AI Act: Europäische KI-Verordnung tritt im August in Kraft

Entwürfe für die Mitte März vom EU-Parlament beschlossene Verordnung für Künstliche Intelligenz (KI) hatten über 500 Seiten. Die am Freitag im Amtsblatt der EU veröffentlichte offizielle Endfassung gibt sich dagegen mit 144 Seiten inklusive Anhängen doch deutlich kompakter. Damit steht nun auch fest: Der AI Act wird zwanzig Tage später, also am 1. August 2024, in Kraft treten.

Damit beginnen die Umsetzungsfristen der Verordnung, mit der die EU Investitionen in sichere und vertrauenswürdige KI-Systeme fördern will. Vom 2. Februar 2025 an gelten etwa die Verbote bestimmter KI-Praktiken wie Social Scoring, mit dem soziales Verhalten maschinell bewertet wird und gegebenenfalls der Ausschluss von öffentlichen Leistungen droht.

Biometrische Überwachung

Grundsätzlich ist ab Februar so auch der Einsatz biometrischer Fernüberwachungssysteme etwa mithilfe von automatisierter Gesichtserkennung in öffentlichen Räumen zur Strafverfolgung untersagt. Der im Dezember vereinbarte Kompromiss öffnete aber bereits Hintertüren für die Nutzung solcher Technologien durch die Polizei. Der EU-Rat strich zusätzlich den eigentlich vereinbarten Straftatenkatalog und den Richtervorbehalt. Die Ampel-Koalition, die gegen biometrische Massenüberwachung ist, will auf diesen Kurs jedoch nicht einschwenken.

Bis zum 2. August 2025 müssen die Mitgliedstaaten Durchführungsgesetze erlassen, in denen sie unter anderem allgemeine Marktüberwachungsbehörden für die Durchsetzung der Verordnung benennen sollen. Darüber ist hierzulande ein Streit entbrannt. Die Datenschutzkonferenz von Bund und Ländern (DSK) sieht sich prädestiniert dafür, diese Aufgabe zu übernehmen. Experten wie Robert Kilian vom Bundesverband der Unternehmen der Künstlichen Intelligenz plädierten bei einer Anhörung im Bundestag jüngst aber für die Bundesnetzagentur und mittelfristig für eine eigene Bundesoberbehörde für Digitales. Nur so sei eine "einheitliche Aufsichtsdichte" zu gewährleisten.

Kompetenz-Wirrwarr in Deutschland

Generell müssen Marktüberwachungsbehörden nach dem AI Act unabhängig, unparteiisch und unvoreingenommen sein, um die Objektivität ihrer Tätigkeiten zu gewährleisten und die Anwendung und Durchführung der Vorschriften sicherzustellen. Erforderlich sind zudem angemessene technische, finanzielle und personelle Ressourcen sowie eine entsprechende Infrastruktur zum wirksamen Erfüllen der Aufgaben. Zuständige Behörden müssen ständig über eine ausreichende Zahl von Mitarbeitern verfügen, deren Kompetenzen und Fachkenntnisse ein umfassendes Verständnis der KI-Technologien und insbesondere der relevanten Vorgaben zu Daten- und Produktsicherheit beinhalten.

Die Datenschutzbeauftragten für Hamburg und Baden-Württemberg verwiesen am Freitag darauf, "dass den Datenschutzaufsichtsbehörden die Marktüberwachung für weite Teile des Hochrisiko-Katalogs an KI-Systemen" ohnehin übertragen werde. In den Sektoren Strafverfolgung, Justizverwaltung und Migrationskontrolle sowie bei KI, die Wahlen beeinflusst, seien sie als entsprechende Instanzen "gesetzt". Das gelte auch für Softwarefirmen und Cloud-Anbieter, die für diese Bereiche entsprechende Lösungen entwickeln.

Der Telco-Verband VATM betonte: Die Branche brauche eine Aufsichtsbehörde als Ansprechpartner, "deren Ziel es sein muss, deutsche Unternehmen im internationalen Wettbewerb zu unterstützen". Gefragt sei "eine zentrale Instanz, die nicht nur den Datenschutz in den Mittelpunkt ihrer Arbeit stellt, sondern den Nutzen von innovativen KI-Anwendungen" für Bürger im Blick habe. Auf keinen Fall dürfe es zu einem KI-Kompetenz-Wirrwarr in 16 Bundesländern kommen.

(vbr)