15.01.25 09:54Lesedauer: 7 Min | Legal News, KI-Verordnung

Update zur KI-Verordnung

Compliance Update vom 13. Januar 2025

Jeder, der ein KI-System in eigener Verantwortung nutzt, gilt als Betreiber. Somit fallen alle Unternehmen, die KI-Tools oder Software einsetzen, unter den Anwendungsbereich der KI-Verordnung und sind somit bestimmten Pflichten unterworfen. Die ersten Anforderungen der KI-Verordnung treten bereits am 02. Februar 2025 in Kraft.

Diese Anforderungen treten bereits am 2. Februar 2025 in Kraft:

Kompetenzanforderungen

Der Art. 4 KI-VO legt fest, dass Unternehmen bei allen Mitarbeitenden, die mit KI-Systemen arbeiten, die dafür erforderliche KI-Kompetenz sicherstellen müssen. Das bedeutet im Einzelnen:

Schulung und Weiterbildung: Unternehmen sind verpflichtet, ihre Mitarbeitenden regelmäßig zu schulen und weiterzubilden, um sicherzustellen, dass sie die technischen und ethischen Aspekte von KI-Systemen verstehen.

Bewusstsein für Risiken: Mitarbeitende sollen die potenziellen Risiken und Auswirkungen von KI-Systemen erkennen und angemessen darauf reagieren können.

Verbotene Praktiken

Der Art. 5 KI-VO verbietet bestimmte Praktiken im Zusammenhang mit KI-Systemen, die als unvertretbares Risiko gelten. Dazu gehören

Manipulative Techniken: Der Einsatz von KI-Systemen, die Menschen auf unterschwellige Weise beeinflussen oder manipulieren, um ihr Verhalten zu ändern, ist verboten.

Ausnutzung von Schwachstellen: KI-Systeme dürfen nicht die Schwächen bestimmter Personengruppen (z. B. Kinder oder Menschen mit Behinderungen) ausnutzen.

Soziale Bewertung: Die Verwendung von KI-Systemen zur sozialen Bewertung von Personen durch Behörden ist untersagt.

Biometrische Fernidentifizierung: Der Einsatz von KI zur biometrischen Fernidentifizierung im öffentlichen Raum ist nur unter strengen Bedingungen erlaubt.

Diese Anforderungen treten am 2. August 2025 in Kraft.

Transparenzpflichten
Art. 50 Abs. 4 KI-VO enthält Transparenzpflichten für Anbieter und Betreiber von bestimmten KI-Systemen. Darunter fallen KI-Systeme, die Bild-, Audio- oder Videoinhalte erzeugen oder manipulieren bzw. einen Deep Fake darstellen. Das Unternehmen muss in dem Fall offenlegen, dass die Inhalte künstlich erzeugt oder manipuliert wurden.

Zusammenfassung der Betreiberpflichten

Unternehmen als Betreiber von KI-Systemen müssen nun also sicherstellen, dass sie die Vorgaben der KI-VO einhalten. Dafür sollten alle KI-Anwendungen im Unternehmen erfasst und den entsprechenden Risikokategorien zugeordnet werden. Unternehmen sollten überprüfen, ob ihre Systeme den Anforderungen der KI-VO entsprechen und sicherstellen, dass ihre KI-Systeme keine verbotenen Praktiken anwenden. Mit KI beschäftigte Mitarbeitende sollten hinreichend geschult werden, um die erforderliche KI-Kompetenz zu erhalten. Ebenso sind Transparenzpflichten für bestimmte KI-Systeme zu beachten.

Zusätzliche Pflichten für Anbieter
Anbieter von KI-Modellen sind darüber hinaus dazu verpflichtet, im gesamten Lebenszyklus ihrer KI-Systeme für Konformität zu sorgen. Gemäß Art. 53 KI-VO ist eine technische Dokumentation zu erstellen und regelmäßig zu aktualisieren. Das umfasst eine kontinuierliche Überwachung der Modelle, regelmäßige Updates und bei wesentlichen Änderungen am KI-System eine erneute Bewertung und Meldung an die zuständigen Behörden. Hinzu kommen umfangreiche Informations- und Warnhinweise für Betreiber oder Endnutzer, damit diese ihrerseits ihren Pflichten nachkommen können.

Fazit

Mit der KI-VO rücken Rechtskonformität, Sicherheit und Vertrauen noch stärker in den Fokus. Unternehmen, die frühzeitig entsprechende Maßnahmen einleiten, sichern sich nicht nur einen Wettbewerbsvorteil, sondern bauen auch eine stabile Basis für nachhaltig verantwortungsvolles Handeln auf. Eine sorgfältige Planung, fortlaufende Risikobewertung sowie die Schulung aller Mitarbeitenden zu den relevanten KI-Pflichten sind dabei essenziell. Nur so lassen sich potenzielle Risiken minimieren und zugleich die vielfältigen Vorteile von KI-Technologien voll ausschöpfen.

Holen Sie sich die aktuellsten Compliance-News direkt in Ihr Postfach!

Jetzt zum be compliant Newsletter anmelden.

KI-Verordnung

Das Wichtigste für Sie zusammengefasst

Was ist die KI-VO? Die KI-VO (VO (EU) 2024/1689) ist ein von der Europäischen Union verabschiedetes Gesetz, das am 01. August 2024 in Kraft getreten ist und seine Geltung stufenweise entfaltet. Die KI-VO stellt den weltweit ersten umfassenden Rechtsrahmen für Künstliche Intelligenz dar und zielt darauf ab, einheitliche Standards für die Entwicklung sowie den Einsatz und die Vermarktung von KI-Systemen innerhalb der EU zu schaffen.

Wen betrifft die KI-VO?

Die Pflichten der KI-VO differenzieren zwischen verschiedenen Risikokategorien des jeweiligen KI-Systems und Rollen der jeweiligen natürlichen oder juristischen Personen.

• Unter den Betreiberbegriff der KI-VO fällt jede natürliche oder juristische Person, Behörde, Einrichtung oder sonstige Stelle, welche ein KI-System in eigener Verantwortung verwendet.

• Als Anbieter zählen nach der KI-VO natürliche oder juristische Personen, Behörden, Einrichtungen oder sonstige Stellen, die ein KI-System entwickelt oder entwickeln lassen haben, um dieses unter eigenem Namen oder unter der eigenen Handelsmarke in Verkehr zu bringen oder in Betrieb zu nehmen.

• Als Einführer nach der KI-VO gelten in der Union ansässige oder niedergelassene natürliche oder juristische Personen, welche ein KI-System, das den Namen oder die Handelsmarke eines im EU-Ausland niedergelassenen Dritten trägt, in Verkehr bringen.

• Händler nach der KI-VO sind natürliche oder juristische Personen in der Lieferkette, die ein KI-System auf dem EU-Markt bereitstellen und dabei keine Einführer oder Anbieter sind.

Wann tritt die KI-Verordnung der EU in Kraft?

Erste Anforderungen treten bereits am 02. Februar 2025 in Kraft.

Um stets auf dem neuesten Stand im Bereich Compliance zu bleiben, abonnieren Sie einfach kostenlos unseren "be compliant"-Newsletter: Kostenfrei abonnieren

Was sind die Ziele der KI-Verordnung?

Gefördert werden soll insbesondere die Entwicklung vertrauenswürdiger und rechtssicherer Systeme, wobei die EU durch diese Verordnung eine Führungsrolle einnehmen soll. Laut Brando Benifei, dem Ko-Berichterstatter des Binnenmarktausschusses, handele es sich bei der Verordnung um „das weltweit erste verbindliche Gesetz zur künstlichen Intelligenz, um Risiken zu reduzieren, Chancen zu schaffen, Diskriminierung zu bekämpfen und Transparenz zu gewährleisten.“

Die wohl wichtigste Definition der Verordnung ist die des „KI-Systems“. Dies ist gem. Art. 3 Abs. 1 KI-VO „ein maschinengestütztes System, das so konzipiert ist, dass es mit unterschiedlichem Grad an Autonomie betrieben werden kann, das nach der Einführung Anpassungsfähigkeit zeigen kann und das für explizite oder implizite Ziele aus den Eingaben, die es erhält, ableitet, wie es Ergebnisse Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen erzeugen kann, die physische oder virtuelle Umgebungen beeinflussen können“.

Compliance Update vom 25. September 2023

Ziele der KI-Verordnung

Einordnung der Risikostufen

Die Verordnung ordnet KI-Systeme nach ihrem Risiko ein. Es wird zwischen unannehmbaren Risiken, hohen Risiken, begrenzten Risiken und geringen Risiken differenziert:

Unannehmbare Risiken, etwa manipulative oder täuschende Techniken, sind verboten.
Für Hochrisikosysteme, wie beispielsweise autonome Fahrzeuge, gelten besonders strenge Anforderungen und Kontrollpflichten im Gegensatz zu Systemen mit begrenztem Risiko, wie zum Beispiel Chatbots.
Entwickler und Betreiber von KI-Systemen mit begrenztem Risiko müssen beachten, dass der Endnutzer wissen muss, dass er mit KI interagiert.
KI-Systeme mit geringem Risiko, wie beispielsweise einfache Spamfilter, unterliegen derzeit keinen Anforderungen.

Anwendungsbereich der KI-Verordnung

Die KI-VO richtet sich an verschiedene Adressaten, wobei die meisten Verpflichtungen die „Anbieter“ von KI-Systemen trifft. Anbieter sind Unternehmen, welche entsprechende Systeme entwickeln oder in der EU in den Verkehr bringen. Nutzer meint dagegen nicht den Endnutzer eines KI-Systems, sondern natürliche oder juristische Personen, welche die Systeme beruflich einsetzen.

Inkrafttreten der KI-Verordnung

Die Verordnung wird am 20. Tag nach der Veröffentlichung im Amtsblatt der EU-Inkrafttreten, dies wird voraussichtlich im zweiten Quartal des Jahres 2024 sein, wobei Übergangsfristen für verschiedene Pflichten geregelt sind.

Pflichten für Ihr Unternehmen

Mit der neuen KI-VO können durchaus umfangreiche Pflichten für Unternehmen entstehen, welche KI-Systeme anbieten. Maßgeblich ist dabei insbesondere die Einordnung in die verschiedenen Risikostufen. Gerade produzierende Unternehmen, welche die Nutzung von KI-Systemen nutzen oder dies planen, sollten die neue Verordnung im Blick behalten und gegebenenfalls eine Kategorisierung nach Risiken vornehmen. Darüber hinaus dürfte sich vor allem für den Endnutzer ein Mehrwert ergeben, da der Einsatz von KI in der EU durch die Verordnung künftig rechtssicherer werden wird.