Am 12. Juli 2024 wurde die europäische Verordnung zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz („KI-Verordnung“) im Amtsblatt der Europäischen Union veröffentlicht. Die Vorschriften der KI-Verordnung gelten grundsätzlich ab dem 2. August 2026. Einige Regelungen gelten zum Teil bereits zuvor oder danach.
Ziele und Inhalte
Mit dieser Verordnung will die EU einen einheitlichen Rechtsrahmen für den Einsatz von KI-Systemen schaffen. Damit soll zugleich ein hohes Schutzniveau im Hinblick auf Gesundheit und Sicherheit sowie bezüglich der in der Charta der Grundrechte der Europäischen Union verankerten Grundrechte gewährleistet werden. Die KI-VO enthält erstmals eine grundlegende Definition des von der KI-VO erfassten KI-Systems.
Risikobasierte Regulierung
Die KI-Systeme werden in der KI-Verordnung abhängig von ihrem jeweiligen Gefahrenpotenzial risikobasiert reguliert. Je höher der europäische Gesetzgeber das Risiko einschätzt, desto höher sind die Anforderungen an Anbieter, Hersteller, Betreiber, Einführer oder Händler solcher Systeme. Die KI-VO sieht folgende KI-Risikokategorien vor: 1. Verbotene Praktiken im KI-Bereich, 2. Hochrisiko-KI-Systeme, 3. KI-Systeme für direkte Interaktion und 4. KI-Modelle mit allgemeinem Verwendungszweck. Die verbotenen Praktiken beinhalten ein inakzeptables Risiko im Hinblick auf die Grundwerte der Europäischen Union, etwa im Bereich der Menschenrechte. Die höchste akzeptable Risikokategorie bilden Hochrisiko-Systeme, die in Anhang III der Verordnung aufgeführt werden. Für diese Systeme gelten umfangreiche organisatorische Vorgaben für die betroffenen Unternehmen, etwa bezüglich der Governance, des Risikomanagements, der menschlichen Aufsicht und der grundrechtsbezogenen Folgenabschätzung.
Versicherungsspezifische Aspekte
In Anhang III zur KI-VO werden KI-Systeme, die bestimmungsgemäß für die Risikobewertung und Preisbildung in Bezug auf natürliche Personen in der von Lebens- und Krankenversicherung verwendet werden, als Hochrisiko-KI-Systeme eingestuft. Hier befürchtet der Unionsgesetzgeber „finanzielle Ausgrenzung und Diskriminierung“. Bei sonstigen KI-Systemen und KI-Modellen bei anderen Prozessen in den beiden Sparten Leben und Kranken sowie bei Unternehmen anderer Sparten beschränken sich die Anforderungen auf Transparenzpflichten. Daneben müssen von allen Versicherungsunternehmen nicht nur die Anforderungen der KI-VO, sondern zugleich die versicherungsaufsichtsrechtlichen Regelungen und Anforderungen für die Unternehmensführung und das Risikomanagement beachtet werden, die im Versicherungssektor auch für den Einsatz von KI-Systemen gelten.
Sanktionen
Wie mittlerweile üblich, enthält auch diese Verordnung spürbare Sanktionen bei Verstößen gegen ihre Vorgaben. Die Sanktionshöhe hängt bei Bußgeldern davon ab, gegen welche Vorschrift das Unternehmen verstoßen hat. Sie reicht bei verbotenen KI-Praktiken bis zu 35 Mio. € und bei Verstößen gegen sonstige Vorgaben bis zu 15 Mio. €.
Bewertung
Die KI-VO bringt speziell im Bereich Leben und Kranken, aber auch für die anderen Versicherungsunternehmen signifikante Anforderungen mit sich. Angesichts der Komplexität der Regelungen und der Höhe der drohenden Sanktionen sollten sich betroffenen Unternehmen bereits jetzt mit den für sie, abhängig von ihrem Geschäftsmodell, jeweils geltenden Regelungen vertraut machen. Dabei und bei der Umsetzung der neuen Anforderungen in die Unternehmerpraxis unterstützen wir Sie gerne.
Außerdem bieten wir am 17. September 2024 von 13:00 Uhr bis 13:30 Uhr einen kostenlosen virtuellen KI-Lunch speziell für die Versicherungsbranche an, zu dem Sie sich über diesen Link anmelden können. Dort werden wir die branchenspezifischen Vorgaben näher beleuchten und praktische Anwendungsfälle des KI-Einsatzes behandeln.
2025
Das Bundeskartellamt hat am 16.04.2025 Sennheiser electronic SE & Co. KG („Sennheiser“), die Sonova Consumer Hearing Sales Germany GmbH („Sonova“) sowie drei verantwortliche Mitarbeiter wegen vertikaler Preisbindungen im Bereich des Vertriebs von Kopfhörern mit Geldbußen von insgesamt knapp sechs Millionen Euro belegt.
Der Einsatz von IT im Unternehmen muss nicht nur sicher sein, sondern auch regelkonform. Gesetze, interne und externe Regelwerke sind einzuhalten. Dabei spielt es keine Rolle, ob die IT-Leistungen im Unternehmen oder durch Externe erbracht werden. Zwei neue Normen haben noch nicht alle Unternehmen präsent: den CRA (Cyber Resilience Act) und den Data Act (EU-Datenverordnung). Außerdem gibt es Neuigkeiten zur Umsetzung von NIS2.
Compliance muss auch in kleinen und mittleren Unternehmen ankommen. Diesem Credo trägt eine neue DIN-Norm Rechnung. Die neue DIN SPEC 91524 bietet einen sehr guten Überblick über Compliance-Themen, die auch kleinere Betriebe betreffen. Denn auch Gesetzesvorgaben, die sich eigentlich an Großunternehmen richten, können KMU in der Lieferkette treffen.
2025
Die EU-Kommission hat die Plattform für Online-Streitbeilegung (OS-Plattform) zum 20. Juli 2025 endgültig eingestellt. Damit entfällt für Unternehmer die bisher geltende Pflicht, im Impressum und in den AGB auf diese Plattform hinzuweisen.
2025
Mit der Entscheidung G 1/24 hat die Große Beschwerdekammer des Europäischen Patentamts (EPA) eine zentrale Frage in der Praxis beantwortet: Ist der Inhalt eines Patentanspruchs im Erteilungs- und Widerrufsverfahren auszulegen, und wenn ja wie?
Die Antwort ist eindeutig – und grundlegend:
Patentansprüche sind stets im Lichte der Beschreibung und der Zeichnungen auszulegen, selbst wenn der Anspruchswortlaut für sich genommen verständlich erscheint.