Update zur KI-Verordnung

Der Bundesdigitalminister hat mit dem „KI-Service Desk“ ein neues Beratungsangebot der Bundesnetzagentur vorgestellt. Es richtet sich insbesondere an kleine und mittlere Unternehmen und soll sie dabei unterstützen, die EU-KI-VO rechtssicher umzusetzen. Dazu stellt der Service Desk praxisnahe Informationen bereit, wie etwa zur Einordnung von KI-Systemen in Risikoklassen mithilfe des neuen Tools der Bundesnetzagentur, dem „interaktiven Compliance Kompass“. Dieser hilft Unternehmen, die jeweils geltenden Compliance-Pflichten zu identifizieren, die je nach Risikoklasse und Rolle (ob Entwickler oder Anwender) unterschiedlich ausfallen. Zusätzlich informiert der Service Desk über Schulungsangebote zum Erwerb von KI-Kompetenz gemäß Art. 4 KI-VO.

Die Einrichtung des KI-Service Desk ist ein deutlicher Hinweis darauf, dass die Bundesnetzagentur künftig die zentrale Ansprechpartnerin für die Umsetzung der Verordnung sein wird. Ihre offizielle Benennung zur Marktüberwachungsbehörde muss bis spätestens 2. August 2025 erfolgen. Erste Kontakte sind schon jetzt über den KI-Service Desk möglich.

Die Pflicht zur KI-Kompetenz nach Art. 4 KI-VO

Seit dem 2. Februar gilt Art. 4 KI-VO, der Unternehmen verpflichtet, sicherzustellen, dass alle Personen, die mit dem Betrieb oder der Nutzung von KI-Systemen zu tun haben, mit ausreichender KI-Kompetenz ausgestattet sind. Dies betrifft nicht nur eigene Mitarbeitende, sondern auch externe Dienstleister, Auftragnehmer oder Kunden, sofern sie organisatorisch eingebunden sind.

Die Verordnung selbst legt jedoch nicht genau fest, wie diese Kompetenz in der Praxis vermittelt oder nachgewiesen werden soll. Bisher diente nur die allgemeine Definition aus Art. 3 Nr. 56 KI-VO als Orientierung, wonach KI-Kompetenz das Wissen, die Fähigkeiten und das Verständnis umfasst, KI-Systeme sachkundig zu nutzen und deren Risiken zu erkennen.

Mittlerweile hat die EU-Kommission in einem FAQ-Katalog präzisiert, was unter KI-Kompetenz zu verstehen ist. Ziel von Art. 4 ist demnach, Mitarbeitenden die nötigen Fähigkeiten, Kenntnisse und das Verständnis für die eingesetzten Systeme zu vermitteln – unter Berücksichtigung ihrer Vorerfahrung, Ausbildung und Schulung. Es gibt jedoch keine starren Vorgaben oder verpflichtenden Inhalte. Stattdessen betont die Kommission die Notwendigkeit von Flexibilität angesichts der Vielfalt und Dynamik im KI-Bereich.

Hilfestellung bietet eine veröffentlichte Liste mit Mindestanforderungen, etwa zur Funktionsweise von KI, ihrem Einsatz im Unternehmen, unterschiedlichen Rollen (Anbieter oder Betreiber) sowie einem risikobewussten Umgang mit KI-Systemen – auch bei scheinbar einfachen Anwendungen wie ChatGPT.

Für die Einhaltung von Art. 4 KI-VO ist kein offizielles Zertifikat erforderlich. Unternehmen können Schulungen oder andere Maßnahmen intern dokumentieren.

Was droht bei Nichteinhaltung?

Art. 99 KI-VO enthält gestaffelte Bußgeldsanktionen. Die Durchsetzung der KI-VO erfolgt verhältnismäßig und berücksichtigt Faktoren wie Schwere und Art eines Verstoßes sowie dessen Vorsätzlichkeit oder Fahrlässigkeit. Das lässt sich für Verstöße, die nachweislich auf unzureichende Schulung zurückzuführen sind, wahrscheinlicher bejahen.

Art. 4 KI-VO ist seit dem 2. Februar 2025 in Kraft, wodurch Unternehmen bereits jetzt verpflichtet sind, Maßnahmen zur Förderung der KI-Kompetenz ihrer Mitarbeitenden zu ergreifen. Sanktionen bei Nichteinhaltung sind durch nationale Marktüberwachungsbehörden möglich, doch insbesondere die Konsequenzen eines Verstoßes gegen Art. 4 KI-VO sind vom deutschen Gesetzgeber noch zu klären. Laut EU-Kommission werden die nationalen Marktüberwachungsbehörden erst ab dem 2. August 2026 mit der Überwachung und Durchsetzung der Vorschriften beginnen. 

Ausblick

Die EU-Kommission plant eine Anleitung für KI-Kompetenz durch weitere Praxisbeispiele, Webinare und Erläuterungen in ihrem FAQ bereitzustellen. Eine spezielle Webseite der EU-Kommission zu KI-Kompetenzen und -Fähigkeiten ist in Vorbereitung. Weitere Orientierung bietet neben dem FAQ der EU-Kommission auch der KI-Pakt der EU, in dem mehrere Unternehmen auf über 70 Seiten ihre Ansätze zur Umsetzung von Art. 4 KI-VO zusammengetragen haben.

Jeder, der ein KI-System in eigener Verantwortung nutzt, gilt als Betreiber. Somit fallen alle Unternehmen, die KI-Tools oder Software einsetzen, unter den Anwendungsbereich der KI-Verordnung und sind somit bestimmten Pflichten unterworfen. Die ersten Anforderungen der KI-Verordnung treten bereits am 02. Februar 2025 in Kraft.

Diese Anforderungen treten bereits am 2. Februar 2025 in Kraft:

• Kompetenzanforderungen

Der Art. 4 KI-VO legt fest, dass Unternehmen bei allen Mitarbeitenden, die mit KI-Systemen arbeiten, die dafür erforderliche KI-Kompetenz sicherstellen müssen. Das bedeutet im Einzelnen:

• Schulung und Weiterbildung: Unternehmen sind verpflichtet, ihre Mitarbeitenden regelmäßig zu schulen und weiterzubilden, um sicherzustellen, dass sie die technischen und ethischen Aspekte von KI-Systemen verstehen.

• Bewusstsein für Risiken: Mitarbeitende sollen die potenziellen Risiken und Auswirkungen von KI-Systemen erkennen und angemessen darauf reagieren können.

• Verbotene Praktiken

Der Art. 5 KI-VO verbietet bestimmte Praktiken im Zusammenhang mit KI-Systemen, die als unvertretbares Risiko gelten. Dazu gehören

• Manipulative Techniken: Der Einsatz von KI-Systemen, die Menschen auf unterschwellige Weise beeinflussen oder manipulieren, um ihr Verhalten zu ändern, ist verboten.

• Ausnutzung von Schwachstellen: KI-Systeme dürfen nicht die Schwächen bestimmter Personengruppen (z. B. Kinder oder Menschen mit Behinderungen) ausnutzen.

• Soziale Bewertung: Die Verwendung von KI-Systemen zur sozialen Bewertung von Personen durch Behörden ist untersagt.

• Biometrische Fernidentifizierung: Der Einsatz von KI zur biometrischen Fernidentifizierung im öffentlichen Raum ist nur unter strengen Bedingungen erlaubt.

Diese Anforderungen treten am 2. August 2025 in Kraft.

• Transparenzpflichten
  Art. 50 Abs. 4 KI-VO enthält Transparenzpflichten für Anbieter und Betreiber von bestimmten KI-Systemen. Darunter fallen KI-Systeme, die Bild-, Audio- oder Videoinhalte erzeugen oder manipulieren bzw. einen Deep Fake darstellen. Das Unternehmen muss in dem Fall offenlegen, dass die Inhalte künstlich erzeugt oder manipuliert wurden.
  
  

Zusammenfassung der Betreiberpflichten

Unternehmen als Betreiber von KI-Systemen müssen nun also sicherstellen, dass sie die Vorgaben der KI-VO einhalten. Dafür sollten alle KI-Anwendungen im Unternehmen erfasst und den entsprechenden Risikokategorien zugeordnet werden. Unternehmen sollten überprüfen, ob ihre Systeme den Anforderungen der KI-VO entsprechen und sicherstellen, dass ihre KI-Systeme keine verbotenen Praktiken anwenden. Mit KI beschäftigte Mitarbeitende sollten hinreichend geschult werden, um die erforderliche KI-Kompetenz zu erhalten. Ebenso sind Transparenzpflichten für bestimmte KI-Systeme zu beachten.

• Zusätzliche Pflichten für Anbieter
  Anbieter von KI-Modellen sind darüber hinaus dazu verpflichtet, im gesamten Lebenszyklus ihrer KI-Systeme für Konformität zu sorgen. Gemäß Art. 53 KI-VO ist eine technische Dokumentation zu erstellen und regelmäßig zu aktualisieren. Das umfasst eine kontinuierliche Überwachung der Modelle, regelmäßige Updates und bei wesentlichen Änderungen am KI-System eine erneute Bewertung und Meldung an die zuständigen Behörden. Hinzu kommen umfangreiche Informations- und Warnhinweise für Betreiber oder Endnutzer, damit diese ihrerseits ihren Pflichten nachkommen können.
  
  

Fazit

Mit der KI-VO rücken Rechtskonformität, Sicherheit und Vertrauen noch stärker in den Fokus. Unternehmen, die frühzeitig entsprechende Maßnahmen einleiten, sichern sich nicht nur einen Wettbewerbsvorteil, sondern bauen auch eine stabile Basis für nachhaltig verantwortungsvolles Handeln auf. Eine sorgfältige Planung, fortlaufende Risikobewertung sowie die Schulung aller Mitarbeitenden zu den relevanten KI-Pflichten sind dabei essenziell. Nur so lassen sich potenzielle Risiken minimieren und zugleich die vielfältigen Vorteile von KI-Technologien voll ausschöpfen.

  Wie wirkt sich das EU-KI-Gesetz auf Ihr KI-System aus? Machen Sie jetzt den EU AI Act Compliance Check

Ziele der KI-Verordnung

Gefördert werden soll insbesondere die Entwicklung vertrauenswürdiger und rechtssicherer Systeme, wobei die EU durch diese Verordnung eine Führungsrolle einnehmen soll. Laut Brando Benifei, dem Ko-Berichterstatter des Binnenmarktausschusses, handele es sich bei der Verordnung um „das weltweit erste verbindliche Gesetz zur künstlichen Intelligenz, um Risiken zu reduzieren, Chancen zu schaffen, Diskriminierung zu bekämpfen und Transparenz zu gewährleisten.“

Die wohl wichtigste Definition der Verordnung ist die des „KI-Systems“. Dies ist gem. Art. 3 Abs. 1 KI-VO „ein maschinengestütztes System, das so konzipiert ist, dass es mit unterschiedlichem Grad an Autonomie betrieben werden kann, das nach der Einführung Anpassungsfähigkeit zeigen kann und das für explizite oder implizite Ziele aus den Eingaben, die es erhält, ableitet, wie es Ergebnisse Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen erzeugen kann, die physische oder virtuelle Umgebungen beeinflussen können“.

Einordnung der Risikostufen

Die Verordnung ordnet KI-Systeme nach ihrem Risiko ein. Es wird zwischen unannehmbaren Risiken, hohen Risiken, begrenzten Risiken und geringen Risiken differenziert:

• Unannehmbare Risiken, etwa manipulative oder täuschende Techniken, sind verboten.
• Für Hochrisikosysteme, wie beispielsweise autonome Fahrzeuge, gelten besonders strenge Anforderungen und Kontrollpflichten im Gegensatz zu Systemen mit begrenztem Risiko, wie zum Beispiel Chatbots.
• Entwickler und Betreiber von KI-Systemen mit begrenztem Risiko müssen beachten, dass der Endnutzer wissen muss, dass er mit KI interagiert.
• KI-Systeme mit geringem Risiko, wie beispielsweise einfache Spamfilter, unterliegen derzeit keinen Anforderungen.

Anwendungsbereich der KI-Verordnung

Die KI-VO richtet sich an verschiedene Adressaten, wobei die meisten Verpflichtungen die „Anbieter“ von KI-Systemen trifft. Anbieter sind Unternehmen, welche entsprechende Systeme entwickeln oder in der EU in den Verkehr bringen. Nutzer meint dagegen nicht den Endnutzer eines KI-Systems, sondern natürliche oder juristische Personen, welche die Systeme beruflich einsetzen.

Inkrafttreten der KI-Verordnung

Die Verordnung wird am 20. Tag nach der Veröffentlichung im Amtsblatt der EU-Inkrafttreten, dies wird voraussichtlich im zweiten Quartal des Jahres 2024 sein, wobei Übergangsfristen für verschiedene Pflichten geregelt sind.

Pflichten für Ihr Unternehmen

Mit der neuen KI-VO können durchaus umfangreiche Pflichten für Unternehmen entstehen, welche KI-Systeme anbieten. Maßgeblich ist dabei insbesondere die Einordnung in die verschiedenen Risikostufen. Gerade produzierende Unternehmen, welche die Nutzung von KI-Systemen nutzen oder dies planen, sollten die neue Verordnung im Blick behalten und gegebenenfalls eine Kategorisierung nach Risiken vornehmen. Darüber hinaus dürfte sich vor allem für den Endnutzer ein Mehrwert ergeben, da der Einsatz von KI in der EU durch die Verordnung künftig rechtssicherer werden wird.