Skip to main content
P. Fischer, Encore une règlementation européenne à vocation extraterritoriale ? : Application du Règlement sur l’IA à des entreprises suisses, (03 février 2025) <https://cdbf.ch/1397/>
P. Fischer, Encore une règlementation européenne à vocation extraterritoriale ? : Application du Règlement sur l’IA à des entreprises suisses (03 février 2025) <https://cdbf.ch/1397/>
 CC BY

Articles en relation

Plus d'articles en relation

Noch eine extraterritoriale EU-Verordnung?

Anwendung des KI-VO auf Schweizer Unternehmen

(Übersetzt von DeepL)

In Anlehnung an die EU-Datenschutz-Grundverordnung (DSGVO) sieht die EU-Verordnung über künstliche Intelligenz (KI-VO) einen breiten territorialen Anwendungsbereich vor, der nicht nur Unternehmen umfasst, die innerhalb der EU eingegliedert sind, sondern auch einige, die in Drittländern wie der Schweiz ansässig sind. Schweizer Finanzintermediäre können daher von der KI-VO betroffen sein, deren extraterritoriale Dimension in diesem Kommentar dargestellt wird.

A. Kriterien für die Festlegung des territorialen Geltungsbereichs des KI-VO

Wir behandeln hier die beiden alternativen Kriterien, die bestimmen, ob ein Nicht-EU-Anbieter (provider) oder ein Nicht-EU-Bereitsteller (deployer) in den Anwendungsbereich der KI-VO fällt. Zu beachten ist, dass auch andere Rollen, die in der KI-VO vorgesehen sind – wie die des Distributors (Distributors) oder des Produktherstellers (Product Manufacturer) – zu einer extraterritorialen Anwendung der KI-VO führen können.

Kriterium 1 (Artikel 2 (1) (a) KI-VO) : nur anwendbar auf

Die KI-VO gilt unabhängig von ihrem Standort (EU oder Nicht-EU) für Anbieter, die :

  • in der EU ein KI-System (KIS) „in Verkehr bringen“ oder „in Betrieb nehmen“ ; oder
  • in der EU ein KI-Modell für allgemeine Zwecke (GPAIM) „in Verkehr bringen“.

Die Variablen, die diesem Kriterium zugrunde liegen, sind also vier : KIS, GPAIM, „Inverkehrbringen“ und „Inbetriebnahme“. Zu den Begriffen SIA und GPAIM verweisen wir auf Caballero Cuevas, cdbf.ch/1382/). Die beiden anderen Begriffe sind jedoch erklärungsbedürftig :

  • Das Konzept des „Inverkehrbringens“ (Art. 3 Abs. 9 KI-VO placing on the market) wird in als „die erstmalige Bereitstellung eines [KIS] oder [GPAIM] auf dem Markt der Union“ Der Text zielt auf den ersten Vertrieb innerhalb der EU ab, was sich dadurch erklären lässt, dass es sich bei der KI-VO um eine Regelung des Marktzugangs und der Produktsicherheit handelt (damit unterscheidet sich die KI-VO von der DSGVO, die eher Verhaltensweisen regelt). Dieses Kriterium wird somit nicht von demjenigen erfüllt, der ein KI-VO einem Kunden in der EU zur Verfügung stellt, wenn dieses KI-VO bereits in der EU vermarktet wurde. Auch die Einfuhr eines KI-VO durch eine Person für den Eigengebrauch (z. B. ein mit einem KI-VO ausgestattetes Mobiltelefon) gilt nicht als „Inverkehrbringen“.
  • Das Konzept der „Inbetriebnahme“ (putting into service) wird in  Art. 3 (11) KI-VO als „Lieferung“ in der EU (im Sinne von „Bereitstellung“) eines KIS i) zur erstmaligen Nutzung durch einen Deployment-Anbieter oder (ii) für den Eigengebrauch des Anbieters definiert. Das Konzept der „Inbetriebnahme“ gilt für KIS, nicht aber für GPAIM, die nach dem Verständnis der KI-VO (vgl. insbesondere Art. 3 (63) KI-VO) nur eine Komponente eines KIS sind (Caballero Cuevas, cdbf.ch/1382/).

Kriterium 2 (Artikel 2 (1) (c) KI-VO) : anwendbar auf Nicht-EU-Lieferanten und -Entwickler

Selbst wenn kein „Inverkehrbringen“ oder keine „Inbetriebnahme“ in der EU gemäß Kriterium 1 vorliegt, kann die RIA auf einen Schweizer Lieferanten oder Implementierer anwendbar sein, wenn der „Output“ (d.h. der Begriff, den die KI-VO verwendet, um das zu bezeichnen, was gemeinhin als Output bezeichnet wird) in der EU verwendet wird.

Erwägungsgrund 22 der KI-VO legt nahe, dass dieses Kriterium eingeführt wurde, um regulatorische Arbitrage zu vermeiden, indem Aktivitäten, die den EU-Binnenmarkt beeinflussen könnten, in Länder außerhalb der EU verlagert werden. Der Wortlaut von Artikel 2 (1) (c) KI-VO ist jedoch weiter gefasst und umfasst jede Nutzung eines Outputs innerhalb der EU.

Ein Lieferant oder Deployment-Unternehmen kann also schon allein deshalb unter die KI-VO fallen, weil der Output für die Verwendung in der EU bestimmt ist und auch tatsächlich verwendet wird.

Ein unbeabsichtigter „Spillover-Effekt“, der sich aus der zufälligen Präsenz des Outputs in der EU ergibt, dürfte hingegen nicht ausreichen, um die Anwendung der KI-VO auszulösen. Da es keine veröffentlichte Praxis zu diesem Thema gibt, kann man natürlich nur spekulieren, wie ein solcher unbeabsichtigter „Spillover-Effekt“ aussehen könnte : Unserer Ansicht nach könnte man das fiktive und vielleicht etwas vereinfachte Beispiel eines US-Unternehmens heranziehen, das ein KIS entwickelt hat, um die Trends bestimmter Anlageklassen auf dem US-Aktienmarkt zu analysieren, und das Veröffentlichungen auf der Grundlage von Daten des US-Markts erstellt. Ein in der EU ansässiger Anleger greift über ein Online-Abonnement auf diese Veröffentlichungen zu und nutzt sie, um an den europäischen Aktienmärkten zu investieren (da dieser Anleger eine Anlagestrategie umsetzen will, die auf der Vernetzung der Finanzmärkte beruht). In diesem Fall könnte das US-Unternehmen unserer Ansicht nach den Standpunkt vertreten, dass das KIS nicht „zur Verwendung in der EU bestimmt“ war.

Darüber hinaus argumentieren einige Autoren, dass das Kriterium der Absicht (das in Erwägungsgrund 22 der KI-VO erwähnt wird : „zur Verwendung bestimmt“) implizit eine De-minimis-Schwelle beinhalten würde. Dies wird jedoch nicht ausdrücklich im Text der KI-VO erwähnt. Es wird wahrscheinlich Aufgabe des Europäischen Ausschusses für Künstliche Intelligenz (KI-Ausschuss) sein, das Konzept der „Verwendung“ eines Outputs in der EU zu konkretisieren.

Ausgehend von der Annahme, dass die meisten Schweizer Finanzintermediäre wahrscheinlich als Bereitsteller agieren werden (die Begriffe „Anbieter“ und „Bereitsteller“ werden Gegenstand eines späteren Kommentars sein), könnte die KI-VO beispielsweise ausgelöst werden, wenn ein Schweizer Finanzintermediär KI-gestützte Dienstleistungen für in der EU ansässige Kunden erbringt.

B. Illustrationen

Wir können das oben Gesagte anhand einiger praktischer Fälle veranschaulichen. Die folgenden Beschreibungen spiegeln die derzeitige Auslegung des Textes der AIR wider und stehen unter dem Vorbehalt späterer Klarstellungen durch die Behörden.

  1. Chatbot auf der Website : Eine Schweizer Bank stellt auf ihrer Website einen selbst erstellten Chatbot zur Verfügung, der Antworten auf allgemeine Fragen zu ihren Dienstleistungen gibt (siehe dazu Jotterand, cdbf.ch/1377/). Der Chatbot kann von in der EU ansässigen Personen genutzt werden. Das Schweizer Unternehmen wird der KI-VO unterstellt (Anwendung von Kriterium 2 : In der EU verwendeter Output).
  2. AIS für Marketingzwecke : Eine Schweizer Bank hat ein KIS entwickelt und verwendet es für die Erstellung von Marketingkampagnen (Texte und Bilder). Es wird erwartet, dass potenzielle Kunden in der EU den durch das KIS erzeugten Inhalt erhalten (z. B. in Form einer Werbe-E-Mail). Das Schweizer Unternehmen wird der KI-VO unterstellt (Anwendung von Kriterium 2 : in der EU verwendeter Output).
  3. Von der Personalabteilung verwendetes KIS : Ein Schweizer Unternehmen verwendet ein KIS, um Bewerbungen für eine Stelle in der Schweiz zu analysieren und zu filtern (eine Tätigkeit, die unter die Definition von „Verarbeitung mit hohem Risiko“ im Sinne von Anhang II der KI-VO fallen würde). Dieses Unternehmen sollte nicht dem KI-VO unterstellt werden, selbst wenn Bewerbungen aus der EU analysiert werden, sofern der Output nur am Hauptsitz des Unternehmens in der Schweiz verwendet wird (Kriterium 1 : nicht erfüllt, da keine „Inverkehrbringung“ / „Inbetriebnahme“ in der EU / Kriterium 2 : nicht erfüllt, da kein Output in der EU verwendet wird).

C. Konkrete Folgen einer Anwendung des RIA

Einige Schweizer Unternehmen, die der KI-VO unterliegen, müssen diese Regelung ab dem Zeitpunkt ihres Inkrafttretens berücksichtigen (siehe Zeitachse unter folgendem Link : cdbf.ch/1359). Die materiellen Verpflichtungen, die sich aus der KI-VO ergeben, werden in einem separaten Kommentar auf dieser Plattform veröffentlicht. Bereits jetzt lässt sich jedoch sagen, dass die wichtigsten Verpflichtungen den Nicht-EU-Anbieter eines hochriskanten KIS betreffen dürften (einschließlich der Notwendigkeit, einen Vertreter in der EU zu ernennen / Art. 22 KI-VO). Der Nicht-EU-Bereitsteller eines KIS mit hohem Risiko oder der Nicht-EU-Lieferant/Bereitsteller eines KIS mit begrenztem Risiko wird sich hingegen hauptsächlich um die Einhaltung der Transparenzpflicht kümmern müssen.