Geldbußen nach dem EU AI Act

Überblick über das Sanktionssystem

Der EU AI Act etabliert ein gestuftes Sanktionssystem, um unterschiedliche Schweregrade von Verstößen zu adressieren und die Einhaltung seiner strikten Vorschriften zu fördern. Die Höhe der Geldbußen richtet sich nach der Schwere des Verstoßes, sodass Betreiber und Entwickler von KI-Systemen zur Verantwortung gezogen werden. Es gibt drei Hauptkategorien:

• Schwere Verstöße
• Hochrisiko-Verstöße
• Sonstige Verstöße gegen Vorgaben

Jede Kategorie ordnet spezifische Pflichten den entsprechenden Sanktionen zu und wendet das Verhältnismäßigkeitsprinzip an, um übermäßige Belastungen für kleine und mittlere Unternehmen (KMU) zu vermeiden.

Schwere Verstöße: Bis zu 35 Mio. € oder 7 % des weltweiten Umsatzes

Die härtesten Strafen gelten für verbotene Praktiken, die im EU AI Act definiert sind. Dazu gehören:

• Der Einsatz von KI-Systemen, die Schwachstellen von Nutzern ausnutzen
• Der Einsatz unterschwelliger Techniken zur Manipulation des Verhaltens
• Die Implementierung von Echtzeit-Biometrie-Identifizierung im öffentlichen Raum entgegen den Vorschriften

Organisationen, die sich an diesen Handlungen beteiligen, können mit Geldbußen von bis zu 35 Millionen € oder 7 % des weltweiten Jahresumsatzes belegt werden, je nachdem, welcher Betrag höher ist.

Beispiel: Der Einsatz von KI für Social Scoring durch öffentliche Behörden, der zu unfairer Diskriminierung führt und Grundrechte verletzt, gilt als schwerer Verstoß. Diese Sanktionen setzen die ethischen Prinzipien durch, die der Entwicklung und Nutzung von KI zugrunde liegen.

Hochrisiko-Verstöße: Bis zu 20 Mio. € oder 4 % des weltweiten Umsatzes

Hochrisiko-KI-Systeme müssen strenge Anforderungen erfüllen, darunter:

• Konformitätsbewertungen
• Transparenzmaßnahmen
• Risikomanagement-Protokolle

Die Nichteinhaltung dieser Anforderungen kann zu Geldbußen von bis zu 20 Millionen € oder 4 % des weltweiten Umsatzes führen.

Beispiel: Hochrisiko-Systeme werden häufig in sensiblen Bereichen wie Gesundheitswesen, Strafverfolgung und Bildung eingesetzt, wo Fehler gravierende Folgen haben können. Ein KI-basiertes Recruiting-Tool, das algorithmische Voreingenommenheit zeigt und zu diskriminierenden Einstellungsentscheidungen führt, fällt in diese Kategorie.

Sonstige Verstöße gegen Vorgaben: Bis zu 10 Mio. € oder 2 % des weltweiten Umsatzes

Die niedrigste Stufe der Geldbußen gilt für weniger schwerwiegende Verstöße, wie zum Beispiel:

• Administrative Fehler
• Unvollständige Dokumentation
• Versäumnis, Transparenzanforderungen für KI-Systeme mit begrenztem Risiko zu erfüllen

Organisationen, die gegen diese Vorgaben verstoßen, können mit Geldbußen von bis zu 10 Millionen € oder 2 % des weltweiten Umsatzes belegt werden.

Beispiel: Wenn eine Organisation es versäumt, Nutzer darüber zu informieren, dass sie mit einem KI-System interagieren – wie bei Anwendungen mit begrenztem Risiko, etwa Chatbots –, kann dies zu Sanktionen in dieser Kategorie führen.

Verhältnismäßigkeit für KMU

Um Fairness zu gewährleisten, passt der EU AI Act Strafen für KMU unter Anwendung des Verhältnismäßigkeitsprinzips an. Geldbußen für kleinere Unternehmen werden am unteren Ende der Skala berechnet, um eine übermäßige finanzielle Belastung zu verhindern. So wird sichergestellt, dass Unternehmen unterschiedlicher Größen im KI-Ökosystem operieren und gleichzeitig die regulatorischen Standards einhalten können.

Verbotene Praktiken und Kriterien für Verstöße

Das Verständnis der verbotenen Praktiken nach dem EU AI Act ist entscheidend, damit Ihre Organisation KI-Systeme nach strengen ethischen und rechtlichen Richtlinien betreibt. Artikel 5 des Gesetzes definiert klar Praktiken, die als unzulässig gelten, da sie Einzelnen oder der Gesellschaft schaden können. Ziel ist es, vertrauenswürdige KI zu fördern und demokratische Werte sowie Menschenrechte zu schützen.

Unterschwellige Manipulationstechniken

Der EU AI Act verbietet den Einsatz von KI-Systemen, die Menschen unterhalb ihrer bewussten Wahrnehmung manipulieren. Solche Techniken sind darauf ausgelegt, Verhalten zu beeinflussen und verhindern, dass Betroffene informierte Entscheidungen treffen. KI-Systeme dieser Art sind verboten, wenn sie physischen oder psychologischen Schaden verursachen oder verursachen könnten.

Beispiel: KI-gesteuerte Werbeanzeigen, die psychologische Schwächen ausnutzen, um Menschen zu einem ungeplanten Kauf zu drängen. Durch das Verbot solcher Methoden schützt der EU AI Act die individuelle Autonomie und das Wohlbefinden.

Ausnutzung von Schwachstellen

KI-Systeme, die Schwachstellen im Zusammenhang mit Alter, Behinderung oder sozioökonomischen Bedingungen ausnutzen, sind untersagt. Diese Systeme nutzen gezielt Schwächen aus und führen zu Schaden oder verzerrten Entscheidungen.

Beispiel: Ein KI-gestütztes Kreditantrags-System, das finanziell schwache Personen mit fragwürdigen Kreditangeboten anspricht, verstößt gegen diese Regel.

Social Scoring durch öffentliche Behörden

Das Gesetz verbietet es öffentlichen Behörden, KI zur Erstellung von Social Scoring-Systemen einzusetzen. Solche Systeme bewerten Einzelne anhand ihres Verhaltens oder vermeintlicher Eigenschaften, was häufig zu unfairer oder diskriminierender Behandlung führt.

Beispiel: Ein Social Scoring-System, das jemandem den Zugang zu öffentlichen Dienstleistungen auf Basis seines wahrgenommenen Verhaltens verweigert.

Unbefugte Nutzung von Echtzeit-Biometriesystemen

Der EU AI Act begrenzt den Einsatz von Echtzeit-Biometrie-Identifizierungssystemen im öffentlichen Raum streng. Diese Systeme dürfen nur in Ausnahmefällen verwendet werden (z. B. zur Suche nach vermissten Personen, zur Bekämpfung akuter Bedrohungen wie terroristischer Aktivitäten). Der Einsatz dieser Technologien ohne ordnungsgemäße Genehmigung stellt einen Gesetzesverstoß dar.

Beispiel: Gesichtserkennungssysteme, die zur Überwachung im großen Stil ohne rechtlich zulässigen Grund eingesetzt werden.

Kriterien zur Feststellung von Verstößen

Bei der Bewertung von Verstößen berücksichtigt der EU AI Act das potenzielle Schadensausmaß und die gesellschaftlichen Auswirkungen. Wichtige Faktoren sind:

• Absicht und Zweck: Wurde das KI-System entwickelt oder eingesetzt, um Einzelne zu manipulieren, auszubeuten oder zu schädigen?
• Auswirkungen auf Grundrechte: Inwieweit beeinträchtigt die KI-Praxis Rechte wie Datenschutz, Gleichheit und persönliche Autonomie?
• Schwere des Schadens: Wie hoch ist das Maß an physischem, psychischem oder gesellschaftlichem Schaden?

Ein KI-System, das unbeabsichtigt durch technische Fehler Schaden verursacht, wird beispielsweise weniger streng geahndet als eines, das gezielt zur Ausbeutung entwickelt wurde.

Durchsetzungsmechanismen des EU AI Act

Der EU AI Act legt Durchsetzungsmaßnahmen fest, um die Einhaltung seiner Vorschriften zu gewährleisten, Grundrechte zu schützen und verlässliche KI zu fördern. Er setzt auf Zusammenarbeit zwischen nationalen Behörden, Marktüberwachungsstellen und der Europäischen Kommission.

Nationale Behörden

Nationale Behörden spielen eine zentrale Rolle bei der Durchsetzung des EU AI Act in den jeweiligen Mitgliedstaaten, insbesondere durch:

1. Einrichtung von KI-Governance-Systemen: Die Mitgliedstaaten müssen Governance-Rahmenwerke (z. B. Aufsichtsgremien) schaffen, um die Einhaltung des Gesetzes zu überwachen.
2. Durchführung von Compliance-Prüfungen: Behörden prüfen, ob KI-Systeme die Anforderungen erfüllen, insbesondere bei Hochrisiko-Anwendungen. Dazu gehören die Überprüfung von Dokumentationen, Audits und die Sicherstellung der Einhaltung von EU-Standards.
3. Verhängung von Sanktionen: Behörden können Sanktionen verhängen, darunter die im Gesetz vorgesehenen Geldbußen.

Die Mitgliedstaaten müssen bis spätestens Mitte 2026 KI-Governance-Systeme einrichten, um der vollständigen Umsetzung des Gesetzes zu entsprechen.

Überwachungs- und Meldepflichten

Der EU AI Act verlangt eine umfassende Überwachung und Berichterstattung für KI-Systeme:

1. Überwachung nach dem Inverkehrbringen: Entwickler und Nutzer müssen die Leistung von KI-Systemen nach der Bereitstellung überwachen und etwaige Risiken oder Probleme adressieren.
2. Meldung von Vorfällen: Schwere Vorfälle oder Verstöße müssen innerhalb eines festgelegten Zeitraums den nationalen Behörden gemeldet werden.
3. Compliance-Dokumentation: Organisationen müssen vollständige Aufzeichnungen (Risikobewertungen, Konformitätsprüfungen) für Inspektionen bereithalten.

Transparenz bei Dokumentation und Risikobewertungen

Transparenz ist ein zentraler Bestandteil der Durchsetzung:

1. Öffentliche Offenlegung: Entwickler von Hochrisiko-KI-Systemen müssen Informationen über Zweck, Funktionalität und Einschränkungen des Systems bereitstellen.
2. Risikomanagement-Rahmenwerke: Organisationen müssen Rahmenwerke entwickeln, um Risiken im Zusammenhang mit KI-Systemen zu identifizieren, zu bewerten und zu adressieren.
3. Detaillierte technische Dokumentation: Detaillierte Dokumentation (Systemdesign, Algorithmen, Datenquellen) ist erforderlich, um die Einhaltung nachzuweisen.

Praktische Auswirkungen und Beispiele für Geldbußen nach dem EU AI Act

Der EU AI Act setzt strenge Regeln für den Einsatz von KI durch und sieht bei Verstößen hohe Geldbußen vor. Diese Regeln:

• Verhindern Missbrauch
• Stellen die Einhaltung durch Organisationen sicher
• Gelten für Organisationen innerhalb und außerhalb der EU

Beispiele für verbotene KI-Praktiken

• Unterschwellige Manipulationstechniken: KI-Tools, die Menschen unbemerkt zu Käufen verleiten. Ein Händler, der solche Technologien einsetzt, kann mit bis zu 35 Millionen € oder 7 % des weltweiten Jahresumsatzes bestraft werden.
• Ausnutzung von Schwachstellen: KI-Systeme, die auf schutzbedürftige Gruppen (Kinder, Senioren) abzielen. Zum Beispiel könnte ein Bildungs-KI-Tool, das Kinder in die Irre führt, zu Sanktionen führen.
• Unbefugter Einsatz von biometrischen Systemen: Der Einsatz von Echtzeit-Biometriesystemen (Gesichtserkennung im öffentlichen Raum) ohne Genehmigung, etwa zur Massenüberwachung, kann hohe Strafen nach sich ziehen.
• Social Scoring durch öffentliche Behörden: Die Vergabe von Punktwerten an Personen basierend auf ihrem Sozialverhalten (wie in manchen Nicht-EU-Ländern) ist illegal, da dies zu Diskriminierung und sozialer Ungleichheit führen kann.

Lehren für Organisationen

Ein Verstoß gegen den EU AI Act kann mehr als nur finanzielle Strafen nach sich ziehen – er kann dem Ruf schaden, das Vertrauen der Verbraucher untergraben und rechtliche Auseinandersetzungen auslösen. Organisationen sollten:

1. Risikobewertungen durchführen: KI-Systeme regelmäßig auf Compliance-Probleme prüfen.
2. Transparenz praktizieren: Klare Aufzeichnungen und Transparenz bei KI-Anwendungen sicherstellen.
3. In ethische KI investieren: Ethische KI-Entwicklung priorisieren, um Compliance zu erreichen und das Markenvertrauen zu stärken.

Compliance und KI-Innovation

Die Einhaltung des EU AI Act ist nicht nur eine rechtliche Notwendigkeit, sondern fördert auch Innovation, da sie sicherere und zuverlässigere KI-Systeme schafft. Konforme Organisationen können:

• Neue Märkte erschließen
• Stärkere Partnerschaften aufbauen

Für internationale Unternehmen ist die Compliance entscheidend, da das Gesetz auch für Nicht-EU-Organisationen gilt, die KI-Systeme in der EU anbieten. Globale Unternehmen müssen ihre Praktiken mit den EU-Vorschriften in Einklang bringen, um wettbewerbsfähig zu bleiben.