202422.08.

Umsetzung der KI-Verordnung der EU – Ein Überblick

Als weltweit erster Gesetzgeber hat die Europäische Union mit der neuen Verordnung EU – 2024/1689 zur Harmonisierung der Vorschriften für künstliche Intelligenz („KI-VO“) einen wegweisenden Schritt zur Regulierung des Einsatzes von Künstlicher Intelligenz in Europa gesetzt.

Mit der KI-VO wurde ein Regulierungsinstrument geschaffen, das sich erstmals gezielt mit den Chancen und Risiken der Entwicklung, des Inverkehrbringens und des Betriebs insbesondere von System der künstlichen Intelligenz befasst.

Übergeordnetes Ziel der Verordnung ist es, einen Regelungsrahmen zu schaffen, der sowohl die Innovationsfähigkeit des europäischen Binnenmarktes im Hinblick auf die Entwicklung und den Einsatz von KI fördert als auch die mit KI-Systemen verbundenen Risiken zu Lasten einzelner Grundrechtsträger und der Allgemeinheit wirksam minimiert (vgl. Art. 1 Abs. 1 KI-VO).

Wichtig zu wissen ist, dass zum jetzigen Zeitpunkt noch keine der Anforderungen des Gesetzes gelten; die gesetzlichen Pflichten werden im Laufe der Jahre 2025, 2026 sowie Art. 6 KI-VO ab 2027 zur Anwendung kommen. Eine detaillierte Aufstellung des Zeitplans werden wir in den kommenden Monaten im Rahmen des Blogs veröffentlichen.

Einteilung in Risikoklassen

Zentraler Baustein der Verordnung ist ein risikobasierter Regulierungsansatzes und die Durchführung von Bewertungen und Risikoeinschätzungen zur Minimierung der Risiken von KI-Systemen (sog. Konformitätsbewertungsverfahren nach Art. 43 KI-VO).

Der folgende Beitrag zeigt auf, nach welchen regulatorischen Grundsätzen die Umsetzung der KI-Verordnung in der Praxis erfolgen soll und welche Auswirkungen und Herausforderungen sich hieraus für Unternehmen beim Einsatz risikoreicher KI-Systeme ergeben können.

Der risikobasierte Regulierungsansatz zeigt sich unmittelbar in der Einteilung, die der Gesetzgeber in der KI-VO im Hinblick auf verschiedene KI-Systeme vornimmt. Die Verordnung unterscheidet dabei zwischen

  • KI-System mit inakzeptablem Risiko,
  • hochriskanten KI-Systemen,
  • KI-Systemen mit geringem Risiko und
  • KI-Systemen mit minimalem Risiko,

und ordnet für die unterschiedlichen Risikoklassen unterschiedliche Pflichten an.

1. Verbotene KI-Systeme

Die Verordnung verbietet grundsätzlich bestimmte Arten von KI-Systemen. Dazu gehören Systeme, die unterschwellige Manipulationstechniken einsetzen, um das Verhalten von Menschen zu beeinflussen, sowie biometrische Kategorisierungssysteme, die Rückschlüsse auf sensible Merkmale wie Rasse oder politische Überzeugung zulassen, vgl. Art. 5 KI-VO.

Neben sog. Totalverboten, die bestimmte Praktiken mit inakzeptablem Risikopotenzial verbieten, enthält die Verordnung auch Regelungen für sogenannte Hochrisiko-KI-Systeme.

2. Hochriskante KI-Systeme

Diese Systeme können erheblichen Schaden anrichten oder die Grundrechte von Personen beeinträchtigen. Beispiele hierfür sind KI-Systeme, die in den Bereichen Beschäftigung, Bildung, Migration, Medizin oder Strafverfolgung eingesetzt werden. Hochrisiko-KI-Systeme müssen umfassende Anforderungen erfüllen, um die Einhaltung der KI-VO sicherzustellen, vgl. Art. 8 KI-VO.

Für Hochrisiko-KI-Systeme muss ein Risikomanagementsystem (vgl. Art. 9 KI-VO) für den gesamten Lebenszyklus des Systems eingerichtet werden. Es muss außerdem sichergestellt werden, dass die verwendeten Datensätze repräsentativ und fehlerfrei sind, eine technische Dokumentation (vgl. Art. 11 KI-VO) erstellt wird und eine mögliche menschliche Kontrolle und Aufsicht des Systems (vgl. Art. 14 KI-VO) gewährleistet ist.

Darüber hinaus müssen Hochrisiko-KI-Systeme sicherstellen, dass sie ein hohes Maß an Genauigkeit, Robustheit und Cybersicherheit erreichen (vgl. Art 15 KI-VO). Bevor KI-Systeme mit hohem Risiko in Verkehr gebracht oder in Betrieb genommen werden dürfen, müssen sie einer Konformitätsbewertung nach Art. 43 KI-VO unterzogen werden. Diese Bewertung dient der Überprüfung der Einhaltung der rechtlichen Anforderungen und muss bei wesentlichen Änderungen des Systems wiederholt werden. Nach erfolgreicher Konformitätsprüfung müssen Hochrisiko-KI-Systeme in eine von der Kommission verwaltete EU-Datenbank (vgl. Art. 71) eingetragen werden. Um nach außen zu dokumentieren, dass das System den gesetzlichen Anforderungen entspricht, muss ggf. ein CE-Kennzeichen (vgl. Art. 48) am Produkt (bzw. an seiner Verkörperung) angebracht werden.

Für Anbieter von Hochrisiko-KI-Systemen gelten weitere umfassende Verpflichtungen, die sicherstellen sollen, dass die Systeme den strengen Anforderungen der KI-Verordnung entsprechen. Gemäß Art. 16 KI-VO müssen diese Anbieter gewährleisten, dass die Bestimmungen der Art. 8 bis 15 KI-VO erfüllt werden.

Zu den Anforderungen gehört insbesondere die Einrichtung eines Qualitätsmanagementsystems nach Art. 17 KI-VO, das systematische Kontroll- und Qualitätssicherungsmaßnahmen umfasst. Dieses System soll nicht nur die Datensätze verwalten und validieren, sondern auch die laufende Beobachtung des KI-Systems nach der Markteinführung sicherstellen. Ebenso müssen Prozesse zur Meldung von schwerwiegenden Vorfällen und Fehlfunktionen etabliert werden.

Ein besonderer Fokus liegt auf der Verhältnismäßigkeit der Maßnahmen: Kleine und mittlere Unternehmen (KMU) profitieren von einer Verhältnismäßigkeitsklausel in Art. 17 Abs. 2 KI-VO. Die Verhältnismäßigkeitsklausel soll sicherstellen, dass die Anforderungen im angemessenen Verhältnis zur Größe des Unternehmens stehen. Sollten trotz aller Maßnahmen dennoch Mängel festgestellt werden, sind die Anbieter verpflichtet, geeignete Korrekturmaßnahmen zu ergreifen und die zuständigen Behörden sowie die Nutzer über schwerwiegende Vorfälle zu informieren (Art. 20 KI-VO).

3. KI-Systeme mit geringem Risiko

Für KI-Systeme, die als Systeme mit geringem Risiko eingestuft werden, sieht die KI-Verordnung spezifische Transparenzpflichten vor. Trotz ihres geringen Risikopotentials müssen Anbieter und Betreiber solcher Systeme sicherstellen, dass natürliche Personen informiert werden, sobald sie mit einem KI-System interagieren. Diese Regelung nach Art. 50 KI-VO gilt unabhängig davon, ob das System ansonsten als risikoarm klassifiziert wurde.

Ein zentrales Beispiel hierfür ist der Einsatz von Chatbots. Zukünftig müssen Anbieter klar darauf hinweisen, wenn Nutzer mit einem KI-gesteuerten Chatbot anstatt mit einer menschlichen Person kommunizieren. Diese Hinweispflicht soll verhindern, dass Nutzer unwissentlich mit KI-Systemen interagieren und dadurch potenziell manipulierbar sind.

4. KI-Systeme mit minimalem Risiko

Für KI-Systeme, bei denen lediglich es minimales Risiko identifiziert werden kann, sieht die KI-Verordnung keine Regelungen vor. Denkbare wäre das beispielweise, die korrekte Konfiguration vorausgesetzt, beim Einsatz von KI im Rahmen von unternehmensinternen Suchfunktionen.

Sanktionen

Die KI-VO sieht entsprechende Sanktionen und Bußgelder bei verschiedenen Verstößen vor. So regelt Art. 99 KI-VO die unterschiedlichen Bußgeldhöhen je nach Schwere des Verstoßes. Demnach sind drei Bußgeldstufen definiert:

  • 99 Abs. 3 KI-VO: Verstöße gegen das Totalverbot werden mit Bußgeldern bis zu 35 000 000 EUR oder – im Falle von Unternehmen – von bis zu 7 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres belegt, je nachdem, welcher Betrag höher ist.
  • 99 Abs. 4 KI-VO: Für Verstöße gegen folgende für Akteure oder notifizierte Stellen geltende Bestimmungen, mit Ausnahme der in Artikel 5 genannten, werden Geldbußen von bis zu 15 000 000 EUR oder – im Falle von Unternehmen – von bis zu 3 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt, je nachdem, welcher Betrag höher ist. Genannt werden etwa Art. 16, 22, 23, 24, 26, 31, 33, 34 und 50 KI-VO.
  • 99 Abs. 5 KI-VO: Werden notifizierten Stellen oder zuständigen nationalen Behörden auf deren Auskunftsersuchen hin falsche, unvollständige oder irreführende Informationen bereitgestellt, so werden Geldbußen von bis zu 7 500 000 EUR oder – im Falle von Unternehmen – von bis zu 1 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt, je nachdem, welcher Betrag höher ist.

Erwähnenswert in diesem Zusammenhang ist, dass der EU- Gesetzgeber in Art. 99 Abs. 6 KI-VO eine Art Privilegierung für KMU und Startups aufgenommen hat:

Im Falle von KMU, einschließlich Start-up-Unternehmen, gilt für jede in diesem Artikel genannte Geldbuße der jeweils niedrigere Betrag aus den in den Absätzen 3, 4 und 5 genannten Prozentsätzen oder Summen.

Unterstützung bei der Umsetzung

Die Einhaltung der neuen KI-Verordnung stellt für viele Unternehmen eine Herausforderung dar. Als erfahrene Rechtsanwaltskanzlei bieten wir Ihnen umfassende Unterstützung bei der Umsetzung der Verordnung.

Zögern Sie nicht, uns zu kontaktieren, um sicherzustellen, dass Ihr Unternehmen die neuen gesetzlichen Anforderungen erfüllt und gleichzeitig die Chancen der KI-Technologie optimal nutzt.

RA Sebastian Schwiering
Wissenschaftlicher Mitarbeiter Jamal Lale