KI VO – Regelung der künstlichen Intelligenz

Die Verordnung (EU) 2024/1689 des Europäischen Parlaments und des Rates vom 13. Juni 2024, auch bekannt als KI-Verordnung (KI VO), ist ein bedeutender Schritt zur einheitlichen Regulierung von Künstlicher Intelligenz (KI) in der EU.

Warum KI VO?

Zweck der KI-Verordnung ist es, zur Verbesserung des EU-Binnenmarkts einen einheitlichen, harmonisierten Rechtsrahmen für die Entwicklung, das Inverkehrbringen, die Inbetriebnahme und die Verwendung von Systemen künstlicher Intelligenz (KI-Systeme) festzulegen.
Vertrauenswürdige, innovative künstliche Intelligenz soll dabei gefördert werden, aber auch ein hohes Schutzniveau der Bürger und Ihrer geschützten Grundrechte sicherzustellen.
Der  grenzüberschreitende freie Verkehr KI-gestützter Waren und Dienstleistungen soll gestärkt werden und einseitige Restriktionen durch einzelne Mitgliedstaaten bei KI-Systemen beschränkt werden, sofern sie nicht ausdrücklich durch die KI VO erlaubt sind.

Geltungsbereich und Inkrafttreten

Die Verordnung tritt am 1. August 2024 in Kraft, aber die meisten ihrer Vorschriften werden erst ab dem 2. August 2026 verbindlich.
Diese Übergangszeit soll Unternehmen die Möglichkeit geben, sich auf die neuen Anforderungen vorzubereiten.
Einige Regelungen, wie das Verbot von KI-Systemen mit unannehmbarem Risiko, greifen jedoch bereits am 2. Februar 2025 (Art. 113 KI-VO)

Das offizielle Dokument 32024R1689 der EU findet sich unter: EUR-Lex (in div. Sprachversionen).

Klassifizierung und Anforderungen

Die KI-Verordnung sieht eine Risikoklassifizierung von KI-Systemen vor und verankert darin den Risikobasierten Ansatz. Je höher das Risiko, desto strenger die Pflichten. Während KI-Systeme mit inakzeptablen Risiko sind verboten, hoch riskante nur unter strengen Auflagen möglich und bei geringem Risiko sind vor allem Transparenz- und Informationspflichten einzuhalten.

  • Unannehmbare Risiken: Systeme, die gegen Grundrechte verstoßen, wie etwa biometrische Kategorisierungssysteme oder Systeme zur Massenüberwachung, sind vollständig verboten
  • Hochrisiko-KI: Besonders riskante Systeme sind besonders strengen Anforderungen unterworfen. Hierzu gehören KI-Anwendungen in kritischen Infrastrukturen, Medizinprodukten oder beim Zugang zu Bildung und Beschäftigung. Die Anbieter müssen umfangreiche Maßnahmen zur Risikominimierung umsetzen, wie z. B. Datenqualitätssicherungen, technische Dokumentation, und eine menschenzentrierte Überwachung.
  • Es muss insbesondere ein Risikomanagementsystem eingerichtet, angewandt, dokumentiert und aufrechterhalten werden und eine Grundrechte-Folgenabschätzung für Hochrisiko-KI-Systeme vor deren Inbetriebnahme durchgeführt werden.
  • Transparenzpflichten: Anbieter von KI-Systemen müssen Nutzer darüber informieren, wenn sie mit einer Maschine interagieren. Deepfakes und KI-generierte Inhalte müssen als solche gekennzeichnet werden.

Sanktionen

Die Verordnung sieht empfindliche Strafen vor, insbesondere für Verstöße bei Hochrisiko-KI-Systemen. Anbieter von Standard-KI-Lösungen können bei Verstößen, die vorsätzlich oder fahrlässig erfolgen, mit Geldbußen von bis zu 3 % ihres gesamten weltweiten Jahresumsatzes im vorangegangenen Geschäftsjahr oder 15 MIO EUR bestraft werden, je nachdem, welcher Betrag höher ist. Geldbußen von bis zu 35 MIO EUR oder – im Falle von Unternehmen – von bis zu 7 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem, welcher Betrag höher ist – können verhängt werden, wenn gegen die nach Art. 5 KI VO verbotenen KI-Praktiken verstoßen wird.

Was Unternehmen jetzt tun müssen

Unternehmen, die KI-Systeme entwickeln oder einsetzen, müssen sich intensiv auf die Anforderungen der KI VO vorbereiten. Dazu gehören:

  • Identifizierung und Klassifizierung ihrer KI-Systeme nach den neuen Risikokategorien.
  • Risikomanagementsysteme einrichten und die Datenqualität sicherstellen. 
  • Planung: Technische Dokumentation und Konformitätserklärungen vorbereiten, insbesondere bei Hochrisiko-KI. 
  • Sicherstellen, dass die KI-Systeme den Transparenzanforderungen entsprechen: Vorhandene Systeme sind zu überprüfen und gegebenenfalls anzupassen, um Bußgelder und Rechtsstreitigkeiten zu vermeiden. 
  • KI-Know-How verbessern.


Aufbau von KI-Kompetenz im Unternehmen:
Verantwortliche Unternehmen müssen sicherstellen, dass Beschäftigte und andere, mit KI-Systemen interagierende Personen über ein ausreichendes Maß an KI-Kompetenz verfügen. Es müssen Maßnahmen getroffen werden, dass die notwendige Kompetenz vorhanden ist – es besteht also auch Schulungsbedarf den einschlägigen Beschäftigtengruppen, aber ggf. ist auch externe Expertise einzuholen – bei Hochrisiko-KISysteme muss eine Überwachung durch kompetente natürliche Personen sichergestellt werden, was sich häufig nur durch externe KI-Experten abbilden lässt. 

Diese Maßnahmen sind notwendig, um konform zu bleiben und Vertrauen in die eigenen KI-Systeme zu stärken.

Was hat die KI VO mit Datenschutz zu tun?

Die KI-Verordnung und der Datenschutz sind eng miteinander verknüpft, insbesondere im Kontext der Nutzung und Verarbeitung personenbezogener Daten durch KI-Systeme. Die KI-VO baut auf den Prinzipien der Datenschutz-Grundverordnung (DSGVO) auf und ergänzt diese in Bezug auf KI, etwa bei Datenminimierung, Zweckbindung und Transparenzpflichten. 
Auskunftsrechte und das Recht auf Löschung personenbezogener Daten müssen auch bei der Verwendung von KI-Systemen bestmöglich gewährleistet werden.
Automatisierte Entscheidungen und Profiling – Die Regelung von KI-Systemen, die Entscheidungen automatisieren und zu automatisierten Entscheidungen führen, welche rechtliche oder ähnlich schwerwiegende Auswirkungen auf eine Person haben können, gewinnt vor dem Hintergrund des Artikel 22 DSGVO besondere Bedeutung.

Im Wesentlichen verlangt also die KI-Verordnung von Unternehmen, Datenschutz und KI-Compliance in Einklang zu bringen. Dies bedeutet, dass Unternehmen sowohl die rechtlichen Vorgaben der DSGVO als auch die spezifischen Anforderungen der KI VO berücksichtigen müssen, um Datenschutzverletzungen zu vermeiden und das Vertrauen der Nutzer in KI-Systeme zu stärken.

Gerne stehen wir Ihnen bei Fragen zur KI-Verordnung zur Verfügung – sprechen Sie uns einfach an.