Das Sanktionsregime der KI-Verordnung
Am 1. August 2024 ist die KI-Verordnung in Kraft getreten. Die Verordnung enthält ein komplexes Normengeflecht und formuliert nach Risikokriterien differenzierende Pflichten. Aber auch die Rechtsfolgenseite beinhaltet nuancierte Regelungen und sieht für verschiedene Verstöße unterschiedliche Sanktionsmodalitäten vor. Die Verordnung enthält in einem praxisrelevanten Bereich jedoch keine eigenen Sanktionstatbestände, auf welche die Sanktionierung von Betroffenen unmittelbar gestützt werden könnte. Für Verstöße gegen die Verordnung durch Akteure (etwa Anbieter von KI-Produkten) weist Art. 99 Abs. 1 KI-VO die Mitgliedstaaten vielmehr an, eigene Sanktionstatbestände zu normieren. Damit stellt sich insbesondere die Frage, wie eine Umsetzung in deutsches Recht aussehen könnte.
Sanktionen gegen Akteure und notifizierte Stellen
Art. 99 KI-VO stellt Vorgaben für Sanktionen gegen Akteure und notifizierte Stellen auf. Der Akteurbegriff ist weit gefasst und erfasst Anbieter, Produkthersteller, Betreiber, Bevollmächtigte, Einführer sowie Händler eines KI-Systems (vgl. Art. 3 Nr. 8 KI-VO). Auch (Strafverfolgungs-)Behörden können im Einzelfall hierunter zu subsumieren sein. Notifizierte Stellen sind Einrichtungen, welche die Konformität von Hochrisiko-KI-Systemen (z. B. KI-Systeme, die im Rahmen kritischer Infrastruktur oder für Entscheidungen im Bereich des Personalmanagements eingesetzt werden) überprüfen und zertifizieren. In Zukunft dürfte diese Aufgabe vermutlich beispielsweise der TÜV übernehmen. Bezüglich dieser Personengruppen beinhaltet die Verordnung keine eigenen Sanktionstatbestände, sondern verpflichtet die Mitgliedstaaten lediglich zum Erlass entsprechender Vorschriften (zu den einzelnen Verstößen und jeweiligen Bußgeldgrenzen s. u.).
Die KI-Verordnung stellt es den Mitgliedstaaten frei, neben Geldbußen auch andere Sanktionen vorzusehen, etwa Verwarnungen und sonstige nichtmonetäre Maßnahmen. In jedem Fall müssen die vorgesehenen Rechtsfolgen jedoch verhältnismäßig sowie – dem allgemeinen Effektivitätsgrundsatz folgend – wirksam und abschreckend sein. Bei der Ausgestaltung müssen die Mitgliedstaaten zudem die begrenzten wirtschaftlichen Mittel kleiner und mittlerer Unternehmen (zu denen die Verordnung auch Start-ups zählt) und deren damit einhergehende „Sanktionsempfindlichkeit“ gegenüber monetären Sanktionen berücksichtigten. Die Verordnung selbst trägt diesem Umstand mit einer Absenkung der Obergrenze für Geldbußen Rechnung (Art. 99 Abs. 6 KI-VO).
Insgesamt setzt die Verordnung den Mitgliedstaaten im Rechtsfolgenbereich primär Obergrenzen für Bußgeldvorschriften (Art. 99 Abs. 3–6 KI-VO). Da der Effektivitätsgrundsatz die Sanktionen zudem nach unten begrenzt, entsteht damit ein gewisser Sanktionsrahmen, innerhalb dessen sich die Mitgliedstaaten bei der Ausgestaltung nationalen Rechts bewegen können.
Art. 99 KI-VO enthält ein nach Schwere des jeweiligen Verstoßes gestaffeltes, dreistufiges Sanktionssystem:
- Die höchste Bußgeldgrenze (Art. 99 Abs. 3 KI-VO) erfasst Verstöße gegen die verbotenen Praktiken aus Art. 5 KI-VO und erlaubt Geldbußen von bis zu 35 Millionen Euro und bei Unternehmen alternativ von bis zu 7 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem, welcher Betrag im konkreten Fall höher ist. Unter die verbotenen Praktiken fasst die Verordnung KI-Systeme, die derartige Risiken aufweisen, dass sie grundsätzlich verboten bzw. nur in eng umgrenzten Fällen zulässig sind, wie z. B. Echtzeit-Fernidentifizierungssysteme oder Systeme, die zur unterschwelligen Beeinflussung menschlicher Entscheidungen eingesetzt werden können.
- Die mittlere Bußgeldgrenze (Art. 99 Abs. 4 KI-VO) ist einschlägig bei gewissen Pflichtverstößen im Bereich der Hochrisiko-KI (Art. 16, 22–24, 26 KI-VO), bei Verstößen notifizierter Stellen gegen Pflichten bezüglich der inneren Organisation und des Konformitätsbewertungsverfahrens (Art. 31, 33 Abs. 1, 3, 4 KI-VO, Art. 34 KI-VO) sowie bei Verletzung der für Anbieter und Betreiber bestimmter KI-Systeme geltenden Transparenzpflichten aus Art. 50 KI-VO. Zulässig sind in diesen Fällen Geldbußen von bis zu 15 Millionen Euro bzw. (bei Unternehmen) von bis zu 3 % des weltweiten Jahresumsatzes.
- Die niedrigste Bußgeldgrenze (Art. 99 Abs. 5 KI-VO) ist einschlägig, wenn notifizierten Stellen oder zuständigen nationalen Behörden auf deren Auskunftsersuchen hin falsche, unvollständige oder irreführende Informationen erteilt werden. Die Verordnung sieht hier Geldbußen von bis zu 7,5 Millionen Euro bzw. (bei Unternehmen) von bis zu 1 % des weltweiten Jahresumsatzes vor.
Darüber hinaus enthält die Verordnung in Art. 99 Abs. 7 KI-VO eine ganze Reihe unterschiedlicher Faktoren, an denen sich die Bemessung des jeweiligen Bußgelds zu orientieren hat, wobei immer die Umstände des Einzelfalles ausschlaggebend sind. Die Aufzählung knüpft ersichtlich an den Bemessungsfaktoren des Art. 83 Abs. 2 DSGVO an. Berücksichtigung finden insbesondere tat- sowie täterbezogene Umstände, wie Art, Schwere und Dauer des Verstoßes und seiner Folgen sowie die Zahl der betroffenen Personen und deren erlittener Schaden (lit. a), etwaige durch den Verstoß erlangten finanziellen Vorteile (lit. e), Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes (lit. i) sowie Größe, Jahresumsatz und Marktanteil des Akteurs, der den Verstoß begangen hat (lit. d). Darüber hinaus wird auch das „Nachtatverhalten“ berücksichtigt, insbesondere die Zusammenarbeit mit den zuständigen Behörden (lit. f), ob der Verstoß den Behörden durch den Akteur selbst gemeldet wurde (lit. h) sowie insgesamt, inwiefern der Akteur Maßnahmen zur Schadensbegrenzung getroffen hat (lit. f, j).
Auch wenn nach der Verordnung grundsätzlich auch Sanktionen gegenüber nationalen Behörden zulässig sind, räumt diese den Mitgliedstaaten das Recht ein, selbstständig zu regeln, inwieweit nationale Behörden mit Geldbußen belegt werden können (Art. 99 Abs. 8 KI-VO). Auch die Zuständigkeitsfrage bezüglicher der Verhängung der Geldbuße überlässt die Verordnung den Mitgliedstaaten, um eine organische Eingliederung in das nationale Rechtssystem zu ermöglichen. Demnach obliegt es den Mitgliedstaaten, ob die Zuständigkeit bei den Gerichten oder bei sonstigen Stellen (etwa spezielle Aufsichtsbehörden) liegen soll (Art. 99 Abs. 9 KI-VO).
Geldbußen gegen Organe, Einrichtungen und sonstige Stellen der EU
Art. 100 KI-VO enthält einen Sanktionstatbestand zur Verhängung von Geldbußen gegenüber Organen, Einrichtungen und sonstigen Stellen der Europäischen Union. Zuständig ist insoweit der Europäische Datenschutzbeauftragte. Beim Einsatz verbotener Praktiken im Sinne des Art. 5 KI-VO drohen Geldbußen von bis zu 1,5 Millionen Euro (Art. 100 Abs. 2 KI-VO), beim Betrieb oder Angebot von KI-Systemen, die aus anderen als den in Art. 5 KI-VO genannten Gründen nicht mit der Verordnung konform sind, Geldbußen von bis zu 750.000 Euro (Art. 100 Abs. 3 KI-VO). Die insoweit verhängten Bußgelder fließen dem allgemeinen Haushalt der EU zu.
Geldbußen gegen Anbieter von KI-Modellen mit allgemeinem Verwendungszweck
Für Anbieter von KI-Modellen mit allgemeinem Verwendungszweck stellt Art. 101 KI-VO ebenfalls einen eigenen Sanktionstatbestand auf. Bei diesen Programmen handelt es sich um KI-Systeme, die für eine Vielzahl unterschiedlicher Aufgaben eingesetzt und in andere Systeme oder Anwendungen integriert werden können, z. B. Modelle wie GPT-4. Der Sanktionstatbestand greift, wenn diese Anbieter den ihnen auferlegten Pflichten vorsätzlich oder fahrlässig nicht nachkommen. In diesen Fällen kann die Europäische Kommission Geldbußen von bis zu 15 Millionen Euro bzw. von bis zu 3 % des weltweiten Jahresumsatzes verhängen.
Umsetzungsmöglichkeiten des deutschen Gesetzgebers für Maßnahmen nach Art. 99 KI-VO
Wie dargelegt, kann der jeweilige Mitgliedstaat Art. 99 KI-VO nicht unmittelbar zur Sanktionierung von Akteuren heranziehen. Vielmehr ist eine Umsetzung in nationales Recht geboten. Bei der näheren Ausgestaltung des nationalen Rechts kann der deutsche Gesetzgeber vornehmlich zwei Wege beschreiten.
Wie im Ausgangspunkt auch in § 41 Abs. 1 BDSG für das Datenschutzrecht vorgesehen, ist ein Verweis auf das OWiG, speziell eine Verzahnung mit dem Zurechnungssystem der §§ 9, 130, 30 OWiG, denkbar. § 9 OWiG würde dann den tauglichen Täterkreis des § 130 OWiG, der an sich nur Inhaber von Betrieben oder Unternehmen erfasst, z. B. auf vertretungsberechtigte Organe einer juristischen Person oder Mitglieder solcher Organe erweitern (etwa den Geschäftsführer einer GmbH). Diese Organe oder Organmitglieder würden dann nach § 130 OWiG unter den dortigen Normvoraussetzungen haften, wenn Mitarbeiter gegen Pflichten verstoßen, die dem Unternehmen z. B. als Akteur durch die KI-Verordnung auferlegt werden. Dieses unternehmensbezogene Delikt würde schließlich die Möglichkeit eröffnen, nach § 30 OWiG eine Geldbuße gegen das betroffene Unternehmen zu verhängen. Zwingende Voraussetzung wäre insoweit jedoch, dass einer Leitungsperson eine Straftat oder eine Ordnungswidrigkeit (insbesondere nach § 130 OWiG) nachgewiesen werden kann. Erst dann ist der Anwendungsbereich des § 30 OWiG eröffnet.
Wegen eben dieses Wirksamkeitshemmnisses hat der EuGH die entsprechende Regelungstechnik in § 41 Abs. 1 BDSG i. V. m. §§ 30, 130 OWiG kürzlich für mit den Vorgaben der DSGVO als unvereinbar erklärt (EuGH, Urteil vom 5.12.2023 – C-807/21 – Deutsche Wohnen; vgl. auf unserem Blog: DSGVO-Bußgelder: EuGH erklärt unmittelbare Bebußung juristischer Personen für zulässig, Verschulden erforderlich), sodass nun eine unmittelbare Bebußung des Unternehmens ohne Umweg über die §§ 30, 130 OWiG möglich ist (s. KG, Beschluss vom 22.1.2024 – 3 Ws 250/21). Damit ist diese im Datenschutzrecht bereits seit längerem in Rechtsprechung und Literatur diskutierte Frage endgültig entschieden. Ein das EuGH-Urteil umsetzendes Gesetzesvorhaben wurde bereits auf den Weg gebracht (vgl. BR-Drs. 72/24 S. 13 [Stellungnahme des Bundesrates]; BT-Drs. 20/10859 S. 37). Eine vergleichbare unmittelbare Sanktionierbarkeit der handelnden Unternehmen könnte daher auch bei der Erfüllung des Regelungsauftrags aus Art. 99 KI-VO angelegt werden, auch wenn ein originäres Verbandssanktionensystem sich in Deutschland nach wie vor nicht durchgesetzt hat (vgl. auf unserem Blog: Adieu, Verbandssanktionengesetz – oder doch auf Wiedersehen?). Die Vorgaben der KI-Verordnung zwingen jedoch nicht dazu, sondern lassen durchaus Raum für die erstgenannte Regelungsalternative. Schließlich überantwortet Art. 99 KI-VO den Mitgliedstaaten die nähere Ausgestaltung der Sanktionen. Im Gegensatz zur DSGVO können die Mitgliedstaaten damit bei der Ausgestaltung des nationalen Rechts auch einschränkende Sanktionsvoraussetzungen aufstellen. Natürlich sind auch diese Regelungen weiterhin am Effektivitätsgrundsatz zu messen (vgl. Art. 99 Abs. 1 S. 2 KI-VO).
Ausblick
Der deutsche Gesetzgeber ist am Zug, die nationalen Haftungsmodalitäten zu regeln. Die KI-Verordnung ist zum 1. August 2024 in Kraft getreten, sieht jedoch einen gestuften Geltungsbeginn vor (vgl. Art. 113 KI-VO). Da Art. 99 KI-VO erst ab dem 2. August 2025 Geltung erlangt, hat der Gesetzgeber Zeit, bis dahin die Weichen des nationalen Haftungssystems zu stellen.