Gesetz über Künstliche Intelligenz, das AIA-Gesetz der EU wurde vom Europäischen Parlament am 13. März 2024 beschlossen

Am 13.03.2024 hat das Europa-Parlament den Artificial Intelligence Act (kurz: AI Act, Gesetz über Künstliche Intelligenz)  beschlossen.¹  Der AI Act wird voraussichtlich im ersten Quartal 2025 in Kraft treten. Für die Nationalstaaten gibt es eine zweijährige Übergangsfrist.
Das Gesetz soll einen einheitlichen Rechtsrahmen insbesondere für die Entwicklung, Vermarktung und Verwendung Künstlicher Intelligenz (KI) schaffen, und zwar branchenübergreifend für alle Produkte, bei denen KI eingesetzt wird, also auch für Medizinprodukte. Die neuen Regeln zielen darauf ab, Grundrechte, Demokratie und Rechtsstaatlichkeit sowie ökologische Nachhaltigkeit vor Hochrisiko-KI-Systemen zu schützen. Gleichzeitig sollen sie Innovationen ankurbeln und dafür sorgen, dass die EU in diesem Bereich eine Führungsrolle einnimmt. Die Verordnung legt bestimmte Verpflichtungen für KI-Systeme fest, abhängig von den jeweiligen möglichen Risiken und Auswirkungen.
In Gesundheitseinrichtungen kommt KI immer häufiger zum Einsatz, insbesondere in der Bildgebung, aber auch in Diagnostik und Behandlung. Man will damit Fehler reduzieren und die Medizintechnik optimieren. Das muss aber kontrolliert und geprüft werden, und zwar zusätzlich zu der MDR (Medical Device Regulation) über eine EU-weite einheitliche Regulierung, der AIA Act.
Nach dem AI Act werden KI-Anwendungen in vier Risikoklassen eingeteilt:
•    Risikoarme Systeme:
In diese Kategorie fällt der Großteil der KI-Anwendungen. Es gelten hier keine Anforderungen oder nur minimale Transparenzanforderungen. Nutzer sollen beispielsweise darauf hingewiesen werden, wenn sie mit einer KI interagieren.
•    Begrenzt riskante Systeme:
Hierunter fallen beispielsweise KI-Basismodelle wie das Sprach-Basismodell GPT-4, auf dem ChatGPT basiert. Die Anbieter von Anwendungen in dieser Kategorie müssen bestimmte Transparenz- und Kennzeichnungspflichten erfüllen. Auch die technische Dokumentation und Einhaltung der EU-Urheberrechtsbestimmungen sind erforderlich. Konkret müssen Anbieter generativer KI offenlegen, dass Inhalte KI-generiert wurden; sie müssen ihr Modell so gestalten, dass es keinen illegalen Inhalt generiert; und sie müssen Auskunft geben, welche (urheberrechtlich geschützten) Daten zum Training ihrer Modelle verwendet wurden.
•    Hochrisiko-Systeme:
Betroffen sind KI-Systeme, die die Sicherheit oder Grundrechte negativ beeinflussen könnten. Die Anbieter müssen deutlich strengere Sicherheitsanforderungen erfüllen, unter anderem in Bezug auf Nachvollziehbarkeit, Risikomanagement oder Cybersecurity. Darunter fallen KI-Systeme, die in Produkten verwendet werden, die unter die EU-Produktsicherheitsgesetzgebung fallen, insbesondere Kraftfahrzeuge, Medizinprodukte und Aufzüge, Verwaltung und Betrieb kritischer Infrastruktur, Bildung und berufliche Aus- und Weiterbildung, Beschäftigung, Mitarbeiterverwaltung und Zugang zur Selbstständigkeit.
•    Systeme mit unannehmbarem Risiko:
Anwendungen dieser Kategorie werden als Bedrohung angesehen und und sind daher nach dem AI Act vollkommen verboten. Beispiele sind sogenannte Social-Scoring-Systeme, die Menschen auf der Grundlage ihres Verhaltens, ihres sozioökonomischen Status oder ihrer persönlichen Merkmale einordnen, oder auch Echtzeit- und Fernidentifikationssysteme auf Basis biometrischer Daten wie der Gesichtserkennung. Es gibt allerdings Ausnahmen: Beispielsweise können biometrische Identifizierungssysteme, bei denen die Identifizierung nach einer erheblichen Verzögerung erfolgt, zur Verfolgung von schweren Straftaten zugelassen sein, jedoch nur nach gerichtlicher Genehmigung.
Nach Artikel 2 des KI-Gesetzes gilt das europäische KI-Gesetz für folgende Personen und Organisationen:
•    Anbieter: Alle juristischen Personen, Behörden, Einrichtungen oder sonstige Stellen, die ein KI-System entwickeln oder entwickeln lassen und in der EU anbieten oder in Verkehr bringen beziehungsweise betreiben.
•    Nutzer: Alle natürlichen Personen, die in der EU ein KI-System nutzen.
Obwohl KI-basierte Produkte in der MDR nicht ausdrücklich adressiert werden, lassen sich aus ihren Leistungs- und Sicherheitsanforderungen im Anhang I zur MDR zu großen Teilen auch KI-spezifischen Sicherheitserwartungen ableiten. Dies ist auch damit zu begründen, dass die MDR an vielen Stellen Regelungen für Softwareprodukte normiert und KI nichts anderes als eine spezielle Form der Software darstellt. Es kann daher die These aufgestellt werden, dass die MDR ein umfassendes Sicherheitskonzept aufstellt, welches im Grundsatz auch KI-spezifischen Risiken begegnen kann.
Damit werden die schon hohen regulatorischen Anforderungen für Medizinproduktehersteller noch weiter erhöht. Zu enge regulatorische Rahmenbedingungen für den Einsatz von KI könnten Europa nicht nur Wettbewerbsfähigkeit kosten, sondern vor allem Patienten den Zugang zu einer fortschrittlichen Gesundheitsversorgung erschweren oder sogar unmöglich machen.²
Es wird also Aufgabe der Berater, Behörden und sonstigen Experten die beiden Regelungen in der AI Act und in der MDR miteinander abzugleichen.
Prof. Hans Böhme

¹ Im Internet am 02.04.2024 aufgerufen unter Gesetz über künstliche Intelligenz: Parlament verabschiedet wegweisende Regeln | Aktuelles | Europäisches Parlament (europa.eu).

² Ebenso BR-Drs. 488/21, S. 12; kritisch ebenfalls Gassner, MPR 2022, 35 f.; BVMed, Positionen zum Entwurf des „Artificial Intellegence Act“ (AIA), 2021, S. 2 ff., 7.

Diese Nachricht stammt aus dem Healthcare & Hospital Law Newsletter. Abonnieren Sie hier kostenlos und verpassen Sie keine wichtigen News aus der Branche!