Die Europäische Union (EU) künstliche Intelligenz (KI) Akt (AI Act), Verordnung (EU) 2024/1689 des Europäischen Parlaments und des Rates vom 13. Juni 2024 zur Festlegung harmonisierter Regeln für künstliche Intelligenz und zur Änderung von Verordnungen (EG) Nr. 300/2008, (EU) Nr. 167/2013, (EU) Nr. 168/2013, (EU) 2018/858, (EU) 2018/1139 und (EU) 2019/2144 und der Richtlinien 2014/90/EU, (EU) 2016/797 und (EU) 2020/1828 (Künstliche Intelligenz-Gesetz), trat am 1. August 2024 in Kraft. Es gibt eine zweijährige Umsetzungsfrist, wobei die meisten Verpflichtungen des KI-Gesetzes am 2. August 2026 in Kraft treten.
Im EU-Kontext wirft das KI-Gesetz, das für alle Arten von Institutionen gilt, einige Schlüsselfragen für jedes Unternehmen auf, das eine der folgenden ist:
Eine EU-Bank oder Nichtbank-Kreditgeber, Broker-Händler, Versicherer oder Versicherungsmakler, Investmentmanager oder -berater, insbesondere wenn ein Unternehmen innovative Technologien als wesentlichen Teil seines Geschäfts verwendet (Finanzdienstleistungsunternehmen)
Eine nicht zur Europäischen Union gehörende und nicht-finanzdienstleistungsunternehmen, das Dienstleistungen für ein Finanzdienstleistungsunternehmen erbringt (ungeregelt Dienstleister).
Obwohl einige unregulierte Dienstleister, einschließlich solcher außerhalb der Europäischen Union, direkt dem EU-Finanzdienstleistungsrecht in Form des Digital Operational Resilience Act (DORA) unterliegen werden, ist das KI-Gesetz nicht auf Anbieter von KI-Diensten für EU-Finanzdienstleistungsunternehmen beschränkt, die als “kritische” Drittanbieterunternehmen unter DORA eingestuft sind.
Wir haben im Allgemeinen über das KI-Gesetz geschrieben. Das KI-Gesetz implementiert einen “einheitlichen rechtlichen Rahmen insbesondere für die Entwicklung, das Inverkehrbringen, die Inbetriebnahme und die Nutzung von künstlichen Intelligenzsystemen.”
Als EU-Verordnung, anstelle einer EU-Richtlinie, gilt das EU-Gesetz direkt für Finanzdienstleistungsunternehmen und Dienstleister, ohne dass das Recht der EU-Mitgliedstaaten seine Bestimmungen umsetzen muss. Das KI-Gesetz verweist jedoch ausdrücklich auf geltendes EU-Finanzdienstleistungsrecht, einschließlich Richtlinien, die die Anforderungen an die interne Governance und das Risikomanagement für Finanzdienstleistungsunternehmen enthalten. Da Governance und Risikomanagement zentral für die Einhaltung des KI-Gesetzes sind, gelten die bestehenden Anforderungen in den EU-Finanzdienstleistungsgesetzen voraussichtlich für Finanzdienstleistungsunternehmen, wenn sie KI-Systeme einsetzen. In diesem Zusammenhang stellt das KI-Gesetz fest, dass die aktuellen EU-Behörden, die EU-Finanzdienstleistungsgesetze überwachen und durchsetzen, damit beauftragt werden sollten, die Umsetzung des KI-Gesetzes zu überwachen, einschließlich der Marktüberwachungsaktivitäten, und alle Befugnisse des KI-Gesetzes gegenüber Finanzdienstleistungsunternehmen haben sollen.
Die Durchsetzung des KI-Gesetzes obliegt daher den Finanzaufsichtsbehörden der Mitgliedsstaaten und der Europäischen Bankenaufsichtsbehörde (EBA), der Europäischen Wertpapier- und Marktaufsichtsbehörde (ESMA) und der Europäischen Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersvorsorge (EIOPA), zusammen als Europäische Aufsichtsbehörden (ESAs) bekannt. Schon vor dem KI-Gesetz hatten die ESAs Leitlinien zu KI-Fragen veröffentlicht, beispielsweise der Folgebericht der EBA zum Einsatz von maschinellem Lernen für modelbasierte interne Ratings, die Grundsätze der KI-Governance der EIOPA und die öffentliche Stellungnahme der ESMA zur Verwendung von KI in Einzelhandelsdienstleistungen.