Die EU* hat mit der KI-Verordnung (KI-VO) einen Meilenstein gesetzt, der weltweit Maßstäbe in der Regulierung von Künstlicher Intelligenz (KI) setzt. Ab 2025 gelten für Unternehmen, die KI entwickeln, anbieten oder nutzen, erste verbindliche Regelungen. Der Schritt markiert den Beginn eines rechtlich geregelten Umgangs mit KI-Technologien, die immense Chancen bieten, aber auch Risiken bergen. In diesem Artikel erklären wir, was die KI-VO bedeutet, welche Pflichten auf Unternehmen zukommen und wie Sie sich darauf vorbereiten können.

I. Was ist die KI-Verordnung und warum ist sie wichtig?

Die KI-Verordnung, offiziell die „Verordnung des Europäischen Parlaments und des Rates zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz“, ist am 02. August 2024 in Kraft getreten. Sie ist der weltweit erste umfassende Rechtsrahmen, der die Entwicklung und Nutzung von KI regelt. Ziel der Verordnung ist es, Innovationen zu fördern und gleichzeitig Risiken für Sicherheit, Grundrechte und den Datenschutz zu minimieren.

Die Verordnung basiert auf einem risikobasierten Ansatz, der KI-Systeme nach ihrer potenziellen Gefährdung für Nutzer und Gesellschaft klassifiziert:

  • Verbotene KI-Systeme: Systeme, die ein unannehmbares Risiko darstellen, sind vollständig verboten.
  • Hochrisiko-KI-Systeme: Diese unterliegen strengen Anforderungen an Transparenz, Sicherheit und Risikomanagement.
  • Geringere Risikoklassen: Systeme mit geringem Risiko müssen spezifische Transparenzanforderungen erfüllen.

II. Was ändert sich ab 2025?

2025 treten erstmals konkrete Pflichten aus der KI-VO in Kraft. Unternehmen, die KI-Systeme entwickeln, einsetzen oder vertreiben, müssen sich jetzt mit den neuen Anforderungen auseinandersetzen.

1. Pflicht zur KI-Kompetenz (ab Februar 2025)

Ab dem 02. Februar 2025 gilt Artikel 4 der KI-VO, der Unternehmen dazu verpflichtet, ihre Mitarbeiter in der Nutzung und dem sicheren Umgang mit KI-Systemen zu schulen. Dabei geht es nicht nur um technisches Wissen, sondern auch um das Bewusstsein für die Chancen und Risiken von KI sowie mögliche ethische und rechtliche Fallstricke.

Praktischer Tipp:

Implementieren Sie E-Learning-Programme, die Mitarbeitende systematisch in den sicheren Umgang mit KI einführen. So stellen Sie sicher, dass Ihr Team ausreichend auf die neuen Anforderungen vorbereitet ist.

2. Verbotene KI-Systeme (ab Februar 2025)

Gemäß Artikel 5 der KI-VO sind ab Februar 2025 bestimmte KI-Anwendungen vollständig verboten. Dazu gehören:

  • Social Scoring: KI-Systeme, die Menschen auf Basis ihres Verhaltens oder ihrer Eigenschaften bewerten.
  • Emotionserkennung am Arbeitsplatz: Systeme, die die Stimmung oder Produktivität von Mitarbeitenden überwachen.
  • Biometrische Kategorisierung: Anwendungen, die Menschen auf Basis sensibler Daten wie ethnischer Herkunft, Geschlecht oder Hautfarbe einteilen.

Risiken bei Verstößen:

Unternehmen, die verbotene Systeme nutzen oder vertreiben, drohen empfindliche Bußgelder von bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes.

Praktischer Tipp:

Führen Sie eine interne Überprüfung Ihrer KI-Systeme durch und stellen Sie sicher, dass keine Anwendungen in verbotene Kategorien fallen.

3. GPAI-Modelle: Neue Pflichten für Anbieter (ab August 2025)

Ab dem 02. August 2025 gelten erstmals spezifische Vorschriften für Anbieter von GPAI-Modellen (KI-Modelle mit allgemeinem Verwendungszweck). Diese Modelle bilden die Grundlage vieler generativer KI-Anwendungen, wie Sprach- und Bildgeneratoren.

Wichtige Pflichten für Anbieter:

  • Urheberrechte einhalten: Anbieter müssen sicherstellen, dass geschützte Inhalte nicht ohne Erlaubnis in Trainingsdaten verwendet werden.
  • Dokumentationspflichten: Transparenz und Sicherheit müssen durch technische Unterlagen nachgewiesen werden.
  • Compliance-Strategien: Anbieter müssen Verfahren implementieren, um alle rechtlichen Vorgaben zu erfüllen.

Praktischer Tipp:

Entwickeln Sie frühzeitig eine Compliance-Strategie, um die Anforderungen bis August 2025 vollständig umzusetzen.

III. Langfristige Perspektiven: Was kommt ab 2026?

Die meisten Regelungen der KI-VO, insbesondere für Hochrisiko-KI-Systeme, treten erst am 02. August 2026 in Kraft. Diese Anwendungen, die erhebliche Auswirkungen auf Gesundheit, Sicherheit oder Grundrechte haben können, müssen dann besonders strengen Anforderungen genügen:

  • Risikomanagementsysteme: Anbieter und Betreiber müssen potenzielle Gefährdungen kontinuierlich überwachen und minimieren.
  • Regelmäßige Audits: Hochrisiko-KI-Systeme müssen regelmäßig überprüft und dokumentiert werden.

IV. Wie können Unternehmen sich vorbereiten?

Die neuen Regelungen bringen Herausforderungen, aber auch Chancen mit sich. Wer frühzeitig handelt, kann sich nicht nur rechtlich absichern, sondern auch Wettbewerbsvorteile sichern.

1. Frühzeitige Planung: Beginnen Sie jetzt mit der Überprüfung Ihrer KI-Systeme und implementieren Sie notwendige Änderungen.

2. Schulungen: Investieren Sie in E-Learning-Programme oder Workshops, um die KI-Kompetenz Ihrer Mitarbeitenden zu fördern.

3. Compliance-Strategien: Erstellen Sie ein internes Regelwerk, das sicherstellt, dass alle KI-Anwendungen den neuen Vorschriften entsprechen.

4. Interne Audits: Führen Sie regelmäßige Überprüfungen durch, um Risiken frühzeitig zu identifizieren und zu beheben.

V. Fazit

Die KI-Verordnung markiert den Beginn einer neuen Phase für die Nutzung von KI in der EU. Ab 2025 müssen Unternehmen nicht nur verbotene Systeme vermeiden, sondern auch sicherstellen, dass Mitarbeiter ausreichend geschult sind und alle rechtlichen Anforderungen erfüllen. Wer sich jetzt vorbereitet, wird nicht nur compliant, sondern auch besser auf die zukünftigen Entwicklungen der KI-Technologie eingestellt sein.

Angebot: Kostenfreies Gespräch mit unseren Experten

Sie haben Fragen zur KI-Verordnung und ob und wie Ihr Unternehmen betroffen ist? Wir beraten bereits mehr als 350 Unternehmen und öffentliche Einrichtungen und helfen Ihnen gerne bei der erfolgreichen Umsetzung in Ihrem Unternehmen.

Kontakt

Sprechen Sie mit unseren Experten – unverbindlich und kostenlos.

E-Mail: info@compliancerechtsanwaelte.de
Telefon: 089 2152 7445

Unsere Experten

Autoren dieses Artikels: RA Dr. Maximilian Degenhart, Geschäftsführer der Compliance Beratung + Service Rechtsanwaltsgesellschaft mbH.

RA Burkard J. Luhmer LL.M. (IP), Rechtsanwalt und Compliance Officer (TÜV zert.)

Compliance Rechtsanwälte ist eine Spezialkanzlei für Compliance, die in den Kernbereichen Compliance-Organisation, KI-Compliance, Datenschutz, ESG, Geldwäsche, IT-Recht, Strafrecht, Hinweisgebersystemen, Lieferketten und Schulungen tätig ist. Das Team von Compliance Rechtsanwälte berät eine breite Vielfalt an Mandanten. Dazu gehören aufstrebende mittelständische Unternehmen genauso wie die öffentliche Hand und Konzerne. Compliance Rechtsanwälte ist eine der führenden Adressen für Compliance in Deutschland.

* Zum besseren Lesbarkeit sowie Verständlichkeit unseres Beitrags verweisen wir auf das nachfolgende Glossar der verwendeten Fachbegriffe.

Glossar: Wichtige Begriffe einfach erklärt

KI (Künstliche Intelligenz): Technologie, die durch Algorithmen eigenständig Aufgaben erledigt, die normalerweise menschliche Intelligenz erfordern, wie z. B. Lernen, Entscheiden oder Problemlösen.

KI-VO (KI-Verordnung): Die „Verordnung des Europäischen Parlaments und des Rates zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz“ ist seit dem 2. August 2024 in Kraft und regelt die Entwicklung und Nutzung von KI in der EU.

EU AI-Office: Eine Behörde, die die Einhaltung der KI-Verordnung überwacht und Standards für KI-Modelle setzt.

GPAI-Modelle: KI-Modelle mit allgemeinem Verwendungszweck, die vielseitig einsetzbar sind, z. B. in Sprachmodellen oder generativer KI.

KI-Kompetenz: Wissen und Fähigkeiten, die notwendig sind, um KI-Systeme sicher und effektiv zu nutzen.

Social Scoring: Bewertung von Personen anhand ihres Verhaltens oder ihrer Eigenschaften, z. B. für Kredite oder soziale Vorteile. In der EU verboten.

Emotionserkennung: Technologie, die emotionale Zustände von Menschen erkennt, z. B. durch Gesichtsausdrücke oder Stimme.

Biometrische Kategorisierung: KI-Systeme, die Menschen anhand sensibler Daten wie ethnischer Herkunft oder Geschlecht einteilen. Solche Anwendungen sind in der EU in bestimmten Kontexten verboten.

Hochrisiko-KI-Systeme: Anwendungen mit erheblichem Risiko für Sicherheit, Gesundheit oder Grundrechte, wie z. B. in der medizinischen Diagnostik.

Urheberrecht: Rechtlicher Schutz von geistigem Eigentum wie Texten, Bildern oder Musik. Anbieter von KI-Systemen müssen sicherstellen, dass sie geschützte Inhalte rechtmäßig verwenden.

Compliance: Einhaltung gesetzlicher und unternehmensinterner Vorschriften, insbesondere im Hinblick auf die Anforderungen der KI-VO.

Risikobasierter Ansatz: Regulierung, die sich nach dem potenziellen Risiko eines KI-Systems richtet. Höheres Risiko bedeutet strengere Anforderungen.