zur Übersicht

EU KI Verordnung Zusammenfassung: Was Unternehmen jetzt zur neuen KI-Regulierung wissen müssen

Das Wichtigste im Überblick:

  • Die EU-KI-Verordnung etabliert als weltweit erstes Regelwerk einen verbindlichen Rechtsrahmen für KI mit risikobasierten Compliance-Anforderungen
  • Unternehmen müssen bis Ende 2026 umfangreiche technische und organisatorische Maßnahmen implementieren – für Hochrisiko-KI gilt eine Frist bis Ende 2027
  • Bei Verstößen drohen deutlich höhere Bußgelder als bei der DSGVO: bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes

Jetzt Angebot anfordern!

Pionierarbeit in der KI-Regulierung

Mit der Verabschiedung der KI-Verordnung (AI Act) am 21. Mai. 2024 hat die Europäische Union einen Meilenstein in der Regulierung künstlicher Intelligenz gesetzt. Als erste Region weltweit schafft die EU damit verbindliche Regeln für die Entwicklung und den Einsatz von KI-Systemen. Die Verordnung verfolgt dabei einen risikobasierten Ansatz, der die Anforderungen an das jeweilige Gefährdungspotential knüpft.

Der risikobasierte Ansatz im Detail

Die Kategorisierung von KI-Systemen nach ihrem Risikopotential ist das Herzstück der neuen Verordnung. Dieser Ansatz ermöglicht eine verhältnismäßige Regulierung, die Innovation nicht unnötig einschränkt, aber gleichzeitig effektiven Schutz bietet. Die KI-Verordnung unterscheidet vier Risikoklassen:

Unannehmbares Risiko

Bestimmte KI-Anwendungen werden komplett verboten. Darunter fallen etwa Social Scoring Systeme nach chinesischem Vorbild oder KI-Systeme zur gezielten Manipulation. Diese Verbote griffen bereits sechs Monate nach Inkrafttreten der Verordnung. Unternehmen müssen daher schnell handeln und entsprechende Systeme identifizieren und abschalten. Die Strafen für Verstöße in diesem Bereich sind besonders hoch.

Hohes Risiko

Besonders strenge Anforderungen gelten für KI-Systeme mit hohem Risiko für Gesundheit, Sicherheit oder Grundrechte. Dies betrifft etwa Systeme in der Personalauswahl, bei der Kreditvergabe oder in der Strafverfolgung. Two Towers Consulting unterstützt Sie bei der Einordnung Ihrer KI-Systeme und der Umsetzung der spezifischen Anforderungen. Die Einstufung als Hochrisiko-System erfordert umfangreiche technische und organisatorische Maßnahmen, die sorgfältig geplant und implementiert werden müssen.

Geringes Risiko

Für KI-Systeme mit geringem Risiko, die etwa der Mensch-Maschine-Interaktion dienen, gelten grundlegende Transparenzpflichten. Die Nutzer müssen über den KI-Einsatz informiert werden. Diese Kategorie betrifft viele alltägliche KI-Anwendungen wie Chatbots oder Empfehlungssysteme. Die Transparenzanforderungen sollen sicherstellen, dass Menschen stets wissen, wenn sie mit einer KI interagieren.

Minimales Risiko

KI-Anwendungen mit minimalem Risiko können weitgehend ohne regulatorische Hürden betrieben werden. Die Kommission fördert hier die Entwicklung freiwilliger Verhaltenskodizes. Diese Kategorie umfasst beispielsweise einfache Spam-Filter oder Spieleanwendungen. Trotz der geringen Anforderungen empfiehlt sich auch hier eine grundlegende Dokumentation des KI-Einsatzes.

Jetzt Angebot anfordern!

Zentrale Pflichten für Unternehmen

Die neue KI-Verordnung etabliert ein umfassendes Regelwerk von Pflichten und Anforderungen, das besonders für Betreiber von Hochrisiko-KI-Systemen relevant ist. Die praktische Umsetzung dieser Anforderungen erfordert eine sorgfältige Planung und systematische Herangehensweise. Die Verordnung führt insbesondere folgende Pflichten ein:

Risikomanagement

Unternehmen müssen ein kontinuierliches Risikomanagementsystem implementieren, das während des gesamten Lebenszyklus der KI greift. Alle Risiken müssen systematisch erfasst, bewertet und minimiert werden. Das System muss regelmäßig überprüft und aktualisiert werden, um neue Risiken frühzeitig zu erkennen. Eine besondere Herausforderung stellt dabei die dynamische Natur von KI-Systemen dar, die sich durch maschinelles Lernen kontinuierlich weiterentwickeln können.

Datenqualität und Governance

Die verwendeten Daten müssen nachweisbar relevant, repräsentativ, fehlerfrei und vollständig sein. Dies gilt nicht nur für personenbezogene Daten, sondern bereits für Trainingsdaten. Unternehmen müssen dafür sorgen, dass ihre Datensätze keine diskriminierenden Verzerrungen enthalten und regelmäßig auf Qualität und Aktualität geprüft werden. Ein systematisches Data-Governance-Framework ist dafür unerlässlich.

Dokumentation und Transparenz

Umfassende Dokumentationspflichten ermöglichen die Nachverfolgbarkeit aller Vorgänge. Technische Dokumentation, Gebrauchsanweisungen und automatische Protokollierung sind verpflichtend. Dies umfasst auch die Dokumentation von Entscheidungsprozessen und Modellanpassungen. Besonders wichtig ist die Nachvollziehbarkeit von KI-Entscheidungen, die signifikante Auswirkungen auf Menschen haben können.

Menschliche Aufsicht

KI-Systeme mit hohem Risiko müssen unter wirksamer menschlicher Aufsicht stehen. Ein Eingriff oder die Beendigung des Betriebs muss jederzeit möglich sein. Dies erfordert nicht nur technische Vorkehrungen, sondern auch geschultes Personal, das die KI-Systeme versteht und kompetent überwachen kann. Unternehmen müssen klare Verantwortlichkeiten definieren und Eskalationswege festlegen.

Cybersicherheit

Hochrisiko-KI muss ein angemessenes Maß an Genauigkeit, Robustheit und Cybersicherheit gewährleisten. Technische und organisatorische Maßnahmen müssen unbefugte Zugriffe verhindern. Dies umfasst sowohl den Schutz vor externen Angriffen als auch vor internen Manipulationsversuchen. Regelmäßige Sicherheitsaudits und Penetrationstests sind empfehlenswert.

Jetzt Angebot anfordern!

Schnittstellen zu anderen Rechtsgebieten

Die KI-Verordnung steht nicht isoliert, sondern ist eng mit anderen Rechtsbereichen verwoben. Diese Verflechtungen müssen bei der Compliance-Strategie berücksichtigt werden.

Datenschutz

Die KI-Verordnung ergänzt die DSGVO, ersetzt sie aber nicht. Beim Training von KI-Systemen mit personenbezogenen Daten müssen beide Regelwerke beachtet werden. Die Datenschutzbehörden sollen auch die Überwachung von Hochrisiko-KI übernehmen. Die Vereinbarkeit von KI-Innovationen mit dem Datenschutz stellt eine besondere Herausforderung dar, die frühzeitig im Entwicklungsprozess berücksichtigt werden muss.

Legal Tech

Die Verordnung hat auch Auswirkungen auf Legal Tech-Anwendungen. Vertragsgeneratoren und andere KI-gestützte Rechtsdienste müssen die neuen Anforderungen erfüllen, soweit sie unter die Verordnung fallen. Dies betrifft insbesondere Systeme, die automatisierte rechtliche Bewertungen vornehmen oder Entscheidungsempfehlungen geben. Die Grenze zwischen erlaubter Automatisierung und regulierungsbedürftiger KI-Anwendung muss sorgfältig geprüft werden.

Urheberrecht

Die urheberrechtliche Einordnung KI-generierter Werke bleibt eine Herausforderung. Nach deutschem Recht ist eine urheberrechtliche Schutzfähigkeit derzeit ausgeschlossen. Dies wirft komplexe Fragen für kreative KI-Anwendungen auf, etwa im Bereich der Texterstellung oder Bildgenerierung. Unternehmen müssen ihre Geschäftsmodelle entsprechend anpassen und Lizenzfragen frühzeitig klären.

Jetzt Angebot anfordern!

Zeitplan und Handlungsbedarf

Die zeitliche Staffelung der Anforderungen ermöglicht eine schrittweise Anpassung, erfordert aber auch eine sorgfältige Planung. Unternehmen sollten die Übergangsfristen nicht als Aufschub missinterpretieren, sondern frühzeitig mit der Umsetzung beginnen.

Die KI-Verordnung istim Sommer 2024 in Kraft getreten. Es gelten gestaffelte Übergangsfristen:

  • Nach 6 Monaten: Verbot von KI-Systemen mit unannehmbarem Risiko
  • Nach 24 Monaten (Ende 2026): Inkrafttreten der allgemeinen Regelungen
  • Nach 36 Monaten (Ende 2027): Spezialregelungen für Hochrisiko-KI

Unsere Expertise für Ihre Compliance

Als erfahrene Berater unterstützt Two Towers Consulting Sie bei allen Aspekten der KI-Compliance:

  • Ganzheitliche Compliance-Beratung
  • Risikobewertung und -klassifizierung
  • Entwicklung maßgeschneiderter Compliance-Frameworks
  • Durchführung von KI-Audits
  • Erstellung rechtskonformer Dokumentation
  • Implementierung von Managementsystemen
  • Schulung Ihrer Mitarbeiter

Zahlreiche erfolgreiche KI-Compliance-Projekte belegen unsere Expertise in diesem zukunftsweisenden Rechtsgebiet.

Häufig gestellte Fragen

Grundsätzlich greift die KI-VO als Produktsicherheitsgesetz primär bei neu in Verkehr gebrachten oder in Betrieb genommenen KI-Systemen und nicht bei bereits bestehenden Systemen. Ausnahmen bestehen nur für bestimmte Hochrisiko-KI-Systeme, für die der Gesetzgeber spezielle Übergangsfristen festgelegt hat – für die meisten bereits im Einsatz befindlichen KI-Systeme wird die Verordnung jedoch nie anwendbar sein.

Die Einstufung erfolgt anhand detaillierter Kriterien in der Verordnung. Entscheidend sind die potentiellen Auswirkungen auf Gesundheit, Sicherheit und Grundrechte.

Unternehmen müssen ein Qualitätsmanagementsystem nach Art. 17 KI-VO implementieren, das unter anderem Strategien, Verfahren und Verantwortlichkeiten festlegt.

Menschen müssen die KI-Systeme effektiv überwachen und bei Bedarf eingreifen können. Die letzte Verantwortung liegt immer beim Menschen.

Die Verordnungen ergänzen sich. Bei der Verarbeitung personenbezogener Daten müssen beide Regelwerke beachtet werden.

Die technische Dokumentation muss unter anderem das Risikomanagementsystem, die Datenqualität und alle relevanten Prozesse umfassen.

Unternehmen sollten ihre KI-Systeme inventarisieren, die Risikoklassen bestimmen und einen Umsetzungsplan entwickeln.

Bei Verstößen drohen bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes – deutlich mehr als bei der DSGVO.

Die grundsätzlichen Anforderungen gelten für alle Unternehmen. Die konkrete Umsetzung kann aber proportional zur Unternehmensgröße erfolgen.

Wir bieten eine umfassende Beratung von der Erstanalyse bis zur vollständigen Implementierung aller erforderlichen Maßnahmen.

Hinweis: Leistungen, die dem Rechtsdienstleistungsgesetz unterfallen, werden von der Kanzlei Two Towers Legal erbracht.

Verwandte Themen