KI-Verordnung: Neue Anforderungen für Organisationen

12. Februar 2025

Allgemein

Die Europäische Union hat mit der KI-Verordnung (KI-VO) einen umfassenden Rechtsrahmen geschaffen, der den sicheren und verantwortungsvollen Einsatz Künstlicher Intelligenz (KI) reguliert. Ziel ist es, Innovation zu fördern, Risiken zu minimieren und den Schutz grundlegender Rechte zu gewährleisten. Die Verordnung unterteilt KI-Systeme in verschiedene Risikokategorien und stellt klare Anforderungen an Anbieter, Betreiber und Nutzer.

Die Risikokategorien der KI-VO

Die KI-VO differenziert zwischen vier Risikoklassen:

  • Unannehmbares Risiko (verbotene KI-Praktiken): Systeme, die Menschen manipulieren, soziale Bewertungen (Social Scoring) durchführen oder das Verhalten von Personen auf unzulässige Weise beeinflussen, sind verboten. Auch der Einsatz von KI zur Verhaltensüberwachung mit unzulässigen Eingriffen in Grundrechte fällt in diese Kategorie.
  • Hohes Risiko (Hochrisiko-KI-Systeme): KI-Anwendungen, die in sensiblen Bereichen wie Medizin, Justiz, Personalmanagement oder kritischer Infrastruktur eingesetzt werden, unterliegen strengen Vorgaben. Diese betreffen unter anderem die Datenqualität, Risikoanalyse, Dokumentationspflichten, menschliche Kontrolle und Transparenz.
  • Begrenztes Risiko: Systeme mit begrenztem Risiko müssen Transparenzanforderungen erfüllen. Nutzer müssen darüber informiert werden, dass sie mit einer KI interagieren. Dazu gehören beispielsweise Chatbots, die Kundensupport leisten, oder KI-generierte Inhalte wie Deepfake-Technologien. Die Informationen über den KI-Einsatz müssen für den Nutzer eindeutig erkennbar sein.
  • Minimales Risiko: Hierunter fallen die meisten KI-Anwendungen, wie Spam-Filter oder Videospiel-KIs. Diese Systeme arbeiten zwar autonom, haben aber nur geringe Auswirkungen auf die Rechte oder Sicherheit von Personen. Daher gelten für sie keine spezifischen regulatorischen Vorgaben außer allgemeinen Best Practices zur sicheren Nutzung von KI.

Was ist ein KI-Modell?

Die Verordnung definiert ein KI-Modell als eine algorithmische Grundlage eines KI-Systems. Es handelt sich um eine trainierte mathematische Struktur, die Vorhersagen oder Entscheidungen trifft, jedoch selbst keine direkte Anwendung darstellt. Ein KI-Modell ist die Basis für verschiedene KI-Systeme, die in unterschiedlichen Kontexten eingesetzt werden können.

Ein KI-System hingegen ist eine konkrete Anwendung eines oder mehrerer KI-Modelle. Es verarbeitet Eingaben, erzeugt Ergebnisse und interagiert mit Nutzern oder anderen Systemen. Während ein KI-Modell wie GPT-4 lediglich die grundlegenden Funktionen bereitstellt, wird es erst durch die Implementierung in eine Software wie ChatGPT oder einen virtuellen Assistenten zu einem KI-System. KI-Systeme unterliegen je nach Einsatzzweck spezifischen regulatorischen Anforderungen der KI-VO.

Wer ist von der KI-VO betroffen?

Die KI-VO betrifft alle Akteure, die KI-Systeme in der EU entwickeln, vertreiben oder einsetzen. Dazu zählen:

  • Anbieter: Unternehmen, die KI-Software oder -Systeme bereitstellen.
  • Betreiber: Organisationen, die KI-Tools in ihren Prozessen einsetzen.
  • Importeure und Händler: Akteure, die KI-Systeme in den EU-Markt einführen oder verkaufen.
  • Internationale Unternehmen: Auch außerhalb der EU ansässige Unternehmen sind betroffen, wenn ihre KI-Systeme in der EU genutzt werden.
  • Privatpersonen: Grundsätzlich gilt die KI-VO nicht für natürliche Personen, die KI-Systeme ausschließlich für persönliche und nicht berufliche Zwecke nutzen. Allerdings kann die Verordnung greifen, wenn Privatpersonen KI-Systeme der Öffentlichkeit zugänglich machen oder diese kommerziell nutzen. Ein Beispiel ist die Bereitstellung eines KI-gestützten Online-Dienstes, bei dem die Betreiberpflichten der Verordnung beachtet werden müssen.

KI-VO und Open-Source-Software

Die KI-VO gilt grundsätzlich auch für Open-Source-KI-Systeme. Allerdings sieht die Verordnung bestimmte Erleichterungen für Open-Source-Projekte vor, insbesondere wenn sie nicht kommerziell genutzt werden. Dennoch gelten auch hier Mindeststandards in Bezug auf Sicherheit und Transparenz.

Transparenzanforderungen und Deepfake-Kennzeichnung

Die Verordnung stellt klare Vorgaben für die Transparenz von KI-Systemen auf:

  • Kennzeichnungspflicht für synthetische Inhalte: Inhalte, die durch KI generiert oder manipuliert wurden (z. B. Deepfakes), müssen entsprechend gekennzeichnet sein. Dies betrifft insbesondere Bild-, Ton- und Videomaterial, das echte Personen, Objekte oder Szenarien täuschend echt darstellt.
  • Technische Umsetzung der Kennzeichnung: Die Kennzeichnung muss für Nutzer eindeutig und maschinenlesbar erfolgen. Dies kann durch Wasserzeichen, Metadaten oder visuelle Hinweise innerhalb des Mediums geschehen.
  • Erklärbarkeit: Hochrisiko-KI-Systeme müssen nachvollziehbare Entscheidungsprozesse aufweisen. Dies dient dazu, die Funktionsweise und die zugrunde liegenden Algorithmen für Nutzer und Regulierungsbehörden transparenter zu machen.
  • Nutzerinformation: Nutzer müssen darüber informiert werden, wenn sie mit einer KI interagieren. Dies gilt insbesondere für Chatbots, automatisierte Empfehlungssysteme und Entscheidungsunterstützungssysteme.
  • Ausnahmen: In bestimmten Kontexten, wie Kunst oder Satire, können die Anforderungen gelockert sein, solange keine Täuschungsabsicht vorliegt. Die genaue Umsetzung dieser Ausnahmen bedarf jedoch noch weiterer regulatorischer Klarstellungen.

Pflicht zur KI-Kompetenz

Unternehmen, die KI-Systeme einsetzen, sind verpflichtet, sicherzustellen, dass die mit der KI arbeitenden Personen über die notwendige Kompetenz verfügen. Dies umfasst insbesondere Schulungen für den Umgang mit Hochrisiko-KI-Systemen, jedoch besteht keine ausdrückliche Schulungspflicht in der Verordnung.

Wechselwirkungen mit der Datenschutz-Grundverordnung (DSGVO)

Die KI-VO steht in engem Zusammenhang mit der DSGVO. Da KI-Systeme oft personenbezogene Daten verarbeiten, müssen sowohl die Anforderungen der DSGVO als auch die der KI-VO erfüllt werden.

  • Geltungsbereich: Während die DSGVO den Schutz personenbezogener Daten regelt, fokussiert sich die KI-VO auf die Sicherheit, Transparenz und Risiken von KI-Systemen. Beide Verordnungen gelten parallel, sofern eine KI personenbezogene Daten verarbeitet.
  • Transparenzpflichten: Die DSGVO verpflichtet Unternehmen, Betroffene über die Datenverarbeitung zu informieren (Art. 13, 14 DSGVO). Die KI-VO ergänzt dies durch Transparenzanforderungen für KI-generierte Inhalte, insbesondere Deepfakes.
  • Rechtsgrundlagen: Jede Verarbeitung personenbezogener Daten durch eine KI muss eine rechtliche Grundlage nach der DSGVO haben (z. B. Einwilligung oder berechtigtes Interesse). Die KI-VO stellt zusätzliche Anforderungen an Hochrisiko-KI-Systeme, die im Beschäftigungs- oder Gesundheitskontext eingesetzt werden.
  • Dokumentations- und Prüfpflichten: Die DSGVO verlangt ein Verzeichnis der Verarbeitungstätigkeiten und ggf. eine Datenschutz-Folgenabschätzung (Art. 35 DSGVO). Die KI-VO schreibt für Hochrisiko-KI-Systeme zusätzliche Risikoanalysen und Konformitätsbewertungen vor.
  • Rechte der Betroffenen: Die DSGVO sichert Betroffenen Rechte wie Auskunft, Berichtigung und Löschung zu. KI-basierte Entscheidungen müssen nachvollziehbar sein, sodass eine automatisierte Entscheidungsfindung nicht ohne menschliche Kontrolle erfolgen darf (Art. 22 DSGVO).

Unternehmen, die KI-Technologien einsetzen, müssen daher nicht nur die spezifischen Vorschriften der KI-VO beachten, sondern auch sicherstellen, dass alle datenschutzrechtlichen Anforderungen nach der DSGVO erfüllt werden.

Bereitstellung von KI-Anwendungen für Beschäftigte

Wenn Unternehmen KI-gestützte Anwendungen wie ChatGPT ihren Beschäftigten zur Verfügung stellen, ergeben sich mehrere rechtliche Pflichten:

  • Datenschutzrechtliche Prüfung: Unternehmen müssen prüfen, ob personenbezogene Daten durch die KI verarbeitet werden und ob die Nutzung datenschutzkonform erfolgt. Dies kann eine Datenschutz-Folgenabschätzung (Art. 35 DSGVO) erforderlich machen.
  • Informationspflichten: Beschäftigte müssen über den Einsatz der KI-Anwendung informiert werden, insbesondere über die Art der Verarbeitung, die Zwecke und mögliche Auswirkungen.
  • Nutzungskontrolle: Arbeitgeber sollten sicherstellen, dass die Nutzung der KI-Anwendung auf dienstliche Zwecke beschränkt bleibt und keine sensiblen oder vertraulichen Unternehmensdaten ungeschützt verarbeitet werden.
  • Richtlinien und Schulungen: Unternehmen sollten interne Richtlinien für den Umgang mit KI-Anwendungen einführen und sicherstellen, dass Beschäftigte über die Risiken und verantwortungsvolle Nutzung informiert sind.

Weitere regulatorische Anforderungen

Neben der KI-VO sind weitere Gesetze zu berücksichtigen, darunter:

  • DSGVO (Datenschutz-Grundverordnung), insbesondere bei der Verarbeitung personenbezogener Daten.
  • Produktsicherheitsrichtlinien der EU, wenn KI in physischen Produkten integriert ist.
  • Urheber- und Haftungsrecht, insbesondere bei generativer KI.

Fazit

Die KI-VO bringt erhebliche rechtliche Anforderungen für Unternehmen und Organisationen mit sich. Anbieter und Betreiber müssen sich intensiv mit den neuen Vorschriften auseinandersetzen, um Compliance-Risiken zu vermeiden.

Haben Sie Fragen zur KI-Verordnung und deren Auswirkungen auf Ihr Unternehmen? Kontaktieren Sie uns für eine Erstberatung.

Sie sind sich nicht sicher, ob Ihre Organisation unter den Anwendungsbereich der KI-VO fällt? Machen Sie den Test mit dem kostenlosen Klick-Tool des Bitkom.