Die EU-KI-Verordnung

Ein Leitfaden für die effektive Umsetzung

Stephan Hendel, LL.M.

Rechtsanwalt

Die rasante Entwicklung Künstlicher Intelligenz (KI) eröffnet Unternehmen vielfältige Einsatzmöglichkeiten, birgt jedoch auch erhebliche Risiken. Um den verantwortungsvollen Umgang mit KI-Systemen sicherzustellen, hat die Europäische Union die KI-Verordnung (KI-VO) eingeführt – das weltweit erste umfassende Regelwerk für künstliche Intelligenz.

Dieser Artikel bietet einen strukturierten Überblick über die KI-VO, erläutert deren wesentliche Inhalte und zeigt auf, wie Unternehmen die Verordnung effektiv umsetzen können.

Hintergrund und Gesetzgebungsverfahren

Die KI-VO wurde entwickelt, um die Entwicklung und Nutzung von KI innerhalb des EU-Binnenmarktes zu regulieren und zugleich ein hohes Maß an Schutz für Gesundheit, Sicherheit und Grundrechte zu gewährleisten. Der Gesetzgebungsprozess begann mit der Verabschiedung des Textes durch das Europäische Parlament am 13. März 2024, gefolgt von redaktionellen Anpassungen am 19. April 2024. Der Rat der EU stimmte der Verordnung am 21. Mai 2024 zu. Die Verordnung trat am 13. Juli 2024 in Kraft und gilt ab dem 2. August 2024 in einem abgestuften Verfahren.

Risikobasierter Ansatz der KI-VO

Die KI-VO verfolgt einen risikobasierten Ansatz, bei dem verschiedene KI-Systeme nach ihrem potenziellen Risiko für die Gesellschaft klassifiziert werden. Je höher das Risiko, desto strenger die Vorschriften. Die Verordnung unterscheidet dabei insgesamt fünf Risikokategorien:

Verbotene KI-Systeme: Systeme, die unzumutbare Risiken bergen, wie manipulative Techniken zur Verhaltensbeeinflussung oder biometrische Fernidentifikation in öffentlich zugänglichen Räumen.
Hochrisiko-KI-Systeme: Diese Systeme erfordern umfangreiche Sicherheits- und Transparenzmaßnahmen. Beispiele umfassen KI-Anwendungen in der Biometrie, kritischen Infrastruktur, Personalverwaltung sowie in der Strafverfolgung.
KI-Systeme mit begrenztem Risiko: Diese Systeme unterliegen spezifischen Transparenzpflichten, wie die Kennzeichnung von Deep Fakes oder die Offenlegung der Nutzung von Emotionserkennungssystemen.
KI-Systeme mit minimalem Risiko: Systeme, die weder einen signifikanten Einfluss auf die Gesellschaft haben noch spezifische Regulierungen erfordern, wie Spam-Filter oder KI-Komponenten in Videospielen.
KI-Modelle mit allgemeinem Verwendungszweck: Große Sprachmodelle wie ChatGPT, die als Grundlage für spezielle Anwendungen dienen. Hier gelten besondere Dokumentations- und Transparenzpflichten.

Anwendungsbereich der KI-VO

Räumlicher und sachlicher Anwendungsbereich

Die KI-VO gilt für alle Anbieter und Betreiber von KI-Systemen, die in der EU in Verkehr gebracht oder betrieben werden, unabhängig von ihrem Sitz innerhalb oder außerhalb der EU. Ausnahmen bestehen für nationale Sicherheitsanwendungen, militärische Zwecke sowie für KI-Systeme, die ausschließlich für wissenschaftliche Forschung entwickelt wurden.

Rollen der Akteure

Die Hauptadressaten der KI-VO sind:

Anbieter („Provider“)
Betreiber („Deployer“)
Einführer („Importer“)
Händler („Distributor“)

Unternehmen können je nach Einsatz ihrer KI-Systeme eine oder mehrere dieser Rollen übernehmen, was unterschiedliche Pflichten nach sich zieht.

Pflichten von Anbietern und Betreibern

Hochrisiko-KI-Systeme

Anbieter und Betreiber von Hochrisiko-KI-Systemen müssen:

Risikomanagementssysteme implementieren
Technische Dokumentationen erstellen und pflegen
Transparenzpflichten erfüllen und systembezogene Informationen bereitstellen
Menschliche Aufsicht gewährleisten
Protokollierung von Ereignissen während des gesamten Lebenszyklus des KI-Systems sicherstellen

Begrenztes Risiko

Für KI-Systeme mit begrenztem Risiko sind vor allem Transparenzmaßnahmen erforderlich. Dazu gehört beispielsweise die Kennzeichnung von Inhalten, die durch KI generiert oder manipuliert wurden, um Täuschungen zu vermeiden.

Minimales Risiko

Diese Systeme erfordern keine spezifischen Maßnahmen gemäß der KI-VO, können jedoch freiwillig Verhaltenskodizes befolgen, um zusätzliches Vertrauen bei den Nutzern zu schaffen.

Sanktionen und Durchsetzung

Verstöße gegen die KI-VO können erhebliche Geldbußen von bis zu 35 Millionen Euro oder 7 % des weltweiten Vorjahresumsatzes der Unternehmensgruppe nach sich ziehen. Zusätzlich können Schadensersatzansprüche aus anderen Rechtsgebieten geltend gemacht werden. Die Durchsetzung erfolgt durch nationale Aufsichtsbehörden sowie spezialisierte EU-Institutionen wie das KI-Büro.

Handlungsempfehlungen für Unternehmen

Um die KI-VO erfolgreich umzusetzen, sollten Unternehmen folgende Schritte einleiten:

Entwicklung eines KI-Compliance-Frameworks
• Bestimmen Sie eine klare Zuständigkeit für KI-Compliance, zum Beispiel durch Ernennung eines KI-Beauftragten
• Erarbeiten Sie interne Leitlinien, die an andere bestehende Compliance- und Datenschutzregelungen anknüpfen. Darin sollten Sie definieren, an welchen Stellen KI-Systeme zum Einsatz kommen dürfen, welche Risikobewertungen stattfinden und wie Verstöße zu handhaben sind.
• Behalten Sie gesetzliche Änderungen und technologische Entwicklungen im Blick und passen Sie Ihr KI-Compliance-Framework regelmäßig an neue Anforderungen an.
Mapping aller KI-Systeme
• Verschaffen Sie sich einen Überblick über alle KI-Systeme, die in Ihrem Unternehmen laufen – auch bei Zulieferern und Drittanbietern. Oft gelangen KI-Funktionen „durch die Hintertür“ in Form automatischer Updates in den Betrieb.
• Bewerten Sie jedes identifizierte KI-System anhand der Kategorien der KI-VO (verboten, hochrisiko, begrenzt, minimal). Je präziser Sie die Kriterien bei der Einstufung dokumentieren, desto sicherer sind Sie im Austausch mit Aufsichtsbehörden.
• Pflegen Sie ein zentrales Verzeichnis aller KI-Systeme mit allen relevanten Informationen wie Zweck, Funktionsumfang, Datenarten und Zuständigkeiten. Aktualisieren Sie dieses Verzeichnis regelmäßig, um auf dem neuesten Stand zu bleiben.
Umsetzung erster Maßnahmen
• Schulen Sie Ihre Mitarbeiter hinsichtlich Chancen und Risiken von KI-Systemen.
• Stellen Sie sicher, dass bei Interaktionen mit KI-Systemen deutlich wird, dass es sich um KI handelt. Kennzeichnen Sie KI-generierte Inhalte (z. B. Deepfakes) gemäß den Vorgaben der KI-VO und machen Sie transparent, auf welcher Datenbasis ein System agiert.
• Halten Sie regelmäßig fest, wie Ihr KI-System entworfen und trainiert wurde, welche Daten verwendet werden und welche Prüfungen stattgefunden haben.
Ausbau eines Monitorings und kontinuierlicher Optimierung
• Integrieren Sie ein Monitoring-Konzept, mit dem Sie die Leistungsfähigkeit und Regelkonformität der KI-Systeme fortlaufend prüfen können. Reagieren Sie schnell auf etwaige Fehlermeldungen oder Sicherheitslücken.
• Planen Sie interne oder externe Audits ein, um die Wirksamkeit Ihres KI-Compliance-Frameworks zu überprüfen. So können Sie Defizite frühzeitig erkennen und Optimierungsmaßnahmen einleiten.
• Binden Sie Anwender sowie Betroffene ein, damit Rückmeldungen zu unerwarteten Ergebnissen oder Fehlverhalten des KI-Systems zeitnah ausgetauscht und in Verbesserungsprozesse aufgenommen werden können.
Einbindung externer Expertise
Sollten Sie Fragen oder Probleme bei der Umsetzung haben, unterstützt Sie die Kanzlei Gabler & Hendel hierbei.
Risiken entlang der Lieferkette adressieren
Prüfen Sie, welche KI-Systeme durch Lieferanten, Dienstleister und Partner in Ihr Unternehmen gelangen. Stellen Sie in Verträgen klar, dass diese Systeme ebenfalls KI-VO-Anforderungen erfüllen müssen.
Kommunikations- und Krisenmanagement aufbauen
• Sorgen Sie dafür, dass alle relevanten Abteilungen – von der IT bis HR – über Neuerungen und Pflichten in Bezug auf KI-Compliance auf dem Laufenden sind.
• Legen Sie im Vorfeld hinreichende Prozesse fest, um bei Verdachtsfällen oder tatsächlichen Regelverstößen rasch reagieren und angemessen informieren zu können.

Fazit

Die EU-KI-Verordnung stellt einen wichtigen Schritt zur Schaffung eines sicheren und vertrauenswürdigen Umfelds für den Einsatz Künstlicher Intelligenz dar. Unternehmen sind gefordert, sich frühzeitig mit den neuen Regelungen auseinanderzusetzen und entsprechende Compliance-Maßnahmen zu implementieren. Insbesondere die Sensibilisierung der Mitarbeitenden und die Etablierung eines robusten KI-Managements sind entscheidende Faktoren für die erfolgreiche Einhaltung der Verordnung. Durch proaktive Maßnahmen können Unternehmen nicht nur rechtliche Risiken minimieren, sondern auch das Vertrauen ihrer Kunden und Partner stärken.

0 Kommentare

Dein Kommentar

An Diskussion beteiligen?
Hinterlassen Sie uns Ihren Kommentar!