Die neue KI-Verordnung und ihre Sanktionen für Unternehmer
Wie bereits in unserem Beitrag vom 04.09.2024 „Die Verordnung über künstliche Intelligenz und bald verbotene Praktiken“ beleuchtet, weist die KI-VO noch einige Lücken und Schwächen auf. Trotzdem sollten sich Unternehmer des weiten Geltungsbereichs dieser Verordnung bewusst sein. Schon der Einsatz oder die Integration von KI-gestützten System- oder Anwendungskomponenten kann zu ihrer Anwendbarkeit führen. Dem folgt sogleich auch das Risiko von Bußgeldern, die in Art. 99 ff. KI-VO geregelt werden.
In der Praxis dürfte Art. 99 KI-VO wohl die größte Bedeutung zukommen. Diese Vorschrift regelt die Verhängung von Sanktionen oder anderweitigen Durchsetzungsmaßnahmen durch nationale Marktüberwachungsbehörden wegen Verstößen von Anbietern, Bevollmächtigten, Einführern, Händlern, Betreibern und von notifizierten Stellen. Der Art. 100 KI-VO regelt die monetäre Sanktionierung von Organen, Einrichtungen und sonstigen Stellen der Union und soll hier nicht weiter beleuchtet werden. Der Art. 101 KI-VO hingegen regelt die Verhängung von Geldbußen gegen Anbieter von KI-Modellen mit allgemeinem Verwendungszweck. Die Zuständigkeit hierfür liegt wiederrum bei der Kommission bzw. dem dort eingerichteten Büro für Künstliche Intelligenz – nicht bei den nationalen Marktüberwachungsbehörden.
Zu Art. 99 KI-VO
Der hier näher zu betrachtende Art. 99 KI-VO normiert einen allgemeinen Rahmen für Vorschriften über Sanktionen und andere Durchsetzungsmaßnahmen. Die Mitgliedsstaaten haben auf dieser Basis weitere Vorschriften zu erlassen und alle Maßnahmen zu ergreifen, die für die ordnungsgemäße Durchsetzung der KI-VO erforderlich und notwendig sind. Dabei sollen die durch die Marktüberwachungsbehörden zu verhängenden Maßnahmen immer wirksam, verhältnismäßig und abschreckend sein. Demnach kann es auch lediglich zu Verwarnungen und anderen nichtmonetären Maßnahmen kommen.
Art. 99 KI-VO gibt allgemeine Rahmenbedingungen vor, wie das zu sanktionierende Verhalten, den Bußgeldrahmen, die Kriterien für die Entscheidung, ob überhaupt eine Geldbuße verhängt werden soll, für die Bußgeldzumessung und die Bindung an die angemessene Verfahrensgarantie. Die konkrete Bemessung der Bußgelder ist den Mitgliedsstaaten zugewiesen.
Der Art. 99 Abs. 3 bis Abs. 5 KI-VO sieht drei unterschiedliche Gruppen von Handlungsgeboten und -verboten vor, sowie drei unterschiedliche Bußgeldrahmen. Art. 99 Abs. 3 KI-VO nimmt Art. 5 KI-VO (hierzu ausführlich unser Beitrag vom 04.09.2024 „Die Verordnung über künstliche Intelligenz und bald verbotene Praktiken“) in Bezug und sieht Geldbuße in Höhe von 7 % des Vorjahresumsatzes oder bis zu 35 Mio. Euro vor. Art. 99 Abs. 4 KI-VO sieht bei Verstößen gegen die in der Vorschrift genannten Anforderungen und Pflichten Bußgelder in Höhe von 3 % des Vorjahresumsatzes oder bis zu 15 Mio. Euro vor. Bußgeldbewehrt sind dabei relevante Pflichten von Anbietern von KI-Systemen und deren Bevollmächtigten sowie Einführern, Händlern, Betreibern und notifizierten Stellen. Dabei handelt es sich vor allem um Pflichten und Anforderungen, die sich auf den Einsatz von KI am Arbeitsplatz beziehen und bspw. die Bedingungen von Arbeitsverhältnissen oder auch die Zuweisung von Arbeitsaufgaben betreffen. Aufgrund der hier sehr weit gefassten Vorschrift ist in der Praxis eine sehr genaue Kontrolle gerade dieser Bereiche durch die Datenschutzbehörden und die Marktaufsichtsbehörden zu erwarten. Art. 99 Abs. 5 KI-VO sieht Bußgelder von 1 % des Vorjahresumsatzes oder bis zu 7,5 Mio. Euro vor, wenn notifizierte Stellen oder zuständige nationale Behörden auf ihr Auskunftsersuchen hin falsche, unvollständige oder irreführende Informationen zur Verfügung gestellt bekommen. Diese Vorschrift birgt somit bereits im Auskunftsprozess ein erhebliches Risiko von empfindlichen Bußgeldern. In diesem Bereich besteht eine große Abhängigkeit der betroffenen Unternehmen von möglichst konkreten und ausreichend dedizierten Auskunftsanfragen der entsprechenden Behörden, welches wohl in der Praxis nicht immer gewährleistet werden wird.
Anzumerken ist weiter, dass für Unternehmen mit einem Jahresumsatz von 500 Mio. Euro und mehr eine variable Bußgeldobergrenze gilt.
Zu Art. 101 KI-VO
Der Art. 101 KI-VO sieht für Anbieter von KI-Modellen Geldbuße bis zu 3 % des globalen Vorjahresumsatzes oder bis zu 15 Mio. Euro vor, wobei grundsätzlich die höhere Obergrenze gelten soll. Der Anwendungsbereich des Art. 101 KI-VO überschneidet sich mit dem des Art. 99 KI-VO, wobei die Unterschiede im Folgenden kurz beleuchtet werden sollen.
Zuständig für die Sanktionierung der Verstöße gegen Art. 101 KI-VO ist die EU-Kommission. Das hat unteranderem zur Folge, dass Bußgeldentscheidungen dieser Kommission nicht durch die nationalen Gerichte der Mitgliedsstaaten überprüft werden können, sondern nur durch den EuGH. Art. 101 Abs. 1 KI-VO regelt ausdrücklich, dass die Verstöße gegen die Bestimmungen Vorsatz oder Fahrlässigkeit voraussetzen. Darüber hinaus ist Art. 101 KI-VO deutlich weiter gefasst, da durch ihn alle Verstöße gegen die für Anbieter geltende einschlägige Bestimmungen bußgeldbewehrt sind. Auch der behördliche Auskunftsanspruch und die damit im Zusammenhang stehenden erteilten Auskünfte sowie deren Richtigkeit sind bußgeldbewehrt – identisch wie in Art. 99 Abs. 5 KI-VO.
Für die verhängten Bußgelder nach Art. 101 KI-VO gelten dieselben Grundsätze wie auch für solche nach Art. 99 KI-VO.
Abschließend möchten wir darauf hinweisen, dass die DS-GVO und die KI-VO bei der Verarbeitung von personenbezogenen Daten nebeneinander gelten und demnach die Anforderungen aus beiden Regelungssystemen zu erfüllen sind. Dies steigert das Risiko, welches die teils empfindlichen Bußgelder mit sich bringen, noch weiter. Den Behörden ist es nämlich nach jetzigem Stand unbenommen, Verstöße gegen die DS-GVO und die KI-VO - beruhen sie doch auf derselben Handlung - jeweils mit einem Bußgeld zu belegen. Eine solche Doppelbestrafung ist momentan durch den Verordnungsgeber noch nicht ausdrücklich ausgeschlossen worden.