Spätestens mit der medialen Einführung von KI-Anwendungen wie ChatGPT, Google Gemini oder Microsoft Copilot ist der Begriff „Künstliche Intelligenz“ (KI) allgegenwärtig und wird sowohl im beruflichen als auch im privaten Kontext vielseitig diskutiert. Der Gesetzgeber hat auf die rasante, teils auch technisch hochkomplexe Entwicklung mit der Schaffung eines einheitlichen Rechtsrahmens, der KI-Verordnung (KI-VO), reagiert.
Was regelt die KI-VO?
Die KI-VO der Europäischen Union (auch „AI Act“) zielt darauf ab, die Nutzung von KI-Technologien sicherer und transparenter zu machen. Sie definiert Regeln, um Risiken zu reduzieren und das Vertrauen in KI-Systeme zu fördern. Dabei werden unterschiedliche Risikokategorien unterschieden, die sodann spezifische Anforderungen an die Entwicklung und den Einsatz von KI-Systemen stellen.
Für wen gilt die KI-VO?
Die KI-VO gilt für alle Unternehmen, die KI-Systeme entwickeln, bereitstellen oder anwenden, sofern diese Systeme innerhalb der EU genutzt werden oder deren Ergebnisse Auswirkungen auf Personen in der EU haben. Dies umfasst Unternehmen aller Größenordnungen, die KI-Technologien in ihre Produkte oder Dienstleistungen einbinden. Ausgenommen von der KI-Verordnung ist jedoch die Nutzung von KI zu rein privaten Zwecken.
Die zentralen Inhalte der KI-Verordnung
Wie bereits die Datenschutz-Grundverordnung (DSGVO) oder auch das Geldwäschegesetz (GwG) basiert die KI-VO auf einem sog. risikobasierten Ansatz: Je größer das Risiko für den Einzelnen, desto höher ist der Grad der Regulierung. Hierzu werden unterschiedliche Risikoklassen gebildet, die ein möglichst gezieltes Vorgehen ermöglichen sollen. Wesentlich sind die folgenden:
- Inakzeptables Risiko: KI-Systeme, die ein hohes Potenzial zur Schädigung der öffentlichen Ordnung oder der Rechte von Individuen haben, sind verboten. Dazu gehören Technologien wie manipulative Anwendungen zur Verhaltenssteuerung oder das sog. Social Scoring, bei dem Individuen basierend auf ihrem Verhalten bewertet werden.
- Hohes Risiko: In diese Kategorie fallen KI-Systeme, die in sicherheitskritischen Bereichen eingesetzt werden, beispielsweise in der medizinischen Diagnostik, im Kredit-Scoring, in der kritischen Infrastruktur oder im Personalmanagement. Solche Systeme unterliegen strengen Anforderungen an Transparenz, Datensicherheit und kontinuierliche Überwachung. Unternehmen müssen umfassende Dokumentationen vorlegen und nachweisen, dass die Systeme sicher und zuverlässig arbeiten.
- Geringes Risiko: KI-Anwendungen, die nur ein niedriges Risiko bergen, etwa Chatbots, automatische Produktvorschläge oder Empfehlungsalgorithmen, müssen spezifische Transparenzpflichten erfüllen. Nutzer sollen klar darüber informiert werden, dass sie mit einer KI interagieren.
Handlungsempfehlung zur Umsetzung
Unternehmen, die KI-Systeme entwickeln oder einsetzen, stehen vor der Herausforderung, die komplexen Anforderungen der KI-Verordnung zu erfüllen. Ein strukturierter Ansatz kann helfen, Compliance sicherzustellen, Schäden zu vermeiden und Vertrauen bei Kunden und Partnern nicht zu brechen. Nachfolgend sind einige Schlüsselschritte aufgeführt:
Führen Sie eine umfassende Inventarisierung aller eingesetzten KI-Systeme durch. Analysieren Sie die Risiken der jeweiligen Anwendungen und klassifizieren Sie sie entsprechend den Kategorien der KI-VO.
Entwickeln Sie eine interne Richtlinie für den Einsatz von KI-Systemen. Höchstrisikobereiche sollten vorrangig behandelt werden. Stellen Sie sicher, dass alle technischen und organisatorischen Anforderungen wie Robustheit, Transparenz und Datenschutz erfüllt sind.
Bestimmen Sie beispielsweise einen Compliance-Beauftragten, der für die Einhaltung der KI-VO verantwortlich ist. Schulen Sie Personen im Unternehmen, die mit KI-Systemen arbeiten, um ein grundlegendes Verständnis der Anforderungen zu schaffen.
Kommunizieren Sie klar und verständlich, wo und wie KI-Systeme in Ihrem Unternehmen eingesetzt werden. Stellen Sie sicher, dass Nutzer Zugang zu relevanten Informationen haben und bei Bedarf leicht Erklärungen zu Entscheidungen der KI erhalten.
Implementieren Sie ein kontinuierliches Überwachungssystem für alle eingesetzten KI-Systeme. Überprüfen Sie regelmäßig Ihre Systeme, um sicherzustellen, dass sie den neuesten gesetzlichen Anforderungen entsprechen. Ziehen Sie unabhängige Stellen hinzu, um die Konformität Ihrer KI-Systeme mit den regulatorischen Vorgaben zu zertifizieren.
Besondere Haftungsrisiken und deren Vermeidung
Die KI-VO bringt erhebliche Haftungsfragen mit sich, insbesondere für Unternehmen, die hochriskante KI-Systeme entwickeln oder nutzen. Einfallstore können beispielsweise die fehlerhafte Programmierung oder Anwendung des KI-Moduls oder auch Verstöße gegen Bestimmungen des Datenschutzes sein.
Fristen zur Umsetzung
Die KI-VO enthält ein komplexes System von Fristen und Übergangsregelungen zur Umsetzung. Dies ist im Wesentlichen dem risikobasierten Ansatz der KI-VO geschuldet. Je risikobehafteter die Kategorie, desto schneller muss die Umsetzung erfolgen. Demnach greifen die Pflichten der KI-VO bis 2026 schrittweise. So sind beispielsweise innerhalb der ersten sechs Monate sogenannte „verbotene Systeme“ abzuschalten. Nach zwölf Monaten (02.08.2025) greifen die Pflichten für KI-Systeme, die für sogenannte „allgemeine Zwecke“ (denkbare „Hauptanwendungsfälle“) eingesetzt werden. Nach 24 Monaten sind nahezu alle Vorschriften der KI-Verordnung anwendbar, insbesondere auch die Pflichten für Hochrisiko-KI-Systeme.