Die KI-Verordnung: Neue Regelungen und ihre Bedeutung für Unternehmen

1. Für wen gilt die KI-Verordnung?

Die KI Verordnung gilt in erster Linie für Anbieter (Einrichtungen, die ein KI-System entwickeln, in Verkehr bringen oder in Betrieb nehmen) und Betreiber (Einrichtungen, die KI-Systeme unter ihrer Aufsicht gewerblich nutzen) von KI-Systemen, die in der EU vermarktet oder genutzt werden, unabhängig davon, ob sie in der EU oder einem Drittstaat ansässig sind. Ausgenommen sind im Regelfall Open-Source-KI-Systeme, die nicht den beiden höchsten Risikostufen zugeordnet werden (dazu sogleich). Darüber hinaus treffen auch Importeure und Händler Verpflichtungen nach der KI-Verordnung.

Kurzum: Die KI-Verordnung enthält Verpflichtungen für alle an Entwicklung, Nutzung, Einführung, Vertrieb oder Herstellung von KI-Systemen beteiligten Akteure.

2. Einstufung von KI-Systemen

Die KI-Verordnung verfolgt im Wesentlichen einen risikobasierten Ansatz. Sie ordnet sog. Single-Purpose-KI-Systeme (KI-Systeme mit spezifischem Verwendungszweck) anhand ihres Anwendungsbereichs in vier verschiedene Risikokategorien ein, in denen jeweils spezifische Verbote bzw. Compliance- und Informationsanforderungen gelten:

Unannehmbares Risiko (Art. 5): Systeme, die als eindeutige Bedrohung für die Rechte und Sicherheit der Menschen angesehen werden, sind künftig in der Europäischen Union verboten. Hierunter fallen beispielsweise soziale Bewertungssysteme („social scoring“), manipulative KI oder Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen.

Hohes Risiko (Art. 6–27): Hochrisikosystemen, auf denen der Schwerpunkt der Verordnung liegt, werden signifikante Auswirkungen auf die Rechte und Sicherheit der Bürger zugeschrieben. Sie unterliegen einer Vielzahl von Compliance-Anforderungen (näher dazu unten). Hochrisikosysteme werden in zwei Kategorien eingeteilt:

• Systeme für Produkte, die EU-Sicherheitsvorschriften unterliegen, z.B. Spielzeug, medizinische Geräte oder Aufzüge (Art. 6 Abs. 1 i.V.m. Anhang I).
• System, die  in bestimmten Bereichen betrieben werden, beispielsweise in der kritischen Infrastruktur, im Personalmanagement, im Bildungswesen oder in der medizinischen Diagnose (Art. 6 Abs. 2 i.V.m. Anhang III).

Begrenztes Risiko (Art. 50): Die Risiken dieser Systeme beziehen sich auf mangelnde Transparenz, weshalb für sie spezifische Offenlegungspflichten gelten. So sind Menschen etwa vor der Nutzung eines Chatbots darauf hinzuweisen, dass sie mit einer KI interagieren werden. Ebenso müssen Anbieter sicherstellen, dass KI-generierte Inhalte, insbesondere auch sog. Deepfakes, als solche identifizierbar sind.

Minimales Risiko (Art. 4, 95): Viele derzeitige KI-Anwendungen, beispielsweise KI-gestützte Videospiele, Spamfilter und Empfehlungsdienste, fallen in diese Kategorie. Für sie gelten keine besonderen Vorschriften, sie können weiterhin frei benutzt werden.

3. Anforderungen an Anbieter und Betreiber von Hochrisiko-KI-Systemen

Die Mehrheit der Verpflichtungen der KI-Verordnung betrifft Hochrisiko-KI-Systeme, bei deren Entwicklung und Nutzung künftig vielfältige Compliance-Anforderungen gelten. Zu diesen Pflichten gehören beispielsweise:

Konformitätsprüfung und Registrierung: Das System muss vor Markteinführung einer Konformitätsprüfung unterzogen und darüber hinaus in einer Datenbank der EU registriert werden:

Risikomanagement: Anbieter müssen ein angemessenes Risikomanagementsystemetablieren und eine Risikobewertung über den gesamten Lebenszyklus desKI-Systems durchführen.

Daten-Governance: Es muss eine hohe Qualität der Trainings-, Validierungs- und Testdatensätze sichergestellt sein, um Bias und diskriminierende Ergebnisse zu vermeiden.

Technische Dokumentation: Bereits vor Inverkehrbringen bzw. Inbetriebnahme des Systems ist eine technische Dokumentation zu erstellen, aus der die zuständigen Behörden klar und verständlich ersehen können, dass das System die Anforderungen der Verordnung erfüllt.

Human Oversight: Hochrisiko-KI-Systeme müssen so gestaltet sein, dass während der Dauer ihrer Verwendung die wirksame Beaufsichtigung durch einen Menschen sichergestellt ist.

4. Spezielle Anforderungen für „General Purpose AI“ (GPAI)

KI-Systeme mit allgemeinem Verwendungszweck, die für eine Vielzahl von Zwecken genutzt werden können („GPAI-Modelle“), haben aufgrund ihrer flexiblen Anwendungsmöglichkeiten das Potenzial zu einer weitverbreiteten Nutzung, insbesondere auch durch Schnittstellen zu anderen Anwendungen. Gleichzeitig ist es schwierig, die Möglichkeiten dieser Modelle im Blick zu behalten. GPAI-Modelle sind beispielsweise GPT-4, DALL-E oder Midjourney.

Diese Systeme unterliegen einem gesonderten Klassifizierungsrahmen (Art. 51 ff.), der erneut einen abgestufter Ansatz verfolgt. So unterliegen GPAI-Modelle Transparenzanforderungen, zu denen beispielsweise technische Dokumentationen und Nutzungsanweisungen gehören. Weitergehende Anforderungen im Bereich des Risikomanagements gelten für besonders leistungsfähige und einflussreiche Modelle mit „systemischem Risiko“ (Art. 55), zu denen etwa eine umfassende Risikoanalyse, regelmäßige Überprüfungen und Anforderungen an die Cybersicherheit gehören.

5. Implementierung und Übergangsfristen

Die KI-Verordnung tritt 20 Tage nach seiner Veröffentlichung im Amtsblatt der EU in Kraft, mit der bis Ende Juni 2024 zu rechnen ist. Die Umsetzung der Bestimmungen erfolgt anschließend stufenweise:

• 6 Monate nach Inkrafttreten (ca. Ende Dezember 2024): KI-Systemen mit unannehmbaren Risiko sind verboten und müssen vom Markt genommen sein.
• 12 Monate (ca. Juni 2025): Die Vorschriften für GPAI werden wirksam.
• 24 Monate (ca. Juni 2026): Alle Bestimmungen, für die nichts Abweichendes geregelt ist, treten in Kraft.
• 36 Monate (ca. Juni 2027): Die spezielle Anforderungen für Hochrisiko-Systeme werden wirksam.

6. Sanktionen und Compliance

Die Durchsetzung der KI-Verordnung erfolgt auf einer behördlichen Ebene in einem dualen System. Auf EU-Ebene ist das neue „AI Office“, eine Behörde innerhalb der Europäischen Kommission, für die Aufsicht über GPAI mit hoher Auswirkung sowie für die Koordinierung der Umsetzung in den Mitgliedstaaten verantwortlich. Daneben errichten die Mitgliedstaaten nationale Behörden, denen die Durchsetzung der Verordnung obliegt.

Verstöße gegen die KI-Verordnung können je nach ihrer Schwere zu erheblichen Geldbußen führen. Diese können bei Verstößen bezüglich verbotener KI-Systeme bis zu 35 Millionen EUR oder 7 % des weltweiten Jahresumsatzes des Unternehmens betragen, bei geringfügigeren Verstößen bis zu 15 Millionen EUR oder 1,5 % des Jahresumsatzes. Für KMUs und Start-ups sieht die Verordnung niedrigere Geldbußen vor. Darüber hinaus ist zu beachten, dass die Aufsichtsbehörden Anbieter zwingen können, nicht konforme KI-Systeme vom Markt zu nehmen.

7. Handlungs- und Beratungsbedarf für Unternehmen

Unternehmen sollten die verbleibende Zeit bis zum Inkrafttreten der KI-Verordnung nutzen, um frühzeitig auf die neuen Anforderungen vorbereitet zu sein. Folgende Schritte sind dabei von besonderer Bedeutung:

1. Bestandsaufnahme: Unternehmen sollten zunächst intern prüfen, welche KI-Systeme sie einsetzen, entwickeln oder von externen Anbietern beziehen. Falls noch nicht vorhanden, ist es ratsam, ein fortlaufend aktualisiertes Verzeichnis zu erstellen, da künftig mit einer zunehmenden Nutzung von KI zu rechnen ist.
2. Klassifizierung: Anschließend kann eine Risikoeinstufung der identifizierten KI-Systeme nach ihrem Risiko zu klassifizieren. Diese Einstufung kann mitunter komplex sein, muss wegen der stark divergierenden Anforderungen aber sorgfältig durchgeführt werden.
3. Vorbereitung: Sind die Anforderungen geklärt, kann mit der konkreten Umsetzung der jeweiligen Verpflichtungen begonnen werden. Dazu gehören beispielsweise die Erstellung technischer Dokumentationen, die Einführung eines Risikomanagementsystems und der Aufbau einer Governance-Struktur. Darüber hinaus kann es ratsam sein, interne Richtlinien für den Umgang mit KI-Systemen zu erstellen und durch Information und Schulungen ein Bewusstsein bei den Mitarbeitern für die neuen Vorschriften zu schaffen.

8. Fazit

Die KI-Verordnung ist ein Meilenstein der KI-Regulierung, aber auch ein sehr umfangreiches und komplexes Regelungswerk, dessen Inhalt in diesem Beitrag nur angerissen werden kann. Unternehmen sind gefordert, ihre KI-Systeme und Prozesse sorgfältig zu prüfen und innerhalb der Übergangsfristen an die neuen gesetzlichen Anforderungen anzupassen. Eine frühzeitige Vorbereitung sowie eine enge Zusammenarbeit mit technischen und juristischen Experten sind entscheidend, um die Konformität sicherzustellen und innovative Potenziale innerhalb des neuen Rechtsrahmens zu nutzen.

Unsere Kanzlei steht Ihnen hierbei beratend zur Seite. Wir unterstützen Sie dabei, Umfang und Komplexität der KI-Verordnung zu meistern und sich optimal auf die kommenden Regelungen vorzubereiten.