Irland veröffentlicht Entwurf zur KI-Regulierung 2026: Auswirkungen auf Unternehmen

Irland veröffentlicht einen Plan für die nationale KI-Durchsetzung: Was das Gesetz über die Regulierung von Künstlicher Intelligenz 2026 für Ihr Unternehmen bedeutet

Die irische Regierung hat den allgemeinen Plan für das Gesetz über die Regulierung von Künstlicher Intelligenz 2026 veröffentlicht, was die bedeutendste Entwicklung in der irischen KI-Regulierung darstellt.

Dieser gesetzgeberische Plan verwandelt den EU-Gesetzesentwurf zur Künstlichen Intelligenz in ein operatives irisches Durchsetzungssystem, das Strafen von bis zu 7 % des weltweiten Umsatzes für die schwerwiegendsten Verstöße verhängen kann. Für Unternehmen, die in Irland als Anbieter, Nutzer, Verteiler oder Importeure von KI-Systemen tätig sind, bietet die Veröffentlichung einen ersten detaillierten Überblick über die legislative und regulatorische Architektur, die die KI-Compliance regeln wird.

Verteilte Durchsetzung mit zentraler Koordination

Irland hat ein einzigartiges Regulierungsmodell gewählt, das sich von den zentralisierten Ansätzen einiger anderer Mitgliedstaaten unterscheidet. Anstatt eine einzige, monolithische KI-Regulierungsbehörde zu schaffen, wird die Regierung dreizehn bestehende Sektorbehörden ermächtigen, KI-Systeme innerhalb ihrer Bereiche zu überwachen, während eine neue zentrale Stelle eingerichtet wird, um den nationalen Ansatz zu koordinieren. Dieses verteilte Modell reflektiert, wie KI nahezu jeden regulierten Sektor berührt.

Die relevanten Marktüberwachungsbehörden für verschiedene Sektoren sind wie folgt:

• Die Zentralbank von Irland wird KI im regulierten Finanzdienstleistungssektor überwachen.
• Coimisiún na Meán wird KI in audiovisuellen Mediendiensten überwachen.
• Die Kommission für die Regulierung von Versorgungsunternehmen wird die Anwendungen im Energiesektor betreuen.
• Die Kommission für Arbeitsbeziehungen wird KI-Systeme in Beschäftigungskontexten überwachen.
• Die Datenschutzkommission wird weiterhin ihre Rolle zum Schutz der Grundrechte im Zusammenhang mit personenbezogenen Daten erfüllen.
• Der HSE wird die Marktüberwachung für bestimmte Hochrisiko-KI-Anwendungen im öffentlichen Gesundheitswesen und bei Notfalltriagen übernehmen.

Unternehmen, die in mehreren Sektoren tätig sind, können von mehreren verschiedenen Behörden überwacht werden, jede mit ihrer eigenen institutionellen Kultur und Aufsichtsansatz.

Das KI-Büro von Irland

Um Fragmentierung zu vermeiden und Konsistenz in dieser verteilten Landschaft sicherzustellen, schlägt der Plan die Einrichtung eines neuen gesetzlichen Körpers namens Oifig Intleachta Shaorga na hÉireann oder das KI-Büro von Irland vor. Diese Körperschaft wird unabhängige gesetzliche Befugnisse haben und von einem Geschäftsführer sowie einem siebenköpfigen Vorstand geleitet, der vom Minister für Unternehmen, Tourismus und Beschäftigung ernannt wird.

Die gesetzlichen Aufgaben des Büros umfassen:

• die Förderung einer konsistenten Durchsetzung über die dreizehn Sektorbehörden;
• die Aufrechterhaltung eines zentralen Pools technischer Experten zur Bewertung komplexer KI-Systeme;
• die Zusammenstellung und den Austausch von Daten über KI-Vorfälle und Compliance-Probleme;
• die Vertretung Irlands bei EU-KI-Board-Meetings.

Das Büro wird auch einen nationalen KI-Regulierungs-Sandbox einrichten und betreiben, die Unternehmen, insbesondere KMU und Start-ups, eine kontrollierte Umgebung bietet, um innovative KI-Systeme unter regulatorischer Aufsicht zu testen, bevor sie vollständig auf den Markt gebracht werden. Der Plan sieht die Einrichtung des KI-Büros bis spätestens 1. August 2026 vor, obwohl unklar bleibt, wie das vorgeschlagene digitale Omnibus-Paket der EU diesen Zeitrahmen beeinflussen wird.

Durchsetzungsbefugnisse und Herausforderungen bei der Klassifizierung

Das den Marktüberwachungsbehörden zur Verfügung stehende Durchsetzungsinstrumentarium ist umfassend und spiegelt die Bestimmungen der Marktüberwachungsverordnung der EU wider.

Die Behörden können:

• Dokumente anfordern, die für den Nachweis der Konformität mit dem KI-Gesetz relevant sind;
• angekündigte und unangekündigte Vor-Ort-Inspektionen durchführen;
• Produktproben durch „Cover-Identität“-Operationen erhalten;
• KI-Systeme testen und Zugang zu eingebetteter Software verlangen.

Für die Online-Verbreitung können die Behörden die Entfernung von Inhalten oder die Einschränkung des Zugriffs verlangen, wenn KI-Systeme Risiken darstellen oder regulatorische Anforderungen verletzen.

Besonders besorgniserregend für Technologieanbieter ist die Befugnis der Marktüberwachungsbehörden, Zugang zum Quellcode zu verlangen, obwohl unklar bleibt, ob dies auch Modellparameter, Gewichte und Systemaufforderungen umfasst, die als kritischer angesehen werden können. Der Plan sieht dies als letztes Mittel vor, das nur für Hochrisiko-KI-Systeme erforderlich ist, um die Compliance zu bewerten, nachdem andere Bewertungsmethoden erschöpft sind. Unternehmen, die Hochrisiko-KI-Systeme einsetzen, sollten sicherstellen, dass ihre technischen Unterlagen, Systemprotokolle und Daten zur Überwachung nach dem Markteintritt umfassend genug sind, um die Compliance zu demonstrieren, ohne dass der Zugang zum Quellcode erforderlich ist.

Der Plan ermächtigt die Marktüberwachungsbehörden ausdrücklich, Risiko-Klassifizierungen herauszufordern. Wenn eine Behörde den Verdacht hat, dass eine falsche Selbstbewertung eines Systems als nicht hochriskant vorliegt, kann sie eine formelle Bewertung verlangen, die zur Anwendung vollumfänglicher Hochrisiko-Verpflichtungen nach einer neuen Klassifizierung führen kann. Unternehmen benötigen verteidigbare Klassifizierungsunterlagen mit dokumentierten Begründungen, die mit den aufkommenden Leitlinien der Europäischen Kommission übereinstimmen.

Das Sanktionsregime

Das in Teil 5 des Plans vorgeschlagene administrative Sanktionsregime schafft eine finanzielle Exposition, die die KI-Compliance auf dasselbe Risiko-Niveau wie die Durchsetzung der Datenschutz-Grundverordnung (DSGVO) hebt. Für verbotene KI-Praktiken gemäß Artikel 5 des EU-KI-Gesetzes beträgt die maximale Verwaltungsstrafe entweder 35 Millionen Euro oder 7 % des gesamten weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Bei Nichteinhaltung der Verpflichtungen für hochriskante KI-Systeme beträgt das Maximum entweder 15 Millionen Euro oder 3 % des weltweiten Umsatzes. Für die Bereitstellung falscher, unvollständiger oder irreführender Informationen an die Behörden liegt die Obergrenze bei 7,5 Millionen Euro oder 1 % des Umsatzes.

Der Sanktionsprozess bietet erhebliche Verfahrensgarantien. Die Durchsetzungsverfahren beginnen mit einem Hinweis auf vermutete Nichteinhaltung, gefolgt von einer Mitteilungsfrist für schriftliche Stellungnahmen. Wenn die Angelegenheiten in die formelle Beurteilung übergehen, werden sie von unabhängigen Schiedsrichtern behandelt, die vom KI-Büro nominiert und vom Minister ernannt werden. Administrative Sanktionen treten erst in Kraft, nachdem sie vom Obersten Gerichtshof bestätigt wurden, was gerichtliche Aufsicht gewährleistet und gleichzeitig die Effizienz der Verwaltung aufrechterhält.

Praktische Auswirkungen für Unternehmen

Das verteilte Regulierungsmodell bedeutet, dass die erste Compliance-Frage die Zuständigkeit betrifft, wobei Unternehmen verstehen müssen, welche Sektorbehörde (oder Behörden) ihren KI-Anwendungsfall überwachen wird.

Die Befugnis der Behörden, Risiko-Klassifizierungen anzufechten, macht verteidigbare Dokumentation unerlässlich. Unternehmen sollten klare Aufzeichnungen führen, die belegen, warum ihre KI-Systeme innerhalb oder außerhalb der Hochrisikokategorien gemäß Anhang III des EU-KI-Gesetzes fallen.

Die Anforderungen an die Überwachung nach dem Markteintritt und die Verpflichtungen zur Meldung schwerwiegender Vorfälle schaffen fortlaufende Compliance-Verantwortlichkeiten, die weit über die anfängliche Systemeinführung hinausgehen.

Frühe Investitionen in den Aufbau von Compliance-Fähigkeiten, bevor Durchsetzungsmaßnahmen beginnen, sind erheblich kosteneffektiver als reaktive Antworten nach regulatorischen Interventionen.