Anwendung des EU AI-Gesetzes auf bestehende KI-Systeme

Gilt das EU AI-Gesetz für „alte“ KI-Systeme?

Was passiert mit KI-Systemen, die vor Inkrafttreten des Gesetzes entwickelt und eingesetzt wurden? Gilt das neue Regelwerk rückwirkend?

Die kurze Antwort: In der Regel nein, aber mit wichtigen Ausnahmen und Übergangsverpflichtungen.

Das Prinzip der Nicht-Rückwirkung

Das AI-Gesetz ist nicht rückwirkend. Das bedeutet:

• KI-Systeme, die vor dem 2. August 2025 auf den Markt gebracht oder in Betrieb genommen wurden, sind weitgehend von den neuen Verpflichtungen des Gesetzes ausgenommen.
• Diese Ausnahme gilt jedoch nicht für bestimmte verbotene KI-Praktiken gemäß Artikel 5 des Gesetzes.

Wichtige verbotene Praktiken, die alle KI-Systeme betreffen

Unabhängig davon, wann das KI-System eingesetzt wurde, sind die folgenden Verwendungen verboten und müssen abgeschafft werden:

• Soziale Bewertung durch Regierungen
• Echtzeitbiometrische Identifizierung in öffentlichen Räumen (mit begrenzten Ausnahmen)
• Ausbeuterische Manipulation von verletzlichen Gruppen
• Dunkelmuster-KI, die das Verhalten der Nutzer erheblich verzerrt

Jede alte KI, die unter diese Kategorien fällt, muss sofort behoben oder eingestellt werden.

Wichtige Übergangsfristen & Compliance-Auslöser

Wann müssen alte KI-Systeme compliant sein?

1. Wesentliche Modifikation

Wenn ein KI-System, das vor dem 2. August 2025 auf den Markt gebracht wurde, nach dem 2. August 2026 wesentlich modifiziert wird, wird es als neues System behandelt und muss vollständig mit dem AI-Gesetz übereinstimmen.

• Wesentliche Modifikationen beziehen sich auf signifikante Änderungen an Design, Funktionalität oder beabsichtigtem Zweck (siehe Artikel 3(23), Erwägungsgrund 177).
• Die Partei, die die Modifikation durchführt, könnte als quasi-Anbieter betrachtet werden und somit rechtliche Verpflichtungen übernehmen.

2. Besondere Regeln für allgemeine KI-Modelle (GPAI)

Für Grundmodelle wie GPT, LLaMA und ähnliche Systeme:

• Modelle, die bereits vor dem 2. August 2025 auf dem Markt sind, müssen ab dem 2. August 2027 bestimmten Transparenz-, Risikomanagement- und Urheberrechtsverpflichtungen nachkommen.
• Dieser Übergangszeitraum ermöglicht Audits, politische Aktualisierungen und die Implementierung von Sicherheitsmaßnahmen gegen systemische Risiken.

3. Hochrisiko-KI-Systeme im öffentlichen Sektor

Öffentliche Stellen, die hochriskante KI-Systeme nutzen, die vor dem 2. August 2025 eingesetzt wurden, haben bis zum 2. August 2030 Zeit, um vollständige Compliance sicherzustellen.

• Das AI-Gesetz erkennt die Komplexität und Budgetzyklen öffentlicher Verwaltungen an.
• Anbieter und Betreiber in diesem Bereich müssen ältere KI nachrüsten, ersetzen oder stilllegen, um die Anforderungen bis zu diesem Datum zu erfüllen.

4. Besondere Überlegung: Großangelegte europäische Informationssysteme

Alte KI-Systeme, die in kritischen EU-Infrastrukturen (unter Anhang X, z. B. Schengen-Informationssystem, Eurodac) verwendet werden:

• Werden nur vorübergehend ausgenommen, wenn sie vor dem 2. August 2027 eingesetzt werden.
• Jede wesentliche Modifikation löst sofortige Compliance aus.
• Neue Einsätze nach diesem Datum müssen von Anfang an vollständig compliant sein.

Zusammenfassung: Anwendbarkeit des AI-Gesetzes auf alte KI

Integration alter KI in das Risikomanagement-Framework

Durchführung von Bewertungen der Auswirkungen auf die Grundrechte (FRIA) und Datenschutz-Folgenabschätzungen (DPIA)

• Selbst wenn alte KI ausgenommen ist, hilft die Durchführung dieser Bewertungen, Risiken zu identifizieren und mit den Verpflichtungen nach der DSGVO und den Grundrechten in Einklang zu bringen.
• Das AI-Gesetz (Artikel 27) verlangt eine FRIA für bestimmte hochriskante KI-Systeme.
• Die DSGVO (Artikel 35) verlangt eine DPIA, wenn die Verarbeitung voraussichtlich zu hohen Risiken für Rechte und Freiheiten führt.
• Öffentliche Betreiber hochriskanter alter KI müssen Zusammenfassungen dieser Bewertungen während der Registrierung einreichen.

Registrierung hochriskanter KI-Systeme

• Öffentliche Stellen und EU-Organe müssen hochriskante KI-Systeme, einschließlich alter Systeme, vor dem Einsatz oder Gebrauch in der EU-Datenbank registrieren.
• Die Registrierung umfasst die Bereitstellung von Kontaktinformationen, Systemdetails und Zusammenfassungen der Auswirkungen.

In Übereinstimmung mit Standards und Governance-Rahmenwerken

• Folgen Sie aufkommenden Standards wie dem ISO/IEC 42001 AI Management System (AIMS) und den bevorstehenden harmonisierten Standards gemäß dem AI-Gesetz.
• ISO/IEC DIS 42005 (AI Impact Assessment — in Entwicklung) drängt auf ganzheitliches, rechtsbasiertes Risikomanagement.
• Integrieren Sie die KI-Compliance in bestehende Governance-, Risiko- und Compliance-Systeme.

Fazit

Während das AI-Gesetz alte KI-Systeme im Allgemeinen von den meisten neuen Verpflichtungen ausnimmt, kann Nicht-Compliance, insbesondere in Bezug auf verbotene Praktiken oder hochriskante KI, zu erheblichen Geldstrafen gemäß Artikel 99 führen. Diese Strafen können bis zu 35 Millionen Euro oder 7 % des globalen Jahresumsatzes betragen.

Wichtig ist, dass das AI-Gesetz nicht darauf abzielt, den technologischen Fortschritt zu behindern. Es spiegelt vielmehr das Engagement der EU wider, ein Gleichgewicht zwischen Innovation und dem Schutz von Grundrechten und kritischer Infrastruktur zu finden.

Eine effektive KI-Governance beginnt mit proaktiver Bereitschaft. Organisationen sollten zunächst ihre undurchsichtigsten oder hochgradig wirkenden KI-Systeme identifizieren, bei denen Risiken und Unsicherheiten zusammenlaufen, und diese priorisieren. Von dort aus wird der Aufbau eines strukturierten, risikobasierten KI-Managementansatzes nicht nur zu einer regulatorischen Notwendigkeit, sondern auch zu einem strategischen Vorteil.