News

Einfuhr von künstlicher Intelligenz: Das müssen Einführer und Händler von Hochrisiko-KI beachten

17.12.2024

A. Inkrafttreten der Verordnung für künstliche Intelligenz („KI-Verordnung“)

Mit großer Spannung wurde die Verordnung (EU) 2024/1689 zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz ("KI-Verordnung“) erwartet, die am 12. Juli 2024 im EU-Amtsblatt veröffentlicht wurde. Eine einheitliche europäische Gesetzgebung war einerseits notwendig, um auf die weltweit rasant zunehmende Bedeutung künstlicher Intelligenz („KI“) zu reagieren, andererseits aber auch zur Harmonisierung der Regelungen über ihre Entwicklung, ihren Einsatz und ihre Überwachung im Binnenmarkt. Der folgende Beitrag beleuchtet die einfuhrrechtliche Beschränkung (C. I.) sowie produkthaftungsrechtliche Aspekte (C. II) der KI-Verordnung.

B. Überblick über die KI-Verordnung

Mit der neuen KI-Verordnung, die erst ab dem 2. August 2026 vollständig gilt, werden mehrere Ziele verfolgt. Im Vordergrund steht die Erhaltung der Wettbewerbsfähigkeit der europäischen Wirtschaft. Damit geht die Förderung von Innovationen und Investitionen im KI-Bereich einher, während zugleich insbesondere die in der EU-Grundrechtecharta verankerten Rechte gewährleistet werden sollen. Auf diese Weise reagiert die Verordnung ebenfalls auf die mit dem Einsatz von KI einhergehenden Risiken für die Grundrechte von EU-Bürgern.

In weiten Teilen regelt die KI-Verordnung produktsicherheitsrechtliche Aspekte. Dem folgend wurden vier Fallkategorien nach einem risikobasierten Ansatz definiert. Je nach Kategorie enthält die KI-Verordnung bestimmte Compliance-Anforderungen. Während unter der Kategorie des „minimalen Risikos“ gem. Art. 4, 95 der KI-Verordnung solche Anwendungen fallen, die von den anderen Kategorien nicht erfasst und keine General-Purpose KI sind wie z.B. KI zur sprachlichen Verbesserung von Texten, formuliert Kategorie 2 ein „spezifisches Risiko“ gem. Art. 50 der KI-Verordnung. Hierunter fallen all jene KI-Anwendungen, die beispielsweise Ergebnisse von Datenverarbeitungsprozessen beeinflussen. Unter Kategorie 3 fallen gem. Art. 6 ff. der KI-Verordnung hingegen „hohe Risiken“ von KI-Anwendungen, insbesondere für Gesundheit, Sicherheit oder Grundrechte. Kategorie 4 wiederum definiert gem. Art. 5 der KI-Verordnung sogenannte „unverantwortbar hohe Risiken“, was beispielweise „Social Scoring“ umfasst, also die Bewertung von Bürgern anhand ihrer Verhaltensweisen.

Ein weiteres, wesentliches Element der Verordnung ist die Einrichtung von sog. Reallaboren („Regulatory Sandboxes“) gem. Art. 57 der KI-Verordnung bis zum 2. August 2026. Ziel der Regulatory Sandboxes ist es, während eines frühen Entwicklungsstadiums die Chancen und Risiken von KI-Anwendungen zu testen und den bestehenden Rechtsrahmen dahingehend anzupassen. Für die Überwachung und Koordination der Durchsetzung der KI-Verordnung auf der Ebene der Mitgliedstaaten hat die EU-Kommission zudem eigens ein Büro für Künstliche Intelligenz geschaffen („European AI Office“). Auch diese Maßnahme unterstreicht die Bedeutung der KI-Verordnung für die gesamte EU.

C. Einfuhrrechtliche und produktsicherheitsrechtliche Regelung der KI-Verordnung

Die KI-Verordnung hat – wie viele produktsicherheitsrechtliche Regelungen – auch für Einführer Implikationen. In dieser Hinsicht ist sie für Einführer wie auch für Händler von sog. Hochrisiko-KI-Systemen von großer Relevanz. Unter den Begriff der „Hochrisiko-KI“ fallen gem. Art. 6 Abs. 1 der KI-Verordnung solche KI-Systeme, die als Sicherheitsbauteil eines Produkts verwendet werden oder selbst ein solches Produkt darstellen, und in die unter Anhang I KI-Verordnung aufgeführten Harmonisierungsvorschriften fallen. Bislang enthält Anhang I 20 Einträge und umfasst unter anderem Richtlinien über Maschinen, die Sicherheit von Spielzeug oder Geräte und Schutzsysteme zur Verwendung in explosionsgefährdeten Bereichen, sowie Verordnungen über persönliche Schutzausrüstung, Vorschriften für die Sicherheit in der Zivilluftfahrt oder auch Schiffsausrüstung.

Nach Art. 6 Abs. 2 der KI-Verordnung gelten zusätzlich alle in Anhang III der KI-Verordnung genannten KI-Systeme als hochriskant. In jenem Anhang werden acht Bereiche mit insgesamt 25 Anwendungen von KI-Systemen geführt. Zu diesen Bereichen gehören u.a. Biometrie, kritische Infrastruktur oder auch die Inanspruchnahme von grundlegenden öffentlichen Diensten und Leistungen.

I. Pflichten für Einführer, Art. 23 der KI-Verordnung

Für Einführer von Hochrisiko-KI-Systemen gelten die in Art. 23 der KI-Verordnung zusammengefassten Pflichten. Dabei ist Einführer gem. Art. 3 Nr. 6 der KI-Verordnung, wer in der Union ansässig oder niedergelassen ist und ein KI-System in Verkehr bringt, das den Namen oder die Handelsmarke einer in einem Drittland niedergelassenen natürlichen oder juristischen Person trägt.

Bevor Einführer ein Hochrisiko-KI-System in den unionalen Verkehr bringen dürfen, müssen sie nach Art. 23 Abs. 1 der KI-Verordnung sicherstellen, dass dieses den Anforderungen der KI-Verordnung entspricht. Dazu muss zunächst überprüft werden, ob der Anbieter des Systems das in der KI-Verordnung vorgeschriebene Konformitätsbewertungsverfahren durchgeführt hat. Weiterhin müssen Einführer sicherstellen, dass der Anbieter die vorgeschriebene technische Dokumentation erstellt hat, das System mit der CE-Kennzeichnung versehen ist und die erforderliche EU-Konformitätserklärung sowie die Betriebsanleitungen beigefügt sind. Zudem trifft den Einführer – anders als im sonstigen Produktsicherheitsrecht üblich – die Pflicht zu gewährleisten, dass der Anbieter einen Bevollmächtigten benannt hat.

Besteht hinreichender Grund zur Annahme, dass das betreffende KI-System diesen Vorgaben nicht entspricht, gefälscht wurde oder mit einer gefälschten Dokumentation versehen ist, darf es nach Art. 23 Abs. 2 der KI-Verordnung erst nach Herstellung der Konformität in den Verkehr gebracht werden. Sofern ein Hochrisiko-KI-System Risiken für die Gesundheit, Sicherheit oder Grundrechte von Personen birgt, hat der Einführer den Anbieter, die Bevollmächtigten und die Marktüberwachungsbehörden darüber in Kenntnis zu setzen, vgl. Art. 23 Abs. 2 der KI-Verordnung.

Neben den Pflichten, die vor dem Inverkehrbringen zu beachten sind, bestehen noch weitere Informations-, Sicherungs- und Mitwirkungspflichten. Dazu zählt, dass die Namen und Kontaktdaten der Einführer auf der Verpackung oder der beigefügten Dokumentation zu einem Hochrisiko-KI-System anzugeben und Behörden gegenüber auf begründete Anfrage jede Information und Dokumentation zum Nachweis der Konformität mit der KI-Verordnung zu übermitteln sind. Zudem sind die Einführer zur Mitarbeit mit den nationalen Behörden bei allen Maßnahmen verpflichtet, die der Verringerung von Risiken eines Systems ausgehen.

II. Pflichten für Händler nach Art. 24 der KI-Verordnung

Ebenso wie für Einführer gelten auch für die Händler von Hochrisiko-KI-Systemen besondere Vorschriften – zusammengefasst in Art. 24 der KI-Verordnung. Händler im Sinne von Art. 3 Nr. 7 der KI-Verordnung sind, mit Ausnahme von Anbietern und Einführern, natürliche oder juristische Personen in der Lieferkette, die ein KI-System auf dem Unionsmarkt bereitstellen.

Inhaltlich sind die Pflichten der Händler in Art. 24 der KI-Verordnung geringer als diejenigen der Einführer. So müssen auch Händler vor der Bereitstellung eines als Hochrisiko-KI eingestuftes System prüfen, ob eine CE-Kennzeichnung sowie die EU-Konformitätserklärung und Betriebsanleitung vorhanden sind. Zudem muss entweder der Anbieter oder der Einführer die in der KI-Verordnung festgelegten Pflichten erfüllt haben.

Besteht auch hier Grund zu der Annahme, dass das System nicht den Vorgaben der Verordnung entspricht, ist es dem Händler untersagt, das System in den Verkehr zu bringen, bis die Konformität hergestellt ist. Ebenso gilt: sofern ein Hochrisiko-KI-System Risiken für die Gesundheit, Sicherheit oder Grundrechte von Personen birgt, so hat der Händler den Anbieter oder den Einführer des Systems darüber in Kenntnis zu setzen, Art. 24 Abs. 2 der KI-Verordnung.

Darüber hinaus treffen Händler auch nach der Bereitstellung des Systems Überwachungspflichten. Tritt etwa der Fall ein, dass ein bereits auf dem Markt befindliches System nicht den Anforderungen der KI-Verordnung entspricht, muss ein Händler geeignete Korrekturmaßnahmen ergreifen, einschließlich der Rücknahme oder des Rückrufs des Systems.

Die Pflichten gegenüber Behörden entsprechen ebenso denen der Einführer. So sind im Falle einer behördlichen Anfrage alle notwendigen Informationen und Dokumentationen zu den oben beschriebenen Maßnahmen – die Sicherstellung der Konformität, sowie etwa ergriffenen Korrekturmaßnahmen – bereitzustellen. Auch ist eine Zusammenarbeit mit den Behörden bei allen Maßnahmen zur Verringerung von Risiken durch das System verpflichtend.

III. Sanktionen bei Pflichtverletzung

Der Verstoß gegen die Pflichten für Einführer bzw. Händler ist bußgeldbewehrt. Art. 99 Abs. 4 lit. c und lit. d der KI-Verordnung sieht diesbezüglich konkret vor, dass bei Verstößen gegen die Pflichten aus Art. 23 und 24 der KI-Verordnung eine Geldbuße von bis zu EUR 15 Millionen festgesetzt werden kann, wobei sich die konkrete Höhe der Geldbuße je nach Einzelfall richtet. Für Unternehmen gilt alternativ eine Geldbuße von bis zu 3 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres - je nachdem, welcher Betrag höher ist.

Für die Bereitstellung falscher, unvollständiger oder irreführender Informationen an zuständige Stellen kann nach Art. 99 Abs. 5 der KI-Verordnung ein Bußgeld von bis zu EUR 7,5 Millionen verhängt werden. Für Unternehmen gilt alternativ eine Geldbuße von bis zu 1 % ihres Jahresumsatzes - je nachdem, welcher Betrag höher ist. Für kleine und mittlere Unternehmen („KMU“) gilt abweichend, dass jeweils nur der niedrigere Betrag als Bußgeld festgesetzt werden soll. Insgesamt obliegt es den Mitgliedstaaten, Vorschriften für Sanktionen und andere Durchsetzungsmaßnahmen zu erlassen.

D. Bewertung und Ausblick

Obwohl die Reaktionen auf die KI-Verordnung aufgrund ihrer Bezüge zu anderen Rechtsbereichen und deren spezifischen Anforderungen und Perspektiven unterschiedlich ausfallen, ist es insgesamt stark zu begrüßen, dass die EU mit der KI-Verordnung nun Rechtssicherheit für Entwickler und Betreiber von KI-Systemen geschaffen hat. Hervorzuheben ist auch der Fokus auf die Entwicklung und Verbreitung menschenzentrierter und vertrauenswürdiger KI verbunden mit dem Schutz der europäischen Grundrechte.

Spezifisch für das Einfuhr- und Produktsicherheitsrecht bringt die KI-Verordnung vor allem aber eines: mehr Pflichten für Einführer und Händler von Hochrisiko-KI. Damit stehen diese aber nicht allein. Vielmehr reihen sich derartige Pflichten in eine regulatorische Dynamik im Außenwirtschaftsrecht ein, die Zukunftstechnologien deutlich stärker Regelungen unterwirft. Erst kürzlich hat der deutsche Gesetzgeber mit der 21. Verordnung zur Änderung der Außenwirtschaftsverordnung seine Exportkontrolle auf sog. „Emerging Technologies“ ausgeweitet und diese einer Genehmigungspflicht vor ihrer Ausfuhr unterworfen. Es bleibt damit abzuwarten, wie sich dieser Trend mittel- und vor allem langfristig fortsetzten und entwickeln wird.