grossen Tech-Unternehmen zeigen schon heute, dass die faktisch-technische Macht bei ihnen liegt. Das sollte und muss bei KI-Systemen verhindert werden. Der AI Act ist insofern ein richtiger Ansatz.
EU-typisch verliert er sich dann aber in dem Versuch von Detailgenauigkeit und Risikoaversion. In der Praxis kann und wird diese Detailgenauigkeit jedoch nicht umgesetzt werden können, sei es, weil die behördlichen Ressourcen fehlen oder findige Juristen Interpretationsmöglichkeiten finden.
Ich teile dennoch die Auffassung anderer Autorinnen und Autoren aus dieser Reihe, dass sich Schweizer Unternehmen auf den AI Act vorbereiten sollten. Für den Schweizer Innovationsstandort bietet sich die grosse Chance, KI-Systeme und Anwendungsmöglichkeiten hier vor Ort ohne Detailregulierungsvorgaben mit exzellenten Universitäten, Unternehmen und Fachkräften zu entwickeln und diese zu exportieren.

Über den Autor:

Sven Kohlmeier ist Rechtsanwalt und Fachanwalt für IT-Recht (DE) bei Wicki Partners AG mit Kanzleisitzen in Zürich und Berlin. Als früherer Berliner Abgeordneter hat er Erfahrung in Gesetzgebungsprozessen und der Umsetzung von EU-Regulierung. Er ist Co-Head des Digital Education Institutes.

Der "AI Act" tritt in Kraft

Dieser Text ist Teil einer Reihe an Gastbeiträgen, die den "AI Act" der EU aus unterschiedlichen Perspektiven betrachten.
Lesen Sie dazu auch:


Loading

Mehr zum Thema

image

Wir wünschen frohe Festtage und einen guten Rutsch

Die Redaktion von Inside IT bleibt über die Feiertage geschlossen. Ab dem 6. Januar versorgen wir Sie wieder mit News.

publiziert am 20.12.2024
image

Der Dezember war ein entscheidender Monat für die E-ID

Das Parlament hat dem E-ID-Gesetz heute zugestimmt, die Technologie ist festgelegt. Wie kam es zur neuen Vorlage? Was zeichnet die E-ID aus? Und wie geht es jetzt weiter?

publiziert am 20.12.2024
image

Drei Kantone brechen IT-Projekt "Neu AIS" ab

Das Projekt Agrar-Informationssystem wird vorzeitig beendet. Die Kantone Bern, Neuenburg und Solothurn wollen stattdessen das bestehende System "Gelan" weiterentwickeln.

publiziert am 20.12.2024
image

"Polycom 2030" erreicht Etappenziel

Das BABS meldet, dass alle Antennenstandorte erfolgreich auf ein neues System migriert worden sind.

publiziert am 20.12.2024