Die KI-Verordnung ist in Kraft getreten!

Lange hat sie auf sich warten lassen, nun ist die KI-Verordnung („KI-VO“) am 1. August 2024 in Kraft getreten. Mit ihr will die EU das Funktionieren des Binnenmarktes verbessern und einen klaren Rechtsrahmen für Künstliche Intelligenz (KI) schaffen. Einen Rahmen, der die Einführung von menschenzentrierter und vertrauenswürdiger KI fördert und gleichzeitig weltweit neue Maßstäbe für den Schutz von Grundrechten, Demokratie und Rechtsstaatlichkeit setzen soll.

Persönlicher Anwendungsbereich

Die neuen Regeln richten sich vor allem an Anbieter, die KI-Systeme entwickelt haben. Daneben finden sich aber auch Regelungen für sogenannte Betreiber, die ein KI-System in eigener Verantwortung verwenden.

Weitere Adressaten der Verordnung sind Einführer, Händler und Bevollmächtigte.

Ausdrücklich ausgenommen vom Anwendungsbereich sind KI-Systeme, die zu Forschungs- und Entwicklungszwecken, zu militärischen Zwecken, als Open-Source-Modelle oder rein privat genutzt werden.

Sachlicher und räumlicher Anwendungsbereich

Zentraler Anknüpfungspunkt der KI-VO ist der Begriff „KI-System“, der aus vier Komponenten besteht. Hierbei handelt es sich um (i) ein maschinengestütztes System, (ii) das für einen in wechselndem Maße autonomen Betrieb ausgelegt ist, (iii) das nach seiner Einführung anpassungsfähig sein kann und (iv) das aus erhaltenen Eingaben für explizite oder implizite Ziele Ergebnisse ableitet, welche physische oder virtuelle Umgebungen beeinflussen können.

Der räumliche Anwendungsbereich ist weit gefasst und umfasst sämtliche Anbieter, die KI-Systeme oder ein GPAI-Modell in der EU in Verkehr bringen oder in Betrieb nehmen oder Betreiber, die in der EU ansässig sind. Darüber hinaus werden auch Anbieter und Betreiber unabhängig von ihrem Standort erfasst, sofern der Output der KI-Systeme in der EU verwendet wird (sogenanntes Marktortprinzip).

Risikobasierter Ansatz

Kern der KI-VO ist ihr risikobasierter Regulierungsansatz. Je größer das potentielle Risiko, desto strengere Pflichten sind zu beachten. Die umfangreichsten Anforderungen stellt die KI-VO an sogenannte Hochrisiko-Systeme, denen ein erhöhtes Risikopotential für Grundrechte attestiert wird.

Im Einzelnen ist zwischen folgenden vier Risikokategorien zu unterscheiden:

KI-Systeme mit unannehmbaren Risiko sind verboten. Art. 5 der KI-VO enthält eine abschließende Liste verbotener Praktiken. Hierzu zählt der Einsatz von Techniken der unterschwelligen Beeinflussung außerhalb des Bewusstseins, um das Verhalten einer Person wesentlich zu beeinflussen oder ihr Schaden zuzufügen, Emotionserkennnungssysteme am Arbeitsplatz oder bestimmte Formen des Social Scorings. Für die meisten Unternehmen dürfte diese Risikokategorie eher geringere praktische Relevanz haben.

Das Herzstück der KI-VO stellen die Regelungen zu Hochrisiko-KI-Systemen dar. Erfasst werden KI-Systeme, die als Sicherheitskomponenten für ein Produkt verwendet werden, das im Anhang I der KI-VO aufgeführt ist, oder KI-Systeme, die selbst ein solches Produkt darstellen. Dies sind beispielsweise Maschinen, Fahrzeuge, Spielzeuge oder Medizinprodukte. Darüber hinaus werden im Anhang III Anwendungsbereiche aufgezählt, die zur Einordnung als Hochrisiko-KI führen. Diese Liste kann jederzeit von der Kommission erweitert werden, sodass ein kontinuierliches Monitoring erforderlich ist. Im Anhang III sind unter anderem folgende Anwendungsbereiche aufgezählt: Biometrische Identifizierung, Kritische Infrastrukturen, Beschäftigung, Personalmanagement, zum Beispiel Auswahl, Analyse und Bewertung von Bewerbern sowie Entscheidungen, welche die Bedingungen oder die Beendigung von Arbeitsverhältnissen beziehungsweise Beförderungen beeinflussen, sowie grundlegende private und öffentliche Leistungen.

Viele HR-Anwendungen werden daher als Hochrisiko-KI-System zu qualifizieren sein und müssen daher strengen Anforderungen gerecht werden. Für Betreiber von KI-Systemen zählt hierzu beispielsweise die Befolgung von Betriebsanleitungen, die Bestellung qualifizierten Personals zur Beaufsichtigung, die Sicherstellung der Relevanz und Repräsentativität der Eingabedaten und die Erstellung und Aufbewahrung von Betriebsprotokollen. Betreiber, die Arbeitgeber sind, treffen darüber hinaus bestimmte Informationspflichten gegenüber Arbeitnehmern und Arbeitnehmervertretern.

Eine Ausnahmeregelung sieht vor, dass KI-Systeme trotz Klassifikation im Anhang III nicht als hochriskant gelten, wenn sie kein erhebliches Risiko darstellen und keinen westlichen Einfluss auf den Entscheidungsprozess haben. Dies ist dann der Fall, wenn das KI-System nur eine untergeordnete Hilfstätigkeit ausführt. Das Vorliegen dieser Ausnahme obliegt der Selbstbeurteilung und ist zu dokumentieren.

Schließlich bestehen für bestimmte KI-Systeme mit geringem Risiko, zum Beispiel Chatbots, KI-Systeme zur Erzeugung synthetischer Inhalte und Deepfakes erzeugende KI-Systeme Transparenzpflichten im Sinne der Kennzeichnung des „Ob“ des KI-Systems. Die Transparenzpflichten umfassen insbesondere die grundsätzliche Mitteilung darüber, dass Nutzer es mit einem KI-System zu tun haben sowie, dass ein Ergebnis als KI-generiert gekennzeichnet ist.

Alle weiteren KI-Systeme stellen ein minimales Risiko dar, für die abgesehen von der allgemeinen Verpflichtung zum Aufbau von KI-Kompetenz gemäß Art. 4 der KI-VO keine besonderen Pflichten bestehen.

Die Regelungen für GPAI haben in den Art. 51 ff. KI-VO ein eigenes Regelungssystem neben dem risikobasierten Ansatz erhalten, diese Pflichten richten sich ausschließlich an Anbieter von GPAI. Für GPAI-Modelle gelten spezielle Anforderungen an die technische Dokumentation, die Auflistung der Verwendung urheberrechtlich geschützter Trainingsdaten, die Cybersicherheit, die Kennzeichnung generierter Inhalte und gegebenenfalls sogar Überwachungspflichten hinsichtlich schwerwiegender Ereignisse sowie Angriffstests.

Teilweise gibt es Erleichterungen von den strengen Vorgaben für kleinere und mittlere Unternehmen (KMU) sowie für Start-ups. Sie unterliegen zum Teil weniger strengen Anforderungen und können ihre KI-Systeme in Reallaboren grundsätzlich kostenfrei, unabhängig und unter regulatorischer Aufsicht entwickeln und testen, bevor sie auf den Markt kommen.

Mit welchen Sanktionen ist bei Nichteinhaltung zu rechnen?

Wer sich nicht an die Verordnung hält, muss mit empfindlichen Strafen rechnen. So drohen beim Einsatz von verbotenen KI-Systemen Geldbußen bis 35 Mio. Euro oder 7 % des weltweiten Jahreskonzernumsatzes, bei Verstößen gegen die Pflichten für Hochrisiko-KI oder die Transparenzpflichten gemäß Art. 50 der KI-VO bis zu 15 Mio. Euro oder 3 % des weltweiten Jahreskonzernumsatzes und bei falschen Angaben gegenüber den Aufsichtsbehörden Geldbußen bis 7,5 Mio. Euro oder 1,5 % des weltweiten Jahreskonzernumsatzes. Darüber hinaus können die Betreiber von nicht konformen KI-Systemen die Anbieter zwingen, diese vom Markt zu nehmen. Für kleine und mittlere Unternehmen (KMU) sowie für Start-ups sind teilweise Erleichterungen vorgesehen.

Ab wann gelten die Vorschriften?

Die KI-VO tritt zwanzig Tage nach ihrer Veröffentlichung im Amtsblatt der EU, das heißt am 1.  August 2024 in Kraft.

Es gelten jedoch folgende Übergangsfristen bis zur Wirksamkeit:

  • 6 Monate: Ab dem 2. Februar 2025 finden bereits die Vorschriften zu verbotenen KI-Systemen Anwendung. Es besteht zudem eine weitreichende Pflicht zur Schulung von Mitarbeitern, die mit KI-Systemen zu tun haben.
  • 12 Monate: Ab dem 2. August 2026 finden die Vorschriften zu KI-Modellen mit allgemeinem Verwendungszweck sowie die Vorschriften zu den Behörden, zur Governance und zu den Sanktionen Anwendung.
  • 24 Monate (Grundregel): Ab dem 2. August 2026 gelten alle sonstigen Bestimmungen der KI-VO.
  • 36 Monate: Ab dem 2. August 2027 gelten die Vorschriften zu sogenannten „integrierten Hochrisiko-KI-Systemen,“ die als Bestandteile in zum Beispiel Geräte, Fahrzeuge oder Maschinen eingebaut werden, auf die Anhang I explizit verweist.

Ausblick und Handlungsempfehlungen

Es gibt kaum eine Branche, die nicht erheblich von KI beeinflusst wird. Im Hinblick auf die erheblichen Bußgelder ist es entscheidend, sich möglichst frühzeitig um die Implementierung der erforderlichen Compliance-Management-Systeme zu kümmern. Unternehmen sollten rasch ermitteln, ob sie vom Anwendungsbereich der KI-VO erfasst sind, und klären, welche Art von KI-System sie einsetzen oder nutzen wollen. Zu beachten sind dabei auch Umsetzungsfristen und Meldefristen sowie Vorlaufzeiten für den Kontakt mit Behörden.

Neben der KI-VO sind weitere rechtliche Vorgaben wie die DS-GVO, das Urheberrecht, der Data Act sowie die NIS-2-RL zu beachten.

Zur Vermeidung von Haftungsrisiken, insbesondere betreffend Datenschutz, Urheberrecht und Geschäftsgeheimnisschutz, ist zudem die Implementierung von Richtlinien für den Einsatz von KI im Unternehmen unerlässlich, die die wesentlichen Rahmenbedingungen und Anforderungen für den Einsatz von KI festlegen.

Für Einzelgespräche, Workshops und Schulungen zu diesem Thema stehen wir Ihnen gerne zur Verfügung.

zurück zur Ausgabenübersicht

Ausgabe 08/2024

Dr. Anke Thiedemann, LL.M.

Partnerin, Geschäftsführerin
Rechtsanwältin, attorney at law (New York)
Fachanwältin für Gewerblichen Rechtsschutz
Fachanwältin für IT-Recht
Zertifizierte Datenschutzbeauftragte des TÜV Süd

+49 7121 489-251
E-Mail