Die EU-Kommission arbeitet derzeit an der Vereinfachung der Digitalgesetzgebung. Dazu legte sie am 19.11. ein umfassendes Paket vor, das zahlreiche bestehende Regelwerke vereinfachen soll (siehe hier). Ziel ist es, den Verwaltungsaufwand von Unternehmen zu reduzieren, Bürokratie abzubauen sowie den digitalen Rechtsrahmen zu vereinheitlichen.
Zu den wesentlichen Eckpunkten des Vorschlags und den Änderungen in der KI-Regulierung:
Eckpunkte der Vereinfachung in der Digitalgesetzgebung
Mit dem Omnibus-Paket sollen die Vorschriften zu KI, Cybersicherheit und Daten gestrafft werden. Neben dem AI Act sollen etwa auch die DSGVO oder der Data Act überarbeitet werden. Das Omnibus-Packet umfasst folgende Eckpunkte:
Änderungen im AI Act
Da einige Änderungen des AI Act noch gar nicht gelten, ist die Frage berechtigt, warum die EU-Kommission bereits jetzt den AI Act überarbeiten möchte. Die von der EU-Kommission initiierte Konsultationen zeigten, dass etwa einige Mitgliedstaaten bei der Benennung von nationalen Behörden (darunter auch Österreich) säumig sind und harmonisierte Standards und Empfehlungen fehlen. Diese Lücken können ein effektives Inkrafttreten des AI Act gefährden. Daher sah die Kommission Handlungsbedarf. Durch gezielte Vereinfachungsmaßnahmen sollen schätzungsweise die Compliance-Kosten bei Unternehmen iHv EUR 300 Mio bis 430 Mio eingespart werden.
Nachfolgend die wesentlichen Punkte des Kommissionsvorschlags zur Änderung des AI Act:
Hochrisiko-KI-Systeme | |
 | Späteres Inkrafttreten erst mit Verfügbarkeit von Standards Die Regelungen zu Hochrisiko-KI-Systeme gemäß Kapitel III sollen erst dann Inkrafttreten, wenn etwa harmonisierte Normen, Spezifikationen und Leitlinien der Kommission verfügbar sind. Liegen die entsprechenden Standards vor, gibt es eine angemessene Übergangszeit (derzeit sechs Monate). |
 | Vereinfachungen für SME und SMCs Die Anforderungen von SME und SMC, die ein Hochrisiko-KI-System anbieten, sollen im Bereich der technischen Dokumentation und der Einrichtung des Qualitätsmanagementsystems je nach Unternehmensgröße vereinfacht werden. |
 | Entfall der Registrierungspflicht Sofern sich ein Anbieter darauf beruft, kein Hochrisiko-KI-System gemäß Anhang III in Verkehr gebracht zu haben, soll die Registrierungspflicht entfallen. Stattdessen soll die Dokumentation nur auf Anfrage der Behörde offenzulegen sein. |
KI-Kompetenz | |
 | Verantwortung bei EU-Kommission und Mitgliedstaaten Die Verantwortung der KI-Kompetenz soll bei der EU-Kommission und insb den Mitgliedstaaten liegen. Daher sollen die derzeitigen KI-Kompetenz-Pflichten für Anbieter und Betreiber entfallen. |
Innovationsförderung | |
 | KI-Reallabore auf EU-Ebene Das AI Office soll Rahmenbedingungen für grenzüberschreitende KI-Reallabore schaffen. Zudem soll eine erweiterte Möglichkeit zur Testung von Hochrisiko-KI-Systemen bestehen. |
Governance | |
 | Zentralisierte Aufsicht durch AI Office Das AI Office soll als zentrales Organ mehr Überwachungsbefugnisse erhalten. So sollen etwa KI-Systeme mit GPAI-Modellen, die vom selben Anbieter stammen, oder von großen Online-Plattformen bzw -Suchmaschinen eingebettete KI-Systeme der Aufsicht des AI Office unterliegen. |
 | Ausarbeitung weiterer Leitlinien und Standards Zur Unterstützung der Normadressaten sollen verstärkt Leitlinien und Standards von der EU-Kommission erarbeitet werden. Dazu sind zahlreiche Ergänzungen vorgenommen worden, etwa hinsichtlich der Unterstützung bei der Risikoklassifizierung von KI-Systemen, Erfüllung von Transparenzanforderungen, Best Practices und Meldeempfehlungen bei Hochrisiko-KI-Systemen, Verantwortlichkeit entlang der KI-Wertschöpfungskette etc. Zudem sollen auch Leitlinien für das Zusammenspiel des AI Act mit anderen EU-Rechtsakten (wie zB der DSGVO, des CRA etc) veröffentlicht werden. |
Schnittstelle zur DSGVO
Neben dem AI Act soll auch die DSGVO angepasst werden. Dazu berichteten wir in unserem Newsletter. Für die Entwicklung und den Betrieb von KI-Systemen sind geänderte DSGVO-Rechtsgrundlagen geplant:
Nicht-sensible Daten: Sofern die Verarbeitung von personenbezogenen Daten für die Entwicklung und den Betrieb eines KI-Systems iSd AI Act erforderlich ist, sollen berechtigte Interessen in Frage kommen, wenn gesetzlich keine Einwilligung vorgeschrieben ist. Zwar ist auch jetzt die Rechtsgrundlage der berechtigten Interessen argumentativ je nach Use Case und Verarbeitungszweck belastbar, jedoch würde durch so eine Ergänzung der Kreis der möglichen Anwendungsfälle weitergezogen werden.
Sensible Daten: Zum Zweck der Prüfung, Erkennung und Korrektur von Verzerrungen und Bias in KI-Systemen sollen Verantwortliche sensible Daten aufgrund einer gesetzlichen Grundlage verarbeiten können. Korrespondierend dazu soll im AI Act ein neuer Artikel 4a eingefügt werden.
Beide Bestimmungen sind weiters an angemessene technisch-organisatorische Maßnahmen und Datenschutzgarantien geknüpft.
Fazit
Der Vorschlag der EU-Kommission ist ein erster wichtiger Schritt zur Vereinfachung des digitalen Regelwerks. Allerdings werfen die Vorschläge viele Fragen auf, führen derzeit zu Unsicherheiten bei Rechtsunterworfenen und werden auch im Lichte des bisher strengen Datenschutzregulierung grundlegende Diskussionen entfachen. Der Legislativvorschlag wird nun dem Europäischen Parlament und dem Rat der EU-Staaten vorgelegt. Wir halten Sie wie gewohnt auf dem Laufenden.