EU verabschiedet AI Act: Key Takeaways für den Mittelstand
> Mai 2024

Nach Verabschiedung des AI Acts durch die EU-Mitgliedstaaten am 21.05.2024 steht sein Inkrafttreten nun unmittelbar bevor. Für kleinere und mittelständische Unternehmen, deren Geschäftsfeld nicht unmittelbar KI betrifft, wird jedoch voraussichtlich nur eine Handvoll Regelungen beim Einsatz intelligenter Systeme tatsächlich relevant werden.
...
Der AI Act statuiert erstmals Vorschriften, die den Einsatz intelligenter Systeme einheitlich und in den EU-Mitgliedstaaten unmittelbar geltend regeln. Abhängig vom Einsatzgebiet und von den Risiken, die das jeweilige KI-System mit sich bringt, werden hierzu verschiedene Akteure mit unterschiedlich einschneidenden Pflichten belegt. Anknüpfungspunkt bleibt dabei stets das Vorliegen eines KI-Systems im Sinne von Art. 3 Nr. 1 AI Act. Im ersten Schritt ist insoweit wichtig, zu erkennen, dass nicht jedes halbwegs automatisierte Programm ein solches KI-System darstellt. Bedient sich z.B. ein Unternehmen einer Software, die lediglich regelbasiert bestimmte Prozesse automatisiert, ist es von vornherein nicht vom Anwendungsbereich des AI Acts erfasst. Erforderlich ist vielmehr, dass das System für einen autonomen Betrieb ausgelegt ist und aus eingegeben Inputdaten ableitet, wie es Outputs generiert.

Im zweiten Schritt unterscheidet der AI Act verschiedene Pflichten-Adressaten. Im Fokus stehen Anbieter und Betreiber von KI-Systemen. Die Legaldefinitionen sind eher weit und lassen eine gewisse Überschneidung vermuten. Führt man sich aber vor Augen, dass es sich – aus Kostengründen und/oder mangels Expertise – im Mittelstand anbietet, fertige Systemlösungen einzukaufen, anstatt sie, was zur Einordnung als Anbieter gereichen würde, individuell entwickeln zu lassen oder gar selbst zu entwickeln, wird deutlich, dass mittelständische Unternehmen meist als Betreiber einzuordnen sein dürften. Vorschriften, die Einführer, Händler und Anbieter von KI-Systemen in die Pflicht nehmen, brauchen sie also nicht zu befolgen.

Allgemein gilt damit die Pflicht des Art. 4 AI Act, mit dem KI-System in Berührung kommendes Personal entsprechend zu schulen. Darüber hinaus sortiert der AI Act die einzelnen Pflichten anhand der Art des betreffenden Systems. Er unterscheidet im Kern drei Kategorien:

+ Art. 5 AI Act nennt verbotene KI-Systeme, die bereits nicht in den Verkehr gebracht werden dürfen. Dass sich Mittelständler mit solcher Art KI-System konfrontiert sehen, sollte die Ausnahme sein. Gemeint sind bspw. eine schadhafte Verhaltensmanipulation oder die Vorhersage von Straftaten à la Minority Report. Allenfalls Art. 5 Abs. 1 lit. c bzw. g AI Act könnten für Mittelständler im Bereich der Bewerberauswahl und Leistungskontrollen zumindest thematisch relevant werden.  

+ Die höchste Regelungsdichte erfahren Hochrisiko-KI-Systeme gemäß der Art. 6 - 49 AI Act. Hier werden Betreiber der Systeme einer Reihe von Vorschriften unterworfen, von Dokumentations- und Transparenzpflichten bis hin zur Pflicht, bestimmte technische und organisatorische Maßnahmen vorzunehmen. Was genau unter dem Begriff der Hochrisiko-KI zu fassen ist, regelt im Wesentlichen Anhang III zum AI Act. Primär kommt in Betracht, dass mittelständische Unternehmen Hochrisiko-KI im Bereich „Beschäftigung, Personalmanagement und Zugang zur Selbstständigkeit“ (Anhang III Ziffer 4.) einsetzen könnten. Hierbei handelt es sich vor allem um Systeme, die autonom Mitarbeiter beurteilen oder Bewerbungen sichten und filtern. Selbst wenn ein solches System zum Einsatz kommt, ist für Mittelständler aber der Weg über die Ausnahmeregelung des Art. 6 Abs. 3 AI Act gangbar, sofern das System kein erhebliches Risiko für die Rechte und Rechtsgüter natürlicher Personen birgt. Dieser entbindet gemäß Art. 6 Abs. 4 AI Act jedoch nicht von der Registrierungspflicht des Art. 49 AI Act.

+ Für bestimmte KI-Systeme sieht schließlich Art. 50 AI Act Transparenzpflichten vor. Je nach Einsatzbereich des Systems könnte Mittelständler insoweit die Pflicht treffen, mittels einer KI, wie z.B. ChatGPT oder Copilot, erstellte Inhalte als solche zu kennzeichnen. Das gilt allerdings insbesondere dann nicht, wenn jene Inhalte einer menschlichen Überprüfung unterzogen werden und für sie redaktionelle Verantwortung übernommen wird.