Compliance Blog

Update zur KI-Verordnung

Geschrieben von Admin | 15.01.25 08:54

Compliance Update vom 13. Januar 2025

Jeder, der ein KI-System in eigener Verantwortung nutzt, gilt als Betreiber. Somit fallen alle Unternehmen, die KI-Tools oder Software einsetzen, unter den Anwendungsbereich der KI-Verordnung und sind somit bestimmten Pflichten unterworfen. Die ersten Anforderungen der KI-Verordnung treten bereits am 02. Februar 2025 in Kraft.

Diese Anforderungen treten bereits am 2. Februar 2025 in Kraft:

  • Kompetenzanforderungen

Der Art. 4 KI-VO legt fest, dass Unternehmen bei allen Mitarbeitenden, die mit KI-Systemen arbeiten, die dafür erforderliche KI-Kompetenz sicherstellen müssen. Das bedeutet im Einzelnen:

  • Schulung und Weiterbildung: Unternehmen sind verpflichtet, ihre Mitarbeitenden regelmäßig zu schulen und weiterzubilden, um sicherzustellen, dass sie die technischen und ethischen Aspekte von KI-Systemen verstehen.

  • Bewusstsein für Risiken: Mitarbeitende sollen die potenziellen Risiken und Auswirkungen von KI-Systemen erkennen und angemessen darauf reagieren können.


  • Verbotene Praktiken

Der Art. 5 KI-VO verbietet bestimmte Praktiken im Zusammenhang mit KI-Systemen, die als unvertretbares Risiko gelten. Dazu gehören

  • Manipulative Techniken: Der Einsatz von KI-Systemen, die Menschen auf unterschwellige Weise beeinflussen oder manipulieren, um ihr Verhalten zu ändern, ist verboten.
  • Ausnutzung von Schwachstellen: KI-Systeme dürfen nicht die Schwächen bestimmter Personengruppen (z. B. Kinder oder Menschen mit Behinderungen) ausnutzen.
  • Soziale Bewertung: Die Verwendung von KI-Systemen zur sozialen Bewertung von Personen durch Behörden ist untersagt.
  • Biometrische Fernidentifizierung: Der Einsatz von KI zur biometrischen Fernidentifizierung im öffentlichen Raum ist nur unter strengen Bedingungen erlaubt.

Diese Anforderungen treten am 2. August 2025 in Kraft.

  • Transparenzpflichten
    Art. 50 Abs. 4 KI-VO enthält Transparenzpflichten für Anbieter und Betreiber von bestimmten KI-Systemen. Darunter fallen KI-Systeme, die Bild-, Audio- oder Videoinhalte erzeugen oder manipulieren bzw. einen Deep Fake darstellen. Das Unternehmen muss in dem Fall offenlegen, dass die Inhalte künstlich erzeugt oder manipuliert wurden.

Zusammenfassung der Betreiberpflichten

Unternehmen als Betreiber von KI-Systemen müssen nun also sicherstellen, dass sie die Vorgaben der KI-VO einhalten. Dafür sollten alle KI-Anwendungen im Unternehmen erfasst und den entsprechenden Risikokategorien zugeordnet werden. Unternehmen sollten überprüfen, ob ihre Systeme den Anforderungen der KI-VO entsprechen und sicherstellen, dass ihre KI-Systeme keine verbotenen Praktiken anwenden. Mit KI beschäftigte Mitarbeitende sollten hinreichend geschult werden, um die erforderliche KI-Kompetenz zu erhalten. Ebenso sind Transparenzpflichten für bestimmte KI-Systeme zu beachten.

  • Zusätzliche Pflichten für Anbieter
    Anbieter von KI-Modellen sind darüber hinaus dazu verpflichtet, im gesamten Lebenszyklus ihrer KI-Systeme für Konformität zu sorgen. Gemäß Art. 53 KI-VO ist eine technische Dokumentation zu erstellen und regelmäßig zu aktualisieren. Das umfasst eine kontinuierliche Überwachung der Modelle, regelmäßige Updates und bei wesentlichen Änderungen am KI-System eine erneute Bewertung und Meldung an die zuständigen Behörden. Hinzu kommen umfangreiche Informations- und Warnhinweise für Betreiber oder Endnutzer, damit diese ihrerseits ihren Pflichten nachkommen können.

Fazit

Mit der KI-VO rücken Rechtskonformität, Sicherheit und Vertrauen noch stärker in den Fokus. Unternehmen, die frühzeitig entsprechende Maßnahmen einleiten, sichern sich nicht nur einen Wettbewerbsvorteil, sondern bauen auch eine stabile Basis für nachhaltig verantwortungsvolles Handeln auf. Eine sorgfältige Planung, fortlaufende Risikobewertung sowie die Schulung aller Mitarbeitenden zu den relevanten KI-Pflichten sind dabei essenziell. Nur so lassen sich potenzielle Risiken minimieren und zugleich die vielfältigen Vorteile von KI-Technologien voll ausschöpfen.

 

 

Compliance Update vom 25. September 2023

 

Ziele der KI-Verordnung

Gefördert werden soll insbesondere die Entwicklung vertrauenswürdiger und rechtssicherer Systeme, wobei die EU durch diese Verordnung eine Führungsrolle einnehmen soll. Laut Brando Benifei, dem Ko-Berichterstatter des Binnenmarktausschusses, handele es sich bei der Verordnung um „das weltweit erste verbindliche Gesetz zur künstlichen Intelligenz, um Risiken zu reduzieren, Chancen zu schaffen, Diskriminierung zu bekämpfen und Transparenz zu gewährleisten.“

Die wohl wichtigste Definition der Verordnung ist die des „KI-Systems“. Dies ist gem. Art. 3 Abs. 1 KI-VO „ein maschinengestütztes System, das so konzipiert ist, dass es mit unterschiedlichem Grad an Autonomie betrieben werden kann, das nach der Einführung Anpassungsfähigkeit zeigen kann und das für explizite oder implizite Ziele aus den Eingaben, die es erhält, ableitet, wie es Ergebnisse Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen erzeugen kann, die physische oder virtuelle Umgebungen beeinflussen können“.

Einordnung der Risikostufen

Die Verordnung ordnet KI-Systeme nach ihrem Risiko ein. Es wird zwischen unannehmbaren Risiken, hohen Risiken, begrenzten Risiken und geringen Risiken differenziert:

  • Unannehmbare Risiken, etwa manipulative oder täuschende Techniken, sind verboten.
  • Für Hochrisikosysteme, wie beispielsweise autonome Fahrzeuge, gelten besonders strenge Anforderungen und Kontrollpflichten im Gegensatz zu Systemen mit begrenztem Risiko, wie zum Beispiel Chatbots.
  • Entwickler und Betreiber von KI-Systemen mit begrenztem Risiko müssen beachten, dass der Endnutzer wissen muss, dass er mit KI interagiert.
  • KI-Systeme mit geringem Risiko, wie beispielsweise einfache Spamfilter, unterliegen derzeit keinen Anforderungen.

Anwendungsbereich der KI-Verordnung

Die KI-VO richtet sich an verschiedene Adressaten, wobei die meisten Verpflichtungen die „Anbieter“ von KI-Systemen trifft. Anbieter sind Unternehmen, welche entsprechende Systeme entwickeln oder in der EU in den Verkehr bringen. Nutzer meint dagegen nicht den Endnutzer eines KI-Systems, sondern natürliche oder juristische Personen, welche die Systeme beruflich einsetzen.

Inkrafttreten der KI-Verordnung

Die Verordnung wird am 20. Tag nach der Veröffentlichung im Amtsblatt der EU-Inkrafttreten, dies wird voraussichtlich im zweiten Quartal des Jahres 2024 sein, wobei Übergangsfristen für verschiedene Pflichten geregelt sind.

Pflichten für Ihr Unternehmen

Mit der neuen KI-VO können durchaus umfangreiche Pflichten für Unternehmen entstehen, welche KI-Systeme anbieten. Maßgeblich ist dabei insbesondere die Einordnung in die verschiedenen Risikostufen. Gerade produzierende Unternehmen, welche die Nutzung von KI-Systemen nutzen oder dies planen, sollten die neue Verordnung im Blick behalten und gegebenenfalls eine Kategorisierung nach Risiken vornehmen. Darüber hinaus dürfte sich vor allem für den Endnutzer ein Mehrwert ergeben, da der Einsatz von KI in der EU durch die Verordnung künftig rechtssicherer werden wird.
Vollständigen Beitrag anzeigen