Angelehnt an unseren Rant über den Umgang mit KI und unsere Neigung, Systemen menschliche Eigenschaften zuzuschreiben, widmen wir uns heute einem brandaktuellen Thema: Dem EU AI Act. Seit August 2024 ist diese Verordnung in Kraft und bietet (endlich) offizielle Spielregeln für den Einsatz von künstlicher Intelligenz innerhalb der EU und des EWR. In diesem Blogartikel geben wir Euch einen Überblick über die wichtigsten Punkte und ziehen Schlussfolgerungen für den E-Commerce.

Was regelt der EU AI Act?

Die europäische Verordnung über künstliche Intelligenz ist die weltweit erste umfassende Rechtsvorschrift, die darauf abzielt, dass in der EU entwickelte und verwendete KI-Systeme vertrauenswürdig sind und den Schutz der Grundrechte der Menschen gewährleisten. Die Ziele der Verordnung lassen sich zusammenfassen:

• Vertrauenswürdige KI: Sicherstellung, dass KI-Systeme ethisch vertretbar und menschenzentriert entwickelt werden.
• Harmonisierung des Binnenmarkts: Schaffung einheitlicher Regeln, um Innovation und Investitionen in der KI-Technologie zu fördern.
• Grundrechtsschutz: Vermeidung von Risiken, insbesondere im Hinblick auf die Verletzung von Grund- oder Menschenrechten.

Die Europäische Kommission fasst dies wie folgt zusammen:

„Mit der KI-Verordnung soll sichergestellt werden, dass in der EU entwickelte und verwendete KI vertrauenswürdig ist und Vorkehrungen zum Schutz der Grundrechte der Menschen bietet. Sie dient dem Aufbau eines harmonisierten Binnenmarkts für KI in der EU, fördert die Einführung von KI-Technik und schafft ein günstiges Umfeld für Innovation und Investitionen.“

Risikostufen und Regelungen

Ein zentrales Element des EU AI Acts ist die Einstufung von KI-Systemen in unterschiedliche Risikostufen. Dabei wird bewertet, ob ein System potenziell gegen geltende Grund- oder Menschenrechte verstoßen könnte. Je nach Risikokategorie gelten dann unterschiedliche Auflagen:

• Hochrisiko-KI-Systeme: Diese unterliegen strengen Auflagen bzw. sind grundsätzlich verboten. Im E-Commerce-Sektor sind solche Systeme jedoch selten anzutreffen, da sie beispielsweise für Social Scoring (die Kontrolle des Sozialverhaltens) oder das Bewerten von Risikoverhalten im Kontext von Versicherungen eingesetzt werden.
• Minimal-Risiko KI-Systeme: Hier gelten keine verbindlichen Regeln. Es wird lediglich dazu geraten, sich freiwillig an einen Verhaltenskodex zu halten.

Wichtig ist auch, dass die Verordnung nicht nur für innerhalb der EU hergestellte KI-Systeme gilt, sondern auch für ausländische Anbieter:innen – etwa aus den USA und China – sofern deren Systeme im EU- oder EWR-Raum eingesetzt werden.

Besondere Transparenzverpflichtungen im E-Commerce

Für den E-Commerce ist vor allem eine „besondere Transparenzverpflichtung“ von Relevanz. Diese verpflichtet Webseiten- und Onlineshopbetreiber:innen dazu, ihre Nutzer:innen klar und deutlich darüber zu informieren, wenn sie mit einem KI-System interagieren. Das betrifft beispielsweise:

• Chatbots: Auf Webseiten und in Onlineshops muss transparent kommuniziert werden, ob es sich bei Gesprächspartner:innen um einen Menschen oder eine KI handelt.
• Automatisierte Calls: Auch bei telefonischer Kaltakquise muss man klarstellen, dass das Gegenüber eine KI ist.

Ein einfacher Selbstcheck: Wenn Du als Nutzer:in auf einer Webseite interagierst, solltest Du auf Anhieb erkennen können, ob Du es mit einer KI oder einem Menschen zu tun hast.

Sanktionen bei Verstößen

Die Verordnung sieht strenge Sanktionen vor, um die Einhaltung der Regeln sicherzustellen. Bei Verstößen können folgende Strafen verhängt werden:

• Verstöße durch verbotene Praktiken oder Datenverletzungen: Bis zu 35 Mio. EUR oder 7 % des gesamten weltweiten Vorjahresumsatzes (je nachdem, welcher Wert höher ist).
• Verstöße gegen andere Verpflichtungen der Verordnung: Bis zu 15 Mio. EUR oder 3 % des gesamten weltweiten Vorjahresumsatzes.
• Falsche, unvollständige oder irreführende Angaben: Bis zu 7,5 Mio. EUR oder 1,5 % des gesamten weltweiten Vorjahresumsatzes.

Für kleine und mittlere Unternehmen (KMU) gelten dabei jeweils die niedrigeren Schwellenwerte, während für größere Unternehmen die höheren Beträge zur Anwendung kommen.

Timeline der Umsetzung

Obwohl der EU AI Act bereits in Kraft ist, erfolgt die vollständige Umsetzung der Regelungen gestaffelt:

• 2. Februar 2025: Verbote, Begriffsbestimmungen und Vorschriften im Zusammenhang mit den KI-Kompetenzen treten in Kraft.
• 2. August 2025: Die Governance-Vorschriften und allgemeinen Verpflichtungen für KI-Systeme werden anwendbar.
• 2. August 2026: Die meisten Bestimmungen der Verordnung sind vollständig anwendbar.
• 2. August 2027: Verpflichtungen für KI-Systeme, die als Hochrisiko eingestuft sind und in regulierte Produkte eingebettet werden (gemäß Anhang II der Harmonisierungsrechtsvorschriften der Union), treten in Kraft.

Fazit

Der EU AI Act markiert einen bedeutenden Schritt in der Regulierung von künstlicher Intelligenz. Besonders für den E-Commerce bedeutet dies, dass Betreiber:innen sicherstellen müssen, dass ihre eingesetzten KI-Systeme transparent kommuniziert werden und den neuen Regelungen entsprechen. Verstöße können empfindliche Strafen nach sich ziehen – daher ist es ratsam, sich frühzeitig mit den Anforderungen vertraut zu machen und entsprechende Vorkehrungen zu treffen.

Mit der Einführung dieser umfassenden Verordnung schafft die EU einen rechtlichen Rahmen, der nicht nur den Schutz der Bürger:innen, sondern auch ein innovationsfreundliches Umfeld für Unternehmen fördern soll.