Jetzt Mitglied werden!
eRecht24.de

KI-Verordnung (KI-VO)

Was Unternehmen über den AI-Act der EU wissen müssen

Fachlich geprüft von: Rechtsanwalt Sören Siebert Rechtsanwalt Sören Siebert
(27 Bewertungen, 4.52 von 5)

Das Wichtigste in Kürze

  • Wer Künstliche Intelligenz in seinem Business nutzt, muss die KI-VO kennen.
  • Der AI-Act ist das erste KI-Gesetz und sieht Geldbußen in Millionenhöhe vor.
  • Ab 2. Februar 2025 gelten erste Pflichten - machen Sie Ihr Unternehmen jetzt fit für KI.
Ich möchte mich umfassend informieren Ich brauche rechtliche Unterstützung

Worum geht's?

Die Weiterentwicklung Künstlicher Intelligenz (KI) schreitet in großen Schritten voran, was wir alle seit 2023 am Beispiel ChatGPT miterleben. Am 1. August 2024 ist nun die KI-Verordnung der EU in Kraft getreten. Mit der Verordnung über künstliche Intelligenz (KI-VO, engl. Artificial Intelligence Act bzw. AI Act) soll ein einheitlicher rechtlicher Rahmen für die Entwicklung und Verwendung von KI geschaffen werden.
Da KI vermutlich auch aus Ihrem Unternehmensalltag nicht mehr wegzudenken ist, sollten Sie sich mit den neuen Regelungen rund um KI befassen, um rechtlich abgesichert zu sein und hohe Bußgelder zu vermeiden. Ob Webseitenbetreiber, Online-Shops oder Unternehmen - in diesem Artikel erhalten Sie einen Überblick über die KI-Verordnung und die neuen Pflichten, die auf Sie zukommen. In nur sieben Schritten können Sie sich bereits jetzt auf die anstehenden Pflichten vorbereiten.

1. Was regelt die KI-Verordnung?

Die KI-VO bzw. der AI- Act der Europäischen Union ist das weltweit erste „KI-Gesetz“, da es erstmals Regelungen für Künstliche Intelligenz schafft. Der AI Act ist allerdings kein allumfassender Rechtsrahmen für KI. Vielmehr geht es um die Klassifizierung und Sicherheit von KI-Systemen. Wichtige Themen, wie Urheberrecht und KI, sind nicht Teil der Verordnung.

Im Großen und Ganzen zielt die KI-Verordnung der EU darauf ab, Probleme und Risiken, die in Zusammenhang mit KI auftreten, zu lösen bzw. zu reduzieren, ohne dabei die Weiterentwicklung von KI übermäßig einzuschränken. Im Fokus stehen dabei folgende Kernziele:

  • Bestehende Grundrechte und Werte sollen gewahrt werden.
  • Rechtssicherheit soll zur Förderung von Investitionen geschaffen werden.
  • Governance und Sicherheitsanforderungen an KI sollen gestärkt werden.
  • Weiterhin soll die Entwicklung von rechtskonformen, sicheren und vertrauenswürdigen KI-Systemen erleichtert werden.

Was ist Künstliche Intelligenz?

Ein KI-System wird im AI-Act als ein maschinengestütztes System definiert, das für einen in unterschiedlichem Grade autonomen Betrieb ausgelegt ist und das nach seiner Betriebsaufnahme anpassungsfähig sein kann. Das System ist in der Lage, aus erhaltenen Eingaben Ziele abzuleiten (z. B. Erstellung von Inhalten, Formulierung von Empfehlungen, Treffen von Vorhersagen oder Entscheidungen), welche die Umgebung beeinflussen können.

Betrifft mich die EU-KI-Verordnung?

Die KI-Verordnung bringt umfassende Pflichten für Betreiber von KI-Systemen mit sich. Jedoch ergeben sich auch Pflichten für Nutzer von KI, die KI im Rahmen ihres Berufs verwenden. Wenn Sie also ChatGPT für’s Marketing, Chatbots im Online-Shop, KI für Qualitätskontrolle, zur Preisoptimierung oder im Human Resources nutzen, sollten Sie die KI-VO auf dem Schirm haben.

2. KI-Verordnung in 7 Schritten: Das müssen Sie jetzt tun

Sofern Sie KI in Ihrem Daily Business nutzen, werden die Regeln der neuen KI-Verordnung für Sie relevant sein. Erfahren Sie daher in sieben Schritten, was Sie als gewerblicher KI-Nutzer bereits jetzt tun können, um optimal auf den AI-Act vorbereitet zu sein.

In nur 7 Schritten
Seien Sie auf die KI-Verordnung vorbereitet!
  • Überblick über KI-Einsatz und KI-Planung: Zunächst sollten Sie prüfen, welche KI-Systeme Sie bereits nutzen oder entwickelt haben und welche künftig eingesetzt werden sollen. Erst durch diesen Überblick wird Ihnen klar, welche Regelungen des AI-Gesetzes Sie überhaupt betreffen.
  • Risikostufe der KI-Systeme: Ordnen Sie im nächsten Schritt die von Ihnen verwendeten KI-Systeme - soweit möglich - den Kategorien des AI Act (minimales, geringes, hohes Risiko, siehe Kapitel 3) zu. Achtung: Wenn Sie die Vermutung haben oder erkennen, dass Sie KI-Systeme verwenden, die zukünftig als Hochrisiko-KI-Systeme eingestuft werden, sollten Sie diese auf eine gesonderte Liste aufnehmen, da hier umfangreiche Pflichten auf Sie zukommen.
  • Bewusstsein schaffen: Nach Art. 4 KI-VO müssen Sie sicherstellen, dass Ihre Mitarbeiter, die KI einsetzen, auch über ausreichend KI-Kenntnisse verfügen. Nutzen Sie bereits jetzt Schulungen oder Workshops für Ihre Mitarbeiter, um einen sicheren und risikoarmen Einsatz von KI-Systemen in Ihrem Unternehmen zu gewährleisten. Zusätzlich sollten Sie Richtlinien einsetzen, die Ihre Mitarbeiter für den Umgang mit KI sensibilisieren. Wichtig: Die KI-Kompetenz müssen Sie bereits ab dem 2. Februar 2024 sicherstellen.
  • Benennung eines KI-Verantwortlichen: Je nach Umfang des KI-Einsatzes kann es sinnvoll sein, einen Verantwortlichen für die genutzten KI-Systeme zu benennen. Dieser überwacht den Einsatz der KI-Systeme im Unternehmen und damit verbundene Pflichten.
  • Datenschutz: Sie müssen im Rahmen des Einsatzes von KI-Systemen den Datenschutz sicherstellen. Darüber hinaus sollten Sie darauf achten, dass das von Ihnen verwendete KI-System auf zuverlässigen und richtigen Daten beruht.
  • Kennzeichnungspflicht: Als Nutzer von KI müssen Sie nach Art. 50 KI-VO selbst Inhalte nur als KI-generiert kennzeichnen, wenn Sie Deep Fakes generieren und Texte erstellen, die die Öffentlichkeit über Angelegenheiten von öffentlichem Interesse informieren. Entwickler bzw. Anbieter von KI sind hingegen verpflichtet, KI-Inhalte Ihrer KI zu kennzeichnen. Bestehende Kennzeichnungen KI-generierter Inhalte, wie Wasserzeichen, sollten Sie nicht entfernen.
  • Bleiben Sie aktuell: Informieren Sie sich über das Inkrafttreten und den aktuellen Stand der KI-Verordnung.

 

ACHTUNG: KI-Anbieter vs. KI-Nutzer

Für KI-Nutzer gelten weitaus geringere Pflichten als für KI-Anbieter. Wenn Sie selbst Anbieter von KI-Systemen sind, werden im Rahmen des KI-Gesetzes auf Sie wesentlich umfangreichere Pflichten zukommen. Als Anbieter gilt, wer eine KI entwickelt hat und unter eigenem Namen oder Marke in Verkehr bringt. Das gilt auch und insbesondere für White-Label-KI, also vorgefertigte KI, die Sie kaufen und wesentlich verändern oder nach sich bzw. Ihrer Marke umbenennen. Überprüfen Sie also, ob Sie mit Ihrer “hauseigenen” KI schon unter die Pflichten des KI-Anbieters fallen.

Aus dem KI-Gesetz ergibt sich zum Beispiel, dass Anbieter von KI-Systemen dafür sorgen müssen, dass Ergebnisse (Audio-, Bild-, Video- oder Textinhalte) in maschienenlesbarer Form gekennzeichnet und als KI-generiert erkannt werden (z. B. Metadatenidentifizierungen oder digitales Wasserzeichen).

Auch bei KI-Chatbots müssen sich die Anbieter darum kümmern, dass das System so entwickelt ist, dass Chat-Nutzer darüber informiert werden, dass sie mit einer KI interagieren.

Auch beim Thema Datenschutzrecht und Chatbots gibt es einige rechtliche Stolperfallen, die Sie beachten müssen. Lesen Sie mehr dazu in unserem Beitrag zum Thema “Wie setze ich Chatbots im Unternehmen DSGVO-konform ein?”.

Sören Siebert
Sören SiebertRechtsanwalt

3. Darum ist die KI-Verordnung für Ihr Unternehmen relevant

Der wesentliche Bestandteil der Verordnung ist die Klassifizierung von KI-Systemen nach damit verbundenen Risiken. Je nachdem, in welche Risikokategorie ein KI-System fällt, sind unterschiedliche Compliance- und Informationspflichten umzusetzen. Dabei werden KI-Systeme nach ihrem Risiko eingeteilt (unannehmbares, hohes, geringes und minimales Risiko). Es gilt: Je riskanter ein KI-System ist, desto strenger sind die Anforderungen an Compliance und Informationspflichten - bis hin zum Verbot von bestimmter KI.

Geringes und minimales Risiko

Die Mehrheit der KI-Systeme fallen unter die Kategorien „geringes Risiko” (z. B. Chatbots) und “minimales Risiko“ (z. B. Spam-Filter). Bei KI mit minimalem Risiko werden künftig Transparenzpflichten zu berücksichtigen sein, sodass z. B. Nutzern beim Chatten mit einem Chatbot klar gemacht werden muss, dass sie mit einer KI und keinem Menschen kommunizieren.

Hochrisiko-KI-Systeme

Ein besonderes Augenmerk legt die Verordnung auf die Regulierung von Hochrisiko-KI-Systemen. Hochrisiko-KI-Systeme sind solche, die ein hohes Risiko für die Gesundheit, Sicherheit oder Grundrechte von Menschen aufweisen. Daher werden auf Nutzer und Anbieter strengste Pflichten zukommen. Nutzer müssen beispielsweise den Betrieb des KI-Systems überwachen und eine Datenschutz-Folgenabschätzung durchführen.

PRAXISBEISPIEL

Ein KI-System mit hohem Risiko wäre beispielsweise der Einsatz von KI im Recruiting für die Auswahl geeigneter Bewerber für eine Stelle . Ein hohes Risiko kann hier im sogenannten “Bias” der KI liegen. Wenn die KI beispielsweise mit Daten trainiert wurde, nach denen überwiegend Männer für die konkrete Stelle ausgewählt wurden, kann es passieren, dass Frauen von der KI in der Bewerberauswahl aufgrund Ihres Geschlechts diskriminiert und nicht berücksichtigt werden. Eine solche automatische Entscheidungsfindung wäre allerdings ohnehin nach DSGVO-Gesichtspunkten ohne eine Einwilligung nicht zulässig (Art. 22 DSGVO).

Hochrisiko-KI-Systeme können für Webseitenbetreiber, Online-Shops und Unternehmen durchaus praxisrelevant sein. Wenn Sie im Personalmanagement eine KI nutzen, ist die Wahrscheinlichkeit groß, dass diese KI künftig als Hochrisiko-KI-System eingeordnet wird.

Verbot von KI-Systemen

Bestimmte KI-Praktiken, die riskant für Grundrechte und Werte der Europäischen Union sind, sollen durch die KI-Verordnung verboten werden. Darunter fallen z. B. eine KI zur automatisierten Erkennung von Emotionen am Arbeitsplatz oder das Social Scoring, wobei das menschliche Verhalten analysiert und bewertet wird. Eine ausführliche Auflistung verbotener KI-Systeme finden Sie in Anlage III der KI-VO.

Für Webseitenbetreiber, Online-Shops und kleine Unternehmen spielt dieses Verbot eine geringfügige Rolle, da solche KI-Systeme in der Regel nicht verwendet werden.

Sören Siebert
Sören SiebertRechtsanwalt

Sonderfall: KI-System mit allgemeinem Verwendungszweck

Darüber hinaus gibt es besondere Pflichten für KI mit allgemeinem Verwendungszweck, worunter ein KI-System fällt, wenn es allgemein verwendbar ist und ein weites Spektrum unterschiedlicher Aufgaben erfüllen kann. Darunter fallen z. B. ChatGPT, DALL-E und Midjourney.

Wenn eine solche KI mit allgemeinem Verwendungszweck besonders leistungsstark ist, wird sie als KI-Modell mit allgemeinem Verwendungszweck mit systemischem Risiko eingestuft und es gelten weitere Pflichten. Eine solche KI liegt z.B. bei GPT-4 von Open-AI vor.

4. Bußgelder: Was passiert, wenn ich mich nicht an die Regelungen halte?

Unternehmen, die gegen die Bestimmungen der KI-Verordnung verstoßen, müssen zukünftig mit Geldbußen rechnen:

  • bis zu 35 Mio. € bzw. 7% des weltweiten Jahresumsatzes für Verstöße in Zusammenhang mit verbotenen KI-Systemen
  • bis zu 15 Mio. € bzw. 3% des weltweiten Jahresumsatzes für Verstöße gegen die Pflichten, die sich aus der KI-VO ergeben
  • bis zu 7,5 Mio. € bzw. 1 % des weltweiten Jahresumsatzes für die Bereitstellung von fehlerhaften Informationen

WICHTIG

Für kleine und mittelständische Unternehmen sowie Start-ups sollen allerdings geringere Obergrenzen gelten.

5. Wann tritt der AI-Act in Kraft?

Die KI-Verordnung trat am 1. August 2024 in Kraft und wird stufenweise gelten. Einige Pflichten, die Sie betreffen könnten, gelten schon ab Februar 2025. Erhalten Sie nachfolgend einen Überblick über die zeitliche Entwicklung der KI-VO.

BISHERIGE ENTWICKLUNG

  • 2021: Die Europäische Kommission legt einen Entwurf für die Verordnung des Europäischen Parlaments und des Rates zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz (Gesetz über künstliche Intelligenz) vor.
  • 2022: Der Europäische Rat veröffentlicht seine Position zum Entwurf.
  • 2023: Europäisches Parlament und Rat verabschieden den AI-Act.
  • 2024: Am 1. August 2024 ist die KI-Verordnung in Kraft getreten.

AUSBLICK

  • 2. Februar 2025: Regelungen über KI-Kompetenz der Mitarbeiter und für verbotene KI-Praktiken gelten.
  • 2. August 2025: Regelungen für KI mit allgemeinem Verwendungszweck, Regelungen für Behörden, Governance und Sanktionen gelten.
  • 2. August 2026: Generelle Anwendbarkeit des AI-Gesetzes (u.a. Regelung zur Kennzeichnungspflicht für KI).
  • 2. August 2027: Regelungen für Hochrisiko-KI und deren Einstufung gelten.

Übrigens: Über die KI-Verordnung hinaus wird derzeit ein weltweites Abkommen (KI-Konvention des Europarates) verhandelt. Lesen Sie in unserer News Der Europarat verhandelt derzeit über eine Konvention über Künstliche Intelligenz mehr dazu.

KANZLEI KONTAKTIEREN

KANZLEI SIEBERT LEXOW LANG

Sie benötigen rechtliche Unterstützung zum Thema "KI" in Ihrem Online-Business? Dann kontaktieren Sie unsere Partnerkanzlei Siebert Lexow Lang.

KANZLEI KONTAKTIEREN
Frauke Frotscher
Frauke Frotscher, LL.M.
Legal Writerin

Frauke Frotscher ist Wirtschaftsjuristin und hat sich im Rahmen ihres Masterstudiums im internationalen Lizenzrecht auf die Rechtsgebiete des Urheber-, Marken- und Vertragsrechts sowie das Zusammenspiel von Recht und Künstlicher Intelligenz spezialisiert. Mit diesen Schwerpunkten verstärkt sie seit 2023 das eRecht24-Redaktionsteam als Legal Writerin. Aufgrund ihrer vorherigen Tätigkeit als Juristin einer Rechtsabteilung, ist sie Expertin in der verständlichen Kommunikation juristischer Inhalte.

Rechtsanwalt Sören Siebert
Sören Siebert
Rechtsanwalt und Gründer von eRecht24

Rechtsanwalt Sören Siebert ist Gründer von eRecht24 und Inhaber der Kanzlei Siebert Lexow. Mit 20 Jahren Erfahrung im Internetrecht, Datenschutz und ECommerce sowie mit mehr als 10.000 veröffentlichten Beiträgen und Artikeln weist Rechtsanwalt Sören Siebert nicht nur hervorragende Fach-Expertise vor, sondern hat auch das richtige Gespür für seine Leser, Mandanten, Kunden und Partner, wenn es um rechtssichere Lösungen im Online-Marketing und B2B / B2C Dienstleistungen sowie Online-Shops geht. Neben den zahlreichen Beiträgen auf eRecht24.de hat Sören Siebert u.a. auch diverse Ebooks und Ratgeber zum Thema Internetrecht publiziert und weiß ganz genau, worauf es Unternehmern, Agenturen und Webdesignern im täglichen Business mit Kunden ankommt: Komplexe rechtliche Vorgaben leicht verständlich und mit praktischer Handlungsanleitung für rechtssichere Webseiten umsetzen.

Ich möchte mit eRecht24 chatten!
Datenschutzhinweis: Ihre Daten und Ihre Chateingaben werden in unserem Chat-Tool Brevo verarbeitet, sobald Sie zustimmen, den Chat mit uns zu beginnen. Sie können Ihre Zustimmung jederzeit zurücknehmen. Details hierzu entnehmen Sie unserer Datenschutzerklärung.
eRecht24 - Unsere praktischen Tools und hilfreichen Tutorials

mitgliederbereich teaser

Exklusiv für unsere Mitglieder

Alles was Webseitenbetreiber, Agenturen und Selbständige wirklich brauchen: Tools, Wissen, Musterverträge, Erstberatung und Live-Webinare.

Mehr Informationen

dsgvo teaser

Jetzt eRecht24 Premium Affiliate werden

Als eRecht24 Premium Affiliate Partner empfehlen Sie eine Lösung, mit der bereits mehr als 370.000 Webseiten erfolgreich rechtlich abgesichert wurden und erhalten dafür eine 25% Lifetime Provision!

Jetzt Affiliate werden

webinar teaser

Online Schulung mit RA Siebert

Die 7 häufigsten Abmahnfallen auf Webseiten und wie Sie diese einfach und ohne teuren Anwalt vermeiden. So haben Abmahner keine Chance!

Mehr Details