Institutioneller Kontext

Es kann schwierig sein, zu verstehen, wie die politische Entscheidungsfindung in der Europäischen Union funktioniert. Diese Seite soll das Verständnis der Öffentlichkeit für den institutionellen Kontext des EU-KI-Gesetzes verbessern. Diese Zusammenfassung wurde von Hadrien Pouget, einem Experten für KI-Politik bei der Carnegie Endowment for International Peace, zusammengestellt. Er hofft, dass sie anderen hilft, sich mit dem KI-Gesetz zurechtzufinden, und steht für weitere Fragen gerne unter hadrien.pouget@ceip.org zur Verfügung.

 

1. Einleitung

Das EU-Gesetz über künstliche Intelligenz (AIA) hat internationale Aufmerksamkeit erregt, und viele, die sich noch nie für EU-Rechtsvorschriften interessiert haben, befassen sich eingehend mit ihm, um seine Auswirkungen zu verstehen. So beispiellos der AIA auch ist, so bleibt er doch im Wesentlichen ein Stück EU-Gesetzgebung. Vieles davon ist aus gemeinsamen EU-Rechtsrahmen übernommen worden, so dass es ohne diesen breiteren Kontext nicht richtig verstanden werden kann. Diejenigen, die mit der EU nicht vertraut sind, haben möglicherweise Schwierigkeiten zu erkennen, was an dem Gesetz tatsächlich neu ist und was lediglich etablierte EU-Praxis darstellt, oder sie übersehen wichtige Subtexte.

Dieser Leitfaden soll einen Überblick über den rechtlichen Kontext des AIA geben, vom Gesetzgebungsverfahren, das dem AIA zugrunde liegt, bis hin zu den Einhaltungs- und Durchsetzungsmechanismen, die sich alle auf bestehende EU-Verfahren stützen. In diesem Sinne verzichtet er weitgehend auf eine inhaltliche Analyse des AIA; es gibt bereits viele solcher Analysen.

Abbildung 1. Eine Übersicht über die wichtigsten Akteure bei der Schaffung und Durchsetzung des AI-Gesetzes und ihre Beziehungen.

2. Gesetzgebungsprozess

Das AI-Gesetz wird nach dem ordentlichen Gesetzgebungsverfahren der EU ordentlichen Gesetzgebungsverfahrendem Prozess, in dem die meisten EU-Rechtsvorschriften entstehen. Die wichtigsten Akteure und ihre Interaktionen werden hier skizziert.

Abbildung 2. Ein Überblick über das ordentliche Gesetzgebungsverfahren, durch das das AI-Gesetz zustande kommt.

2.1. Hauptakteure

  1. Europäische Kommission - Besteht aus 27 Kommissaren, die von den Mitgliedstaaten vorgeschlagen und vom Europäischen Parlament bestätigt werden. Die Kommission fungiert als Exekutivorgan der EU.
  2. Europäisches Parlament -
    1. Vertritt die Menschen in der EU. Die Mitglieder des Europäischen Parlaments (MEP) werden direkt von den europäischen Bürgern gewählt. Jedem Mitgliedstaat der EU wird eine Anzahl von Sitzen zugeteilt, die weitgehend von seiner Bevölkerungszahl abhängt.
    2. Das Parlament verfügt über mehrere Ausschüsse, von denen erwartet wird, dass sie bei Fragen, die in ihren Zuständigkeitsbereich fallen, die Führung übernehmen. Im Falle des AIA sind dies die Ausschüsse für bürgerliche Freiheiten, Justiz und Inneres (LIBE) und für Binnenmarkt und Verbraucherschutz (IMCO).
    3. Für jeden Rechtsakt hat der Ausschuss einen "Berichterstatter", einen Abgeordneten, der die Arbeit des Ausschusses leitet. Im Falle des AIA sind dies Dragoş Tudorache (LIBE) und Brando Benifei (IMCO). Eine Auswahl anderer Ausschüsse ist für die Teile des Gesetzes zuständig, die für ihre Arbeit besonders relevant sind.
  3. Der Rat der Europäischen Union ("der Rat")[1] - Für jedes Thema beruft der Rat die zuständigen Minister der einzelnen Mitgliedsstaaten ein. Der AIA wird von den Ministern für Telekommunikation im Rahmen der "Arbeitsgruppe für Telekommunikation und Informationsgesellschaft (WP TELECOM)" behandelt. Der Vorsitz des Rates wechselt im 6-Monats-Rhythmus zwischen den Mitgliedsstaaten. Die Präsidentschaft hat eine gewisse Befugnis, die Schwerpunkte des Rates festzulegen und vertritt den Rat bei der Interaktion mit anderen EU-Institutionen.

2.2. Das ordentliche Gesetzgebungsverfahren

Das ordentliche Gesetzgebungsverfahren läuft kurz gesagt wie folgt ab:

  1. Die Kommission erstellt einen ersten Entwurf für einen Rechtsakt. Sie ist die einzige Organisation, die dazu befugt ist, das sogenannte "Initiativrecht".
  2. Das Parlament erhält den ersten Entwurf und schickt ihn mit dem Rat hin und her, wobei es Änderungen hinzufügt, bis beide Seiten zustimmen (das Gesetz wird verabschiedet) oder bis es dreimal hin und her gegangen ist, ohne dass eine Einigung erzielt wurde (das Verfahren endet und es wird kein Gesetz verabschiedet). Während dieser Zeit finden informelle Dialoge, so genannte "Triloge", zwischen dem Rat, dem Parlament und der Kommission statt. In der Praxis sind diese oft von entscheidender Bedeutung: Die Gesetzgebung wird nun normalerweise im ersten Durchgang vereinbart[2], da sich das Parlament und der Rat bei informellen Treffen auf eine Richtung einigen.
  3. Sobald das Parlament und der Rat den Text offiziell gebilligt haben, wird er im Amtsblatt der Europäischen Union (ABl. EU) veröffentlicht. In der Regel wird in der Rechtsvorschrift angegeben, wann sie nach ihrer Veröffentlichung in Kraft treten wird.

2.3. Aktualisierung des Gesetzes nach der Veröffentlichung

Die EU verfügt über zwei bemerkenswerte Instrumente, um bestehende Rechtsvorschriften zu aktualisieren, ohne das gesamte Gesetzgebungsverfahren wiederholen zu müssen: Durchführungsrechtsakte und delegierte Rechtsakte. Der Gesetzgeber muss festlegen, wann und zu welchem Zweck diese eingesetzt werden können. Die beiden Mechanismen ähneln sich; beide ermöglichen es der Kommission, Rechtsvorschriften zu erlassen oder zu ändern, nachdem sie bereits verabschiedet wurden, obwohl sie leicht unterschiedliche Überwachungsmechanismen.

Der AIA wird wahrscheinlich von beiden Mechanismen Gebrauch machen (in den letzten Entwürfen war dies der Fall), so dass er als Reaktion auf technologische Entwicklungen aktualisiert werden kann. Sie ermöglichen es dem Gesetz auch, nicht wesentliche Lücken im AIA zu lassen, die zu einem späteren Zeitpunkt gefüllt werden können.

Um weiterhin Fachwissen in die EU zu bringen, wird ein "AI-Board" eingerichtet. Er wird wahrscheinlich zu Durchführungs- und delegierten Rechtsakten sowie zu vielen anderen Bereichen beraten, in denen bei der Umsetzung und Durchsetzung Fachwissen benötigt werden könnte.

 

2.4. Höhepunkte der Legislaturperiode (Stand: Dezember 2022)

Europäische Kommission Europäisches Parlament Europäischer Rat
21. April 2021: Erster Entwurf veröffentlicht.

20. April 2022 &14. Juni 2022: Entwurf des Berichts von IMCO/LIBE.

Der Entwurf sammelt alle Stellungnahmen und Änderungsvorschläge. Dient als Grundlage für die Verhandlungen im Parlament. Zu diesem Zeitpunkt haben die meisten anderen zuständigen Ausschüsse bereits ihre eigenen Stellungnahmen veröffentlicht.

6. Dezember 2022: Verabschiedung des Standpunkts des Rates durch die WP TELECOM.

Ein Standpunkt, der auch als "allgemeine Ausrichtung des Rates" bezeichnet wirdallgemeine Ausrichtung wird als Signal für das Parlament entwickelt.

Anfang 2023: Abstimmung über den geänderten Entwurf.

Diese Abstimmung würde bedeuten, dass das Parlament den Rechtsakt an den Rat weiterleitet.

Trilog-Verhandlungen mit dem Ziel, den Standpunkt des Parlaments und des Rates zu vereinheitlichen. Trilog-Verhandlungen mit dem Ziel, den Standpunkt des Parlaments und des Rates zu vereinheitlichen. Trilog-Verhandlungen mit dem Ziel, den Standpunkt des Parlaments und des Rates zu vereinheitlichen.
??: Der Rat akzeptiert entweder den Vorschlag des Parlaments oder schlägt seine eigenen Änderungen vor.
...
Ende 2023 - Anfang 2024 (geschätzt): Das AI-Gesetz tritt kurze Zeit nach seiner Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.

24+ Monate später: Das AI-Gesetz gilt in vollem Umfang.

Der genaue Zeitplan wird noch erörtert, aber verschiedene Teile werden in den ersten zwei bis drei Jahren nach Inkrafttreten des Gesetzes zu unterschiedlichen Zeitpunkten zur Anwendung kommen.

3. Legislativer Kontext

3.1. Arten von EU-Rechtsvorschriften

Die EU kann verschiedene Arten von Rechtsvorschriften. Der AIA ist die stärkste Form, eine Verordnung.

  • Die Verordnungen sind verbindlich und gelten unmittelbar in allen Mitgliedstaaten.
  • Richtlinien legen verbindliche Ergebnisse fest, aber nicht, wie diese Ergebnisse erreicht werden sollen. Die Mitgliedstaaten müssen ihre eigenen Gesetze ausarbeiten, wie diese Ergebnisse zu erreichen sind.
  • Die Beschlüsse sind verbindlich und können sich an bestimmte EU-Länder oder Unternehmen richten.
  • Empfehlungen und Stellungnahmen sind nicht bindend.

3.2. Neuer Rechtsrahmen - Instrumente zur Durchsetzung der Produktgesetzgebung

Der 2008 verabschiedete "Neue Rechtsrahmen" (NLF) umreißt die allgemeine Struktur, der die EU-Produktvorschriften folgen, und die Instrumente, die neuen Rechtsvorschriften zur Verfügung stehen.[3] Er enthält eine große Anzahl von Standardformulierungen, die dann von neuen Rechtsvorschriften übernommen und angepasst werden können. Der AIA baut auf diesem Rahmen auf.

3.2.1. Grundlegende Anforderungen

Eines der wichtigsten Ergebnisse von EU-Produktvorschriften wie dem AIA ist eine Reihe von "wesentlichen Anforderungen", die Produkte erfüllen müssen. Sobald sie diese Anforderungen erfüllen, haben die Unternehmen Zugang zum gesamten EU-Markt - einer großen, relativ wohlhabenden Bevölkerung, die als verlockender Anreiz dient. Die grundlegenden Anforderungen können alles umfassen, was die EU von einem Produkt oder seinem Hersteller verlangt.

Sie vermeiden absichtlich technische Details und sind stattdessen nur so spezifisch, dass sie rechtsverbindliche Verpflichtungen schaffen.[4] Die Hersteller können dann versuchen, diese Verpflichtungen auf ihre eigene Weise zu erfüllen, oder sie können die entsprechenden "harmonisierten Normen" verwenden.

3.2.2. Harmonisierte Normen

Technische Normen, die wie in der Broschüre "Normsetzungsprozess" beschrieben, tragen dazu bei, die grundlegenden Anforderungen zu konkretisieren. Nach Verabschiedung einer Rechtsvorschrift werden technische Normen entwickelt, um bestimmte grundlegende Anforderungen zu erfüllen. Die Einhaltung dieser Normen reicht aus, um die Übereinstimmung mit den entsprechenden grundlegenden Anforderungen nachzuweisen, da für diese Normen eine "Konformitätsvermutung"gilt .[5] Solche Normen werden im Amtsblatt der Europäischen Union veröffentlicht und als"harmonisierte Normen" bezeichnet.

So verlangt der AIA zum Beispiel die Annahme von "geeignete Risikomanagementmaßnahmen". Was gilt als "geeignet" ist, bleibt unklar, und harmonisierte Normen würden Klarheit in diese Art von Anforderungen bringen.

In der Praxis spielen die harmonisierten Normen eine entscheidende Rolle. Sie sind der einfachste Weg, die grundlegenden Anforderungen einzuhalten. Die Hersteller können zwar die grundlegenden Anforderungen erfüllen, ohne sich an harmonisierte Normen zu halten, aber das Navigieren in der daraus resultierenden Grauzone lohnt sich oft nicht, und sie müssen in der Regel nachweisen, dass ihre Alternativlösung der Norm zumindest gleichwertig ist.

In Fällen, in denen es keine harmonisierten Normen gibt, kann die Kommission nach den aktuellen AIA-Entwürfen "Gemeinsame Spezifikationen" erstellen kann, um dies zu kompensieren. Diese sind mit harmonisierten Normen vergleichbar, aber im Gegensatz zu harmonisierten Normen (die von EU-unabhängigen Organisationen entwickelt werden) bleibt der Prozess ihrer Entwicklung vollständig in den Händen der EU-Institutionen.

3.2.3. Konformitätsbewertungen

Konformitätsbewertungen sind eines der Durchsetzungsinstrumente, die der NLF zur Verfügung stellt. Sie müssen durchgeführt werden, bevor ein Produkt auf den Markt gebracht wird. Wird festgestellt, dass ein Produkt allen einschlägigen Anforderungen entspricht, wird eine Konformitätserklärung ausgestellt und eine "CE"-Zeichen angebracht. Das Produkt kann dann auf den Markt gebracht werden.

Der NLF beschreibt verschiedene Verfahren, die bei der Konformitätsbewertung angewendet werden können,[6] und sieht vor, dass jede dieser drei Gruppen die Bewertung durchführen kann:

  • Die Hersteller des Produkts selbst. Die Hersteller müssen natürlich die Bewertung dokumentieren, um zu beweisen, dass sie korrekt durchgeführt wurde. Dies ist häufig die Standardoption für Produkte mit geringeren Anforderungen.
  • Konformitätsbewertungsstellen. Diese Stellen müssen von "notifizierenden Behörden" akkreditiert werden, die von den Mitgliedstaaten eingerichtet werden müssen. Sobald eine Konformitätsbewertungsstelle akkreditiert ist, wird sie auch als "notifizierte Stelle" bezeichnet.
  • Öffentliche Behörden.

Es ist Sache der einzelnen Rechtsvorschriften, die Instrumente der NLF an den jeweiligen Kontext anzupassen - so kann der AIA beispielsweise für einige risikoreiche Anträge eine Selbstbewertung zulassen und für andere Anträge benannte Stellen vorschreiben.

3.2.4. Marktüberwachung

Jeder Mitgliedstaat ist auch für die Marktüberwachung auf seinem Markt zuständig; er muss Produkte aus dem Verkehr ziehen, die nicht den EU-Rechtsvorschriften entsprechen oder die zwar den Vorschriften entsprechen, aber trotzdem als zu gefährlich eingestuft wurden.

Die Gesetzgebung enthält in der Regel weitere Einzelheiten zur Arbeitsweise der zuständigen Marktaufsichtsbehörden. Der AIA legt beispielsweise fest, zu welchen Arten von Daten die Marktaufsichtsbehörden Zugang haben sollten (Dokumentation, Datensätze, Quellcode usw.) und unter welchen Bedingungen. Außerdem wird dargelegt, wie sich die Behörden mit der Kommission, den benannten Stellen oder den Behörden in anderen Ländern abstimmen sollen.

3.2.5. Haftung

Anbieter von KI-Systemen sind wie jeder, der ein Produkt auf den EU-Markt bringt, auch für Schäden haftbar, die durch ihre fehlerhaften Produkte verursacht werden. Die Haftung wird zwar nicht ausdrücklich vom AIA abgedeckt, aber die Nichteinhaltung der EU-Verordnung macht es leichter, gegen eine Organisation zu klagen. Die Vorschläge für eine Überarbeitung der Produkthaftungsrichtlinieund für die neue AI-Haftungsrichtlinie machen dies noch deutlicher.

4. AI-Gesetz - kommentiertes Inhaltsverzeichnis

Das AI-Gesetz liegt zwar noch im Entwurf vor, dürfte aber in seiner Struktur weitgehend unverändert bleiben. Dieses Inhaltsverzeichnis hebt in grüner Farbe hervor wie der AIA ein Produkt des NLF ist. Grundlage ist der vom Rat am 25. November 2022 veröffentlichte Gemeinsame Standpunkt, den Sie hier.

    • Titel I - "Allgemeine Bestimmungen"
      • Anwendungsbereich, Definitionen und Durchführungsrechtsakte zur Aktualisierung der Definition von KI
    • Titel Ia - "KI-Systeme für allgemeine Zwecke"
      • Wie KI-Systeme für allgemeine Zwecke behandelt werden sollten
    • Titel II - "Verbotene Praktiken der künstlichen Intelligenz"
      • Nach dem AI-Gesetz verbotene Praktiken
    • Titel III - "Hochriskante KI-Systeme"
      • Kapitel 1 - "Einstufung von KI-Systemen als hochriskant"
        • Welche Systeme sollten als risikoreich eingestuft werden, Delegierte Rechtsakte, die Hinzufügungen oder Streichungen ermöglichen
      • Kapitel 2 - "Anforderungen an hochriskante KI-Systeme"
        • Umreißt die wesentlichen Anforderungen, die KI-Systeme erfüllen müssen
        • Beinhaltet ein Risikomanagementsystem und Anweisungen zu Datenverwaltung, Dokumentation, Überwachung, menschlicher Aufsicht usw.
      • Kapitel 3 - "Verpflichtungen von Anbietern und Nutzern von Hochrisiko-KI-Systemen und anderen Parteien"
        • Eine Zusammenfassung der Verpflichtungen derjenigen, die das AI-System bereitstellen und nutzen, einschließlich besonderer Verpflichtungen für Importeure und Händler, mit Verweisen auf andere einschlägige Teile des Textes".
      • Kapitel 4 - "Benennende Behörden und benannte Stellen"
        • legt dar, wie notifizierende Behörden und notifizierte Stellen arbeiten sollten
      • Kapitel 5 - "Normen, Konformitätsbewertung, Bescheinigungen, Registrierung"
        • Bei harmonisierten Normen besteht eine Konformitätsvermutung
        • Wie gemeinsame Spezifikationen entwickelt werden können
        • Welche Arten von Konformitätsbewertungen sind unter welchen Umständen erforderlich?
        • Zuständigkeiten der benannten Behörden bei einer Konformitätsbewertung
        • Datenbank der Hochrisikosysteme
    • Titel IV - "Transparenzverpflichtungen für Anbieter und Nutzer bestimmter KI-Systeme".
      • Die Verbraucher sollten darüber informiert werden, wenn sie mit KI-Systemen (nicht nur mit Hochrisikosystemen) oder generierten Inhalten interagieren.
    • Titel V - "Maßnahmen zur Unterstützung der Innovation"
      • Regulatorische Sandkästen, betrieben von notifizierende Behörden und Marktaufsichtsbehörden
        • Erprobung von KI-Systemen mit hohem Risiko unter realen Bedingungen und Durchführung von Handlungen, die weitere Einzelheiten des Prozesses liefern
        • Unterstützung und Ausnahmen für kleinere Unternehmen
    • Titel VI - "Governance"
      • Kapitel 1 - "Europäisches Amt für künstliche Intelligenz"
        • Es soll ein Gremium von KI-Experten eingerichtet werden, dessen Lenkungsmechanismen und Zuständigkeiten dargelegt werden sollen.
      • Kapitel 2 - "Zuständige nationale Behörden"
        • Erfordert die Einrichtung einer Marktaufsichtsbehörde und einer notifizierenden Behörde
    • Titel VII - "EU-Datenbank für die in Anhang III aufgeführten hochriskanten AI-Systeme".
      • Die Einrichtung und Verwaltung einer Datenbank für Hochrisikosysteme
      • Kapitel 1 - "Überwachung nach dem Inverkehrbringen"
        • Wie die Überwachung eines Systems nach seiner Markteinführung funktionieren sollte
      • Kapitel 2 - "Weitergabe von Informationen über schwere Zwischenfälle"
        • Verlangt, dass Vorfälle, die einen Verstoß gegen die Verpflichtungen darstellen, gemeldet werden müssen Marktaufsichtsbehörden
      • Kapitel 3 - "Vollstreckung"
        • Umreißt, wie die Marktaufsichtsbehörden arbeiten sollten
        • Verfahren zur allgemeineren Durchsetzung von Menschenrechten und Sicherheit
        • Erläutert, was eine Nichteinhaltung oder ein Risiko trotz Einhaltung darstellt
    • Titel VIII - "Überwachung nach dem Inverkehrbringen, Informationsaustausch, Marktüberwachung"
    • Titel IX - "Verhaltenskodizes"
      • fördert die Erstellung freiwilliger Verhaltenskodizes für Anbieter von KI-Systemen
    • Titel X - "Vertraulichkeit und Sanktionen"
      • legt dar, wie und welche Informationen von den verschiedenen Akteuren ausgetauscht werden können
      • Erläutert die Sanktionen, die die Marktaufsichtsbehörden verhängen können
    • Titel XI - "Befugnisübertragungen und Ausschussverfahren"
      • Erläutert die Aufsicht für delegierte Rechtsakte
    • Titel XII - "Schlussbestimmungen"
      • Für die Kohärenz erforderliche Änderungen anderer Rechtsvorschriften
      • Wie oft müssen Aspekte des Rechtsakts überarbeitet werden?
      • Wie der Rechtsakt in Kraft treten wird

    [1] Zu beachten ist, dass es sich hierbei nicht um den Europäischen Rat (der sich aus den Staats- und Regierungschefs der EU-Mitgliedstaaten zusammensetzt) und den Europarat (eine von der EU völlig unabhängige internationale Organisation) handelt.

    [2] Nach Angaben des Europäischen Parlaments wurden 89 % der zwischen 2014 und 2019 verabschiedeten Rechtsakte in "erster Lesung" angenommen. Quelle hier.

    [3] Verordnung EG Nr. 765/2008 (hier), Beschluss Nr. 768/2008/EG (hier), und die Verordnung EU 2019/1020 (hier) umreißen, wie die Marktüberwachung funktioniert, wie Konformitätsbewertungen durchgeführt werden sollten und wie unabhängige Konformitätsbewertungsstellen akkreditiert werden. Der Beschluss Nr. 768/2008/EG enthält einen Großteil der Grundlagen, auf denen der AIA aufbaut.

    [4] Punkte (8) und (11) in der Präambel und Artikel 3 des Beschlusses Nr. 768/2008/EG(hier).

    [5] Artikel R8 des Beschlusses Nr. 768/2008/EG (hier).

    [6] Anhang II des Beschlusses Nr. 768/2008/EG (hier).