Die Einigung enthält Verpflichtungen für allgemeine KI-Systeme (GPAI), wie die Bereitstellung technischer Dokumentationen, die Einhaltung von Urheberrechten und die Bereitstellung von Zusammenfassungen von Trainingsdatensätzen. Anbieter von GPAI-Systemen mit "systemischen" Risiken, das heißt die leistungsstärksten (Basis-)Modelle, müssen weitergehende Verpflichtungen erfüllen, wie die Durchführung von Bewertungen und Evaluierungen der von ihnen ausgehenden Risiken und deren Minderung, die Meldung schwerwiegender Vorfälle an die Europäische Kommission und die Durchführung von Tests Teaming. Anbieter von Systemen, die als Hochrisikosysteme eingestuft werden (die auf GPAI-Systemen basieren oder diese nutzen oder separat entwickelt werden können), müssen eine umfangreiche Liste von Produktsicherheitsverpflichtungen erfüllen, die sich zum Beispiel auf Risikomanagement, Datenqualität und Sicherheit beziehen.

Die Liste der Hochrisikosysteme umfasst Systeme, die für Zwecke eingesetzt werden, die erhebliche Auswirkungen auf die Grundrechte, die Sicherheit, die Gesundheit, die Rechtsstaatlichkeit und die Umwelt haben können, etwa in den Bereichen Strafverfolgung, Personalwesen und Bankwesen sowie zur Beeinflussung des Wählerverhaltens. Auch die Nutzer solcher Systeme müssen bestimmte Verpflichtungen einhalten, beispielsweise die Durchführung von Folgenabschätzungen in Bezug auf die Grundrechte und die Einrichtung einer menschlichen Aufsicht.

Es ist außerdem vorgesehen, dass Einzelpersonen die Möglichkeit haben, Beschwerden einzureichen, und sie haben das Recht, Erklärungen zu Entscheidungen zu erhalten, die auf risikobehafteten KI-Systemen basieren. Schließlich werden bestimmte Systeme verboten, darunter biometrische Kategorisierungssysteme, die sensible Merkmale verwenden, ungezieltes Scraping von Gesichtsbildern und die Manipulation menschlichen Verhaltens oder die Ausnutzung von Schwachstellen.

2024 wurde ein finaler Entwurf veröffentlicht. Der endgültige Text muss noch vom Europäischen Parlament und vom Rat formell angenommen werden. Anschließend tritt er voraussichtlich im zweiten Quartal 2024 in Kraft.

Da der Compliance-Prozess sehr aufwändig ist, sollten Unternehmen bereits jetzt prüfen, ob die von ihnen entwickelten, hergestellten, vertriebenen oder genutzten KI-Systeme als verbotene, risikobehaftete oder allgemeine KI-Systeme eingestuft werden. Genauso wie sie mit regulatorischen Auswirkungen in ihrer Wertschöpfungskette und in ihren Verträgen umgehen.

Dieser Rechtstipp erschien zuerst in Ausgabe 01-02_2024.