EU KI-Verordnung: «Brüssel-Effekt» in der Schweiz?

24-05-2023
Die KI-Verordnung definiert Grundsätze und besondere Anforderungen für eine rechtskonforme und ethische Nutzung von KI-Systemen.

Künstliche Intelligenz (KI) birgt grosses Potenzial und eröffnet vielversprechende Möglichkeiten. Den vielen Vorteilen, die der Gesellschaft durch die Nutzung von KI erwachsen, stehen auch diverse Risiken und ethische Bedenken gegenüber. Mit der KI-Verordnung schickt sich die EU an, diesen zu begegnen. Im April 2021 präsentierte die EU-Kommission als erste Gesetzgeberin einen Vorschlag zur Harmonisierung von Regeln für künstliche Intelligenz («KI-Verordnung»; hier). Nach zähen Verhandlungen haben die beiden zuständigen Ausschüsse des EU-Parlaments Mitte Mai nun eine politische Einigung über einen modifizierten Verordnungstext erzielt (hier).

Die KI-Verordnung dürfte frühestens anfangs 2024 in Kraft treten. Schweizer Akteure, die der KI-Verordnung unterstehen, werden daraufhin zwei Jahre Zeit haben, die vorgesehenen Anforderungen umzusetzen. Sie sind gut beraten, dies ordentlich zu tun, drohen andernfalls doch Geldbussen bis zu EUR 30 Millionen oder 6 % des weltweiten Jahresumsatzes – je nachdem, welche Summe höher ist.

Nando Lappert

Senior Manager, Rechtsanwalt, MBA, Leiter Technology Law & Legal Operations

KPMG Switzerland

Was will die KI-Verordnung regeln?

Die KI-Verordnung bezweckt, einen innovationsfreundlichen und zukunftstauglichen Rechtsrahmen für den vertrauenswürdigen Einsatz von Systemen künstlicher Intelligenz («KI-Systeme») in der EU zu schaffen und die Entwicklung eines Binnenmarktes für sichere und rechtskonforme Anwendungen zu fördern.

Was sind KI-Systeme?

KI-Systeme sind maschinengestützte Systeme, die autonom (d.h. unabhängig von menschlichem Einfluss) operieren und für explizite oder implizite Ziele Ergebnisse (bspw. Vorhersagen, Empfehlungen oder Entscheidungen) erzeugen können, die physische oder virtuelle Umgebungen beeinflussen.

KI-Systeme werden abhängig ihrer potenziellen Fähigkeiten und Risiken für die Gesundheit, Sicherheit und Grundrechte von Personen in vier Risikokategorien unterteilt:

KategorienBeispieleNutzung zulässig?
KI-Systeme mit unzulässigem Risiko
• Systeme zur biometrischen Identifizierung
• Social-Scoring-Systeme
Nein (wenige Ausnahmen vorbehalten)
KI-Systeme mit hohem Risiko ("Hochrisiko-Systeme")
• Robot-Recruiting-Systeme
• Systeme zur Prüfung der Kreditwürdigkeit
Ja, sofern Grundsätze und besondere Anforderungen beachtet werden
KI-Systeme mit begrenztem Risiko• Chatbots
• Emotionserkennungssysteme
Ja, sofern Grundsätze beachtet werden
KI-Systeme mit minimalem Risiko• Spam-Filter
• KI-fähige Videospiele
Ja, sofern Grundsätze beachtet werden

Im Vergleich zum ersten Entwurf thematisiert der modifizierte Verordnungstext nun insbesondere auch generative KI-Systeme (bspw. ChatGPT). Generative KI-Systeme qualifizieren nicht per se als Hochrisiko-Systeme. Werden sie jedoch in solche eingebettet, so unterliegen auch die generativen KI-Systeme den für Hochrisiko-Systeme geltenden Voraussetzungen.

Für wen ist die KI-Verordnung relevant?

Die KI-Verordnung ist primär auf Anbieter:innen und Nutzer:innen von KI-Systemen anwendbar. Als Anbieter:in gilt eine natürliche oder juristische Person, die ein KI-System entwickelt und dieses in der EU in Verkehr bringt. Als Nutzer:in fällt eine natürliche oder juristische Person in Betracht, die – ausserhalb des persönlichen Bereiches – ein KI-System unter ihrer Verantwortung verwendet. Für Konsument:innen oder Endnutzer:innen bestehen keine direkten Pflichten und Rechte.

Gilt die KI-Verordnung auch in der Schweiz?

Die KI-Verordnung entfaltet extraterritoriale Wirkung in der Schweiz für:

  • Schweizer Anbieter:innen, die KI-Systeme in der EU in Verkehr bringen; und/oder
  • Schweizer Anbieter:innen und Nutzer:innen von KI-Systemen, wenn das vom KI-System erzeugte Ergebnis in der EU verwendet wird.

Welche Grundsätze müssen bei KI-Systemen beachtet werden?

Für die Entwicklung und den Einsatz von KI-Systemen gelten sechs Grundsätze. KI-Systeme sollen:

  • dem Menschen dienen, die menschliche Würde und persönliche Autonomie respektieren sowie eine angemessene Kontrolle und Überwachung durch den Menschen erlauben;
  • sicher, robust und widerstandsfähig sein;
  • die geltenden Vorschriften zum Persönlichkeits- und Datenschutz respektieren;
  • erkennbar, nachvollziehbar und erklärbar sein;
  • gleichberechtigten Zugang, die Gleichstellung der Geschlechter und die kulturelle Vielfalt fördern; und
  • nachhaltig, umweltfreundlich und zum Nutzen aller Menschen sein.

Welche besonderen Anforderungen gelten für Hochrisiko-Systeme?

Für Hochrisiko-Systeme sieht die KI-Verordnung zusätzliche Anforderungen vor, die im Rahmen eines Risikomanagementsystems überwacht werden müssen, darunter zu Datenqualität und -governance, technischer Dokumentation, Aufzeichnung von Vorgängen und Ereignissen, Transparenz und Bereitstellung von Informationen, menschlicher Aufsicht sowie Genauigkeit, Robustheit und Sicherheit.

Anbieter:innen von Hochrisiko-Systemen müssen im Rahmen einer Konformitätsbewertung selbständig prüfen, ob ihr System den Anforderungen entspricht. Trifft dies zu, so erhalten sie für ihr System die CE-Konformitätskennzeichnung, die den Zugang zu und den freien Verkehr im EU-Binnenmarkt sicherstellt.

Für Nutzer:innen von Hochrisiko-Systemen gelten ebenfalls Pflichten, jedoch sind diese weniger umfangreich. Sie müssen das System entsprechend den Anweisungen verwenden, menschliche Überwachung sicherstellen und Risiken kontinuierlich überwachen.

Gibt es auch in der Schweiz bald ein KI-Gesetz?

Wahrscheinlich nicht. Der in der Schweiz vorherrschende prinzipienbasierte und technologieneutrale Regulierungsansatz erlaubt es, Risiken, die sich aus dem Einsatz von KI-Systemen ergeben, mit gezielten Ergänzungen und Anpassungen bestehender Gesetze zu begegnen. Es ist zudem zu erwarten, dass sich die europäischen Standards auch in der Schweiz als Best Practice etablieren werden.