Die KI-Verordnung: Aus­wir­kun­gen und Anforderungen 

Am 12. Juli 2024 wur­de die KI-Verordnung (EU) 2024/1689, auch AI Act genannt, nach lan­gen Ver­hand­lun­gen im Amts­blatt der Euro­päi­schen Uni­on ver­öf­fent­licht. Sie ist am 1. August 2024 in Kraft getre­ten. Mit der neu­en Ver­ord­nung kom­men umfang­rei­che Anfor­de­run­gen auf Unter­neh­men zu. Ers­te Anfor­de­run­gen müs­sen Unter­neh­men bereits ab dem 2. Febru­ar 2025 erfül­len. Vie­le wei­te­re Anfor­de­run­gen gel­ten ab dem 2. August 2026.

Ziel der KI-Verordnung

Mit der KI-Verordnung soll in der EU ein Rechts­rah­men für den siche­ren und trans­pa­ren­ten Ein­satz von KI-Systemen geschaf­fen wer­den. Dar­un­ter fal­len Sys­te­me, die mit einem gewis­sen Grad an Auto­no­mie agie­ren, anpas­sungs­fä­hig sind und aus Ein­ga­ben Inhal­te, Vor­her­sa­gen, Emp­feh­lun­gen oder Ent­schei­dun­gen gene­rie­ren kön­nen. Zu den beson­ders kon­tro­vers dis­ku­tier­ten Anwen­dungs­be­rei­chen gehö­ren nicht nur Chat­bots wie ChatGPT oder Micro­soft Copi­lot, son­dern auch Tech­no­lo­gien wie die KI-gestützte Gesichts­er­ken­nung, die bei­spiels­wei­se bei den Olym­pi­schen Spie­len in Paris zum Ein­satz kommt.

Risi­ko­ba­sier­ter Ansatz

Die KI-Verordnung ver­folgt einen risi­ko­ba­sier­ten Ansatz und unter­schei­det zwi­schen ver­bo­te­ner KI, Hochrisiko-KI, Gene­ral Pur­po­se AI (GPAI) sowie KI mit gerin­gem oder mini­ma­lem Risi­ko. Je höher das Risi­ko eines KI-Systems ist, der Gesell­schaft Scha­den zuzu­fü­gen, des­to stren­ger sind die Anfor­de­run­gen der KI-Verordnung. Bereits ab dem 2. Febru­ar 2025 sol­len Anwen­dun­gen mit inak­zep­ta­blem Risi­ko, wie zum Bei­spiel Social Scoring, ver­bo­ten sein. Kern­stück der KI-Verordnung sind die Vor­ga­ben für Hochrisiko-KI, die ab dem 2. August 2026 gel­ten. Die Rege­lun­gen für GPAI, zu denen auch Lar­ge Lan­guage Models (LLM) gehö­ren, gel­ten ab dem 2. August 2025. Die Ver­ord­nung sieht unter ande­rem Trans­pa­renz­pflich­ten, mensch­li­che Auf­sichts­me­cha­nis­men sowie detail­lier­te Dokumentations- und Berichts­pflich­ten vor.

Recht­li­che Problemfelder

Nicht nur die Fra­ge der zustän­di­gen Auf­sichts­be­hör­de wird noch hef­tig dis­ku­tiert. In Deutsch­land sind neben den Daten­schutz­auf­sichts­be­hör­den auch die Bun­des­netz­agen­tur oder sogar eine eige­ne Bun­des­be­hör­de für Digi­ta­les im Gespräch. Unge­ach­tet des lau­fen­den Kom­pe­tenz­ge­ran­gels ist schon jetzt klar: Die DSGVO bleibt von der KI-Verordnung unbe­rührt. Sobald eine KI per­so­nen­be­zo­ge­ne Daten ver­ar­bei­tet, sind die Daten­schutz­auf­sichts­be­hör­den daher in dem Fall zustän­dig und die daten­schutz­recht­li­chen Spiel­re­geln sind zu beach­ten. Neben den klas­si­schen Her­aus­for­de­run­gen des Daten­schutz­rechts tre­ten neue Fra­gen auf wie die recht­li­che Bewer­tung von Lar­ge Lan­guage Modells (LLMs) oder die Rechts­grund­la­ge für die Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Trai­nings­da­ten.

Die Rech­te an Trai­nings­da­ten, Prompts und Out­puts beschäf­ti­gen inzwi­schen nicht nur US-amerikanische Gerich­te, wie im Streit zwi­schen der „New York Times“ und Ope­nAI, son­dern auch die Recht­spre­chung in Deutsch­land. Die KI-Verordnung ver­pflich­tet Anbie­ter von KI, Stra­te­gien zur Ein­hal­tung des Urhe­ber­rechts zu imple­men­tie­ren, und legt Trans­pa­renz­pflich­ten für das Trai­ning von KI-Modellen fest. Vie­le urhe­ber­recht­li­che Fra­gen sind heu­te noch unbeantwortet.

Zu den recht­li­chen Anfor­de­run­gen der KI-Verordnung gehört auch die Cyber­si­cher­heit. Hochrisiko-KI-Systeme müs­sen ein ange­mes­se­nes Maß an Genau­ig­keit, Robust­heit und Cyber­si­cher­heit auf­wei­sen. Han­delt es sich um Pro­duk­te mit digi­ta­len Ele­men­ten müs­sen dar­über hin­aus zusätz­li­che Anfor­de­run­gen des Cyber Resi­li­ence Act (CRA) erfüllt werden.

Aus­wir­kun­gen für Unternehmen

Unter­neh­men, die KI-Systeme ent­wi­ckeln, her­stel­len, ver­trei­ben oder ein­set­zen, soll­ten sich bereits jetzt auf die neu­en Anfor­de­run­gen ein­stel­len und früh­zei­tig mit der Über­prü­fung ihrer Sys­te­me und Pro­zes­se begin­nen. Emp­feh­lens­wert ist eine umfas­sen­de KI-Strategie, die alle rele­van­ten Stake­hol­der ein­be­zieht und tech­ni­sche, recht­li­che und geschäft­li­che Anfor­de­run­gen defi­niert. Deut­lich wird auch, dass bei der Iden­ti­fi­zie­rung und Umset­zung von Maß­nah­men ein ganz­heit­li­cher Ansatz erfor­der­lich ist, der die Wech­sel­wir­kun­gen der Rechts­ak­te berück­sich­tigt. Wer gegen die Ver­ord­nung ver­stößt und ver­bo­te­ne KI ein­setzt, muss mit einem Buß­geld von bis zu sie­ben Pro­zent des welt­wei­ten Jah­res­um­sat­zes oder maxi­mal 35 Mil­lio­nen Euro rechnen.

Fazit

Die KI-Verordnung stellt Unter­neh­men vor Her­aus­for­de­run­gen, aber auch Chan­cen. Durch die früh­zei­ti­ge Imple­men­tie­rung der erfor­der­li­chen Maß­nah­men kön­nen Unter­neh­men sich mit KI einen Wett­be­werbs­vor­teil verschaffen.

Down­load

reuschlaw Onepager KI-Verordnung

reusch­law One­pager KI-Verordnung

zurück

Bleiben Sie
up to date

Wir verwenden Ihre E-Mail-Adresse ausschließlich für den Versand unseres Newsletters. Sie können Ihre Einwilligung hierfür jederzeit mit Wirkung für die Zukunft widerrufen. Weitere Informationen entnehmen Sie bitte unserer Datenschutzerklärung.