Sanktionen und Aufsichtsstrukturen der KI-Verordnung

Die KI-Verordnung sieht bei Verstößen gegen regulatorische Vorgaben teilweise hohe Bußgelder vor.  Dafür wurden neue Verwaltungsstrukturen geschaffen, die für deren Durchsetzung zuständig sind und sicherzustellen, dass Verstöße konsequent verfolgt werden. Unternehmen sollten sich daher frühzeitig mit den Anforderungen der KI-Verordnung auseinandersetzen, um Sanktionen zu vermeiden und KI-Systeme rechtssicher einzusetzen.

Die KI-Verordnung sieht empfindliche Geldbußen vor, die sich in ihrer Höhe nach der Schwere des Verstoßes richten. Ähnlich wie bei der Datenschutz-Grundverordnung (DSGVO) sollen die Sanktionen wirksam, verhältnismäßig und abschreckend sein. Besonders schwerwiegende Verstöße, wie der Einsatz verbotener KI-Systeme, können mit Geldbußen von bis zu 35 Millionen Euro oder bis zu sieben Prozent des weltweiten Jahresumsatzes eines Unternehmens geahndet werden, je nachdem, welcher Betrag höher ist. Schwerwiegendere Verstöße, die beispielsweise eine Missachtung wesentlicher Transparenz- oder Sicherheitsanforderungen betreffen, können Geldbußen von bis zu 15 Millionen Euro oder bis zu drei Prozent des weltweiten Jahresumsatzes nach sich ziehen. Darüber hinaus sind für weniger schwerwiegende Verstöße, wie etwa Verstöße gegen Informationspflichten, Geldbußen von bis zu 7,5 Millionen Euro oder bis zu einem Prozent des weltweiten Jahresumsatzes vorgesehen.

Um sicherzustellen, dass die Vorschriften der KI-Verordnung tatsächlich eingehalten werden, wurden auf europäischer sowie auf nationaler Ebene neue Verwaltungsstrukturen geschaffen. Auf EU-Ebene wird insbesondere das neu eingerichtete Büro für Künstliche Intelligenz eine zentrale Rolle spielen, das an die Europäische Kommission angegliedert ist und sich insbesondere mit der Überwachung und Durchsetzung der Vorschriften im Bereich allgemeiner KI-Modelle (General Purpose AI) befassen soll. Darüber hinaus wird ein Europäisches Gremium für Künstliche Intelligenz eingerichtet, das die EU-Kommission beratend unterstützen wird. Dieses Gremium wird sich aus Vertreterinnen und Vertretern der nationalen Behörden der Mitgliedstaaten zusammensetzen.

Auch auf nationaler Ebene werden neue Aufsichtsstrukturen geschaffen, insbesondere durch die Einrichtung von Marktüberwachungsbehörden in jedem Mitgliedstaat. In Deutschland wird diese Rolle voraussichtlich die Bundesnetzagentur übernehmen. Diese nationalen Behörden sind für die konkrete Umsetzung und Durchsetzung der Vorschriften in ihrem jeweiligen Land verantwortlich.

Ein wesentlicher Punkt ist, dass die KI-Verordnung nicht die zivilrechtliche Haftung zwischen Unternehmen oder zwischen Unternehmen und Verbrauchern regelt. Das bedeutet, dass Schadensersatzansprüche oder Streitigkeiten über durch KI verursachte Schäden nach den bestehenden nationalen und europäischen Haftungsregelungen behandelt werden müssen. Die Verordnung selbst konzentriert sich auf regulatorische Sanktionen für Verstöße gegen ihre Vorgaben. Ein Beispiel: Ein Unternehmen setzt eine KI-gestützte Software zur automatisierten Kreditvergabe ein. Diese Software bewertet die Bonität von Antragstellern und entscheidet darüber, ob ein Kredit bewilligt oder abgelehnt wird. Nun nimmt ein Kunde einen Kredit bei der Bank auf, und das KI-System berechnet fälschlicherweise eine viel zu hohe Zinsrate. Der Kunde bemerkt den Fehler erst nach mehreren Monaten, wodurch ihm ein finanzieller Schaden entsteht.

In diesem Fall regelt die KI-Verordnung nicht, wer für diesen Schaden haftet oder ob der Kunde Anspruch auf Entschädigung hat. Stattdessen müsste diese Frage nach den bestehenden nationalen und europäischen Haftungsregeln geklärt werden, zum Beispiel nach dem Vertragsrecht oder der Produkthaftung.

Die KI-Verordnung greift jedoch ein, wenn sich herausstellt, dass die Bank das KI-System nicht nach den vorgeschriebenen Sicherheits- und Transparenzanforderungen betrieben hat. Falls die Bank beispielsweise versäumt hat, das System regelmäßig zu überprüfen oder keine menschliche Kontrollinstanz vorgesehen war, könnte die zuständige Aufsichtsbehörde eine Geldbuße verhängen. In diesem Fall geht es nicht um den individuellen Schaden des Kunden, sondern um die Nichteinhaltung der gesetzlichen Vorgaben zur sicheren Nutzung von KI.

Kurz gesagt: Die KI-Verordnung bestraft Unternehmen für Regelverstöße, sie regelt aber nicht direkt, wer in einem konkreten Schadensfall haftet.