EU KI-Verordnung: «Brüssel-Effekt» in der Schweiz?

Die KI-Verordnung bezweckt, einen innovationsfreundlichen und zukunftstauglichen Rechtsrahmen für den vertrauenswürdigen Einsatz von Systemen künstlicher Intelligenz («KI-Systeme») in der EU zu schaffen und die Entwicklung eines Binnenmarktes für sichere und rechtskonforme Anwendungen zu fördern.

KI-Systeme sind maschinengestützte Systeme, die autonom (d.h. unabhängig von menschlichem Einfluss) operieren und für explizite oder implizite Ziele Ergebnisse (bspw. Vorhersagen, Empfehlungen oder Entscheidungen) erzeugen können, die physische oder virtuelle Umgebungen beeinflussen.

KI-Systeme werden abhängig ihrer potenziellen Fähigkeiten und Risiken für die Gesundheit, Sicherheit und Grundrechte von Personen in vier Risikokategorien unterteilt:

Im Vergleich zum ersten Entwurf thematisiert der modifizierte Verordnungstext nun insbesondere auch generative KI-Systeme (bspw. ChatGPT). Generative KI-Systeme qualifizieren nicht per se als Hochrisiko-Systeme. Werden sie jedoch in solche eingebettet, so unterliegen auch die generativen KI-Systeme den für Hochrisiko-Systeme geltenden Voraussetzungen.

Die KI-Verordnung ist primär auf Anbieter:innen und Nutzer:innen von KI-Systemen anwendbar. Als Anbieter:in gilt eine natürliche oder juristische Person, die ein KI-System entwickelt und dieses in der EU in Verkehr bringt. Als Nutzer:in fällt eine natürliche oder juristische Person in Betracht, die – ausserhalb des persönlichen Bereiches – ein KI-System unter ihrer Verantwortung verwendet. Für Konsument:innen oder Endnutzer:innen bestehen keine direkten Pflichten und Rechte.

Die KI-Verordnung entfaltet extraterritoriale Wirkung in der Schweiz für:

• Schweizer Anbieter:innen, die KI-Systeme in der EU in Verkehr bringen; und/oder
• Schweizer Anbieter:innen und Nutzer:innen von KI-Systemen, wenn das vom KI-System erzeugte Ergebnis in der EU verwendet wird.

Für die Entwicklung und den Einsatz von KI-Systemen gelten sechs Grundsätze. KI-Systeme sollen:

• dem Menschen dienen, die menschliche Würde und persönliche Autonomie respektieren sowie eine angemessene Kontrolle und Überwachung durch den Menschen erlauben;
• sicher, robust und widerstandsfähig sein;
• die geltenden Vorschriften zum Persönlichkeits- und Datenschutz respektieren;
• erkennbar, nachvollziehbar und erklärbar sein;
• gleichberechtigten Zugang, die Gleichstellung der Geschlechter und die kulturelle Vielfalt fördern; und
• nachhaltig, umweltfreundlich und zum Nutzen aller Menschen sein.

Für Hochrisiko-Systeme sieht die KI-Verordnung zusätzliche Anforderungen vor, die im Rahmen eines Risikomanagementsystems überwacht werden müssen, darunter zu Datenqualität und -governance, technischer Dokumentation, Aufzeichnung von Vorgängen und Ereignissen, Transparenz und Bereitstellung von Informationen, menschlicher Aufsicht sowie Genauigkeit, Robustheit und Sicherheit.

Anbieter:innen von Hochrisiko-Systemen müssen im Rahmen einer Konformitätsbewertung selbständig prüfen, ob ihr System den Anforderungen entspricht. Trifft dies zu, so erhalten sie für ihr System die CE-Konformitätskennzeichnung, die den Zugang zu und den freien Verkehr im EU-Binnenmarkt sicherstellt.

Für Nutzer:innen von Hochrisiko-Systemen gelten ebenfalls Pflichten, jedoch sind diese weniger umfangreich. Sie müssen das System entsprechend den Anweisungen verwenden, menschliche Überwachung sicherstellen und Risiken kontinuierlich überwachen.

Wahrscheinlich nicht. Der in der Schweiz vorherrschende prinzipienbasierte und technologieneutrale Regulierungsansatz erlaubt es, Risiken, die sich aus dem Einsatz von KI-Systemen ergeben, mit gezielten Ergänzungen und Anpassungen bestehender Gesetze zu begegnen. Es ist zudem zu erwarten, dass sich die europäischen Standards auch in der Schweiz als Best Practice etablieren werden.