Der Digitale Omnibus als Feinjustierung des AI Act

von RA Stefan Humer

 1. Einleitung

Mit der KI-Verordnung (auch als AI-Act bezeichnet) wurde erstmals ein umfassender regulatorischer Rahmen für Künstliche Intelligenz geschaffen. Als solcher war der AI Act vielfacher und teils medienwirksam vorgetragener Kritik ausgesetzt. Nicht zuletzt deshalb will der Digitale Omnibus nunmehr auch in den AI Act eingreifen. Seine Umsetzung soll erleichtert, die Übergangsfristen umgestaltet, Verantwortlichkeiten vereinheitlicht und damit mehr Rechtssicherheit geschaffen werden.

2. Geplante Änderung

Der Vorschlag des Digitalen Omnibus enthält Vorschläge für verschiedene Anpassungen. Im Mittelpunkt steht die zeitliche Verschiebung der Anwendbarkeit der Vorschriften für hochriskante KI-Systeme. Deren Anwendung soll an die Fertigstellung harmonisierter Normen, Spezifikationen und Leitlinien durch die Europäische Kommission geknüpft werden. Sohin soll die Regulierung des KI-Hochrisikobereichs erst greifen, wenn die Europäische Kommission offiziell bestätigt, dass die betreffenden Standards vorliegen und dadurch ausgelöste Übergangsfristen von sechs bzw. zwölf Monaten abgelaufen sind. Welche Übergangsfrist konkret einschlägig ist, hängt davon ab, aus welchem Anhang des AI Acts sich die Einstufung des jeweiligen KI-Systems als hochriskant ergibt. Es gibt nämlich zwei Wege, die zu einer solchen Einstufung führen können; jenen nach Anhang I, der über eine Verknüpfung mit dem bestehenden Produktsicherheitsrecht läuft, und jenen nach Anhang III, der bestimmte Systeme ausdrücklich dem Hochrisikobereich zuordnet. Ergibt sich die Einstufung eines KI-Systems als hochriskant aus Anhang I gilt die Übergangsfrist von 12 Monaten, bei Anhang III jene von 6 Monaten. Allerspätestens sollen die Regelungen aber mit 02. Dezember 2027 (Systeme nach Anhang III) bzw. mit 02. August 2028 (Systeme nach Anhang I) gelten. Zudem soll der derzeitig vorgesehene Registrierungsaufwand entfallen, wenn sich der Anbieter eines KI-Systems darauf stützt, dass das von ihm in Verkehr gebrachte System nicht gemäß Anhang III dem Hochrisikobereich zuzuordnen ist. Eine Dokumentation soll von ihm diesfalls nur auf behördliche Anfrage vorzulegen sein.

Bemerkenswert ist, dass der Vorschlag des Digitalen Omnibus auch in die bereits anwendbare Bestimmung zur verpflichtenden KI-Kompetenz eingreift. Danach müssen Unternehmen sicherstellen, dass alle relevanten Mitarbeiter und Entscheidungsträger über eine ausreichende AI Literacy verfügen. Diese Verpflichtung soll für Unternehmen als Anbieter oder Betreiber von KI-Systemen nunmehr gänzlich aufgehoben und zu den Mitgliedstaaten und der Europäischen Kommission verlagert werden.

Eine weitere Umgestaltung strebt der Digitale Omnibus in puncto Governance für KI-Systeme an. Das KI-Büro der Europäischen Kommission (AI Office) soll zum zentralen Organ werden und mehr Überwachungsbefugnisse erhalten. Diese sollen auch KI-Systeme, die in sehr großen Online-Plattformen (VLOPs) und Suchmaschinen (VLOSEs) implementiert sind, umfassen. Die Aufsicht über diese ansonsten dem Digital Services Act unterstehenden Einrichtungen würde in dieser Konstellation demnach dem KI-Büro übertragen werden. Dadurch sollen Doppelstrukturen vermeiden und die Überwachung vereinheitlicht werden. Darüber hinaus sieht der Digitale Omnibus Vorabprüfungen durch das KI-Büro vor. Für bestimmte KI-Kategorien soll dieses die Konformität prüfen, bevor Systeme auf den Markt gebracht oder eingesetzt werden.

Ergänzend ist eine breitere Nutzung von Regulierungs-Sandboxes vorgesehen, einschließlich einer EU-weiten Sandbox ab 2028, was eine innovationsfreundliche Entwicklung unterstützen soll. Die Kommission betont, dass sie zur Unterstützung bei der Umsetzung weitere Leitlinien veröffentlichen wird – insbesondere zu Forschungs-Ausnahmen, zur Vereinbarkeit des AI Acts mit anderen EU-Regimen sowie zu Themen, die Stakeholder in der Praxis beschäftigen. Das betrifft insbesondere Fragen rund um Trainingsdaten, Datenverarbeitungsgrundlagen und die Verzahnung mit der DSGVO.

Ein wesentlicher Punkt an der Schnittstelle zur DSGVO betrifft die Erkennung und Korrektur von Verzerrungen (Bias). Anbieter und Betreiber von KI-Systeme sollen künftig auch sensible personenbezogene Daten für Bias-Analysen verarbeiten dürfen, sofern geeignete Schutzmaßnahmen eingehalten werden. Das stellt eine für die Praxis potenziell wichtige Ausnahme dar und soll ermöglichen, Diskriminierungspotenzial in KI-Systemen frühzeitig zu erkennen und zu verhindern.

Der Digitalen Omnibus bringt außerdem Entlastungen für kleinere Marktteilnehmer. Die bisherigen regulatorischen Privilegien für KMU, wie reduzierte Dokumentationspflichten oder geringere Sanktionen, werden ausdrücklich auch auf „“ (SMC) und somit einen weiteren Kreis an Marktteilnehmern ausgedehnt. Dies sind Unternehmen mit (a) bis zu 749 Beschäftigten und (b) entweder einem Jahresumsatz von bis zu EUR 150 Mio. oder einer Bilanzsumme von bis zu EUR 129 Mio. Damit reagiert die EU auf Kritik, dass Regulierungen kleine und mittlere Unternehmen überproportional belasten könnten.

3. Auswirkungen in der Praxis

Die vorgesehenen Änderungen des Digitalen Omnibus verfolgen das Ziel Unternehmen die Umsetzung des AI-Act zu erleichtern. Wirklich fundamentale Eingriffe bleiben dabei aber aus. Der Digitale Omnibus führt daher – auch wenn die mediale Aufmerksamkeit, die er erhalten hat, dies nahelegen könnte – weniger zu einem kompletten Neustart als zu einer Nachjustierung des AI Act. Für die Entwicklung und den Betrieb von KI-Systemen in der Praxis könnten am ehesten die Anpassungen an der Schnittstelle zum Datenschutzrecht spürbar werden. Diese bringen gewisse Erleichterungen bzw. rechtliche Klarstellungen. Dass die verlängerte Schonfrist für Hochrisiko-KI-Systeme alleine den erhofften Innovationsschub bringen wird, muss hingegen bezweifelt werden. Der technologische Fortschritt läuft jedenfalls weiter, unabhängig davon, wie einschneidend oder zurückhaltend die momentane Regulierungslandschaft ist.

4. Schlussfolgerung und Empfehlung

Für Unternehmen und sonstige Marktteilnehmer bliebe auch mit dem Digitalen Omnibus ein potenziell anspruchsvoller Regulierungsrahmen bestehen. Ob und in welchem Maß die vorgesehenen Änderungen tatsächlich zu größerer Planungssicherheit, erweiterten Innovationsspielräumen oder spürbaren Vereinfachungen führen, wird sich erst im Zuge der konkreten Anwendung und anhand der angekündigten Leitlinien erweisen. Dass die für den gesamten AI Act zentralen Vorschriften für den Hochrisikobereich erst dann anwendbar werden sollen, wenn (privat entwickelte) Standards fertig ausgearbeitet sind, erscheint zumindest überraschend.

Der weitere Entwicklungsprozess ist jedenfalls weiterhin offen und dynamisch. Deshalb empfiehlt es sich, die eingesetzte KI-Landschaft strukturiert zu prüfen und insbesondere die folgenden Punkte zu klären: Welche Systeme fallen unter Hochrisiko-Regime? Welche Fristen treffen zu? Welche Bias-Prüfungen sind allenfalls erforderlich? Wie werden (sensible) personenbezogene Daten geschützt? Wie gut ist die Dokumentation vorbereitet? Wer sich frühzeitig damit beschäftigt, profitiert später von reibungslosen Implementierungen und geringerem Risiko.