KI-Verordnung: Was die neuen Verordnungen bedeuten

Künstliche Intelligenz (KI) entwickelt sich rasant und bietet Unternehmen in nahezu allen Branchen neue Möglichkeiten – von Prozessoptimierungen über personalisierte Kundeninteraktionen bis hin zu datengetriebenen Geschäftsmodellen. Doch mit den Chancen wachsen auch die regulatorischen Anforderungen. Nationale und internationale Gesetzgeber arbeiten mit Hochdruck an Rahmenbedingungen, die den sicheren und ethischen Einsatz von KI sicherstellen sollen.Besonders der AI Act der EU, der als weltweit erstes umfassendes KI-Gesetz gilt, setzt Maßstäbe für Unternehmen, die KI-Systeme entwickeln oder einsetzen. Themen wie Transparenz, Risikobewertung und Datenschutz rücken zunehmend in den Fokus. Unternehmen müssen sich darauf einstellen, ihre KI-Strategien nicht nur an technologische Innovationen, sondern auch an rechtliche Anforderungen anzupassen.

In diesem Beitrag werfen wir einen Blick auf die aktuellen und kommenden KI-Verordnungen und beleuchten deren Auswirkungen auf Unternehmen.

Was ist die KI-Verordnung?

Die Europäische Union hat mit der KI-Verordnung einen rechtlichen Rahmen geschaffen, der den sicheren und transparenten Einsatz von Künstlicher Intelligenz gewährleisten soll. Ziel der Verordnung ist es, Risiken zu minimieren und das Vertrauen in KI-Technologien zu stärken. Sie klassifiziert KI-Systeme nach ihrem Risikopotenzial und definiert entsprechende Anforderungen für ihre Entwicklung und Nutzung. Die Verordnung gilt für alle Unternehmen, die KI-Systeme innerhalb der EU einsetzen oder deren Ergebnisse sich auf Personen in der EU auswirken – unabhängig davon, ob es sich um große Konzerne oder kleine und mittlere Unternehmen (KMU) handelt. Besonders betroffen sind Unternehmen, die KI-Technologien in ihre Produkte oder Dienstleistungen integrieren.

Die KI-Verordnung trat am 1. August 2024 in Kraft und wird schrittweise umgesetzt, um Unternehmen ausreichend Zeit zur Anpassung zu geben. Die wichtigsten Fristen sind:

• 2. Februar 2025: Verbot von KI-Systemen, die ein unannehmbares Risiko darstellen.
• 2. August 2025: Vorschriften für KI-Systeme mit allgemeinem Verwendungszweck, z. B. Basismodelle wie Chat-GPT, treten in Kraft.
• 2. August 2026: Generelle Anwendbarkeit der KI-Verordnung für alle betroffenen Systeme.
• 2. August 2027: Spezifische Anforderungen für Hochrisikosysteme treten in Kraft.

Überwachung und Sanktionen

Jedes EU-Mitgliedsland ist verpflichtet, spezielle Aufsichtsbehörden zu benennen, die für die Einhaltung der KI-Verordnung zuständig sind. Diese Behörden dienen als zentrale Anlaufstellen für die Meldung potenzieller Verstöße und übernehmen die Überwachung der gesetzlichen Vorgaben. Unternehmen, die gegen die Bestimmungen der KI-Verordnung verstoßen, müssen mit erheblichen Strafen rechnen. Je nach Schwere des Verstoßes können Bußgelder von bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes eines Unternehmens verhängt werden – je nachdem, welcher Betrag höher ist.

Kennzeichnung von KI-generierten Inhalten:

Das Ziel dieser Regelung ist es, dass Nutzer KI-generierte Inhalte von menschlich erstellten Inhalten unterscheiden können. Daher sind Kennzeichnungen verpflichtend. Es wird empfohlen, bestehende Hinweise auf KI-generierte Inhalte nicht zu entfernen. Zukünftig werden die Allgemeinen Geschäftsbedingungen (AGB) der KI-Tools und gerichtliche Urteile Klarheit schaffen.

Regulierung großer Sprachmodelle (LLMs): Anforderungen und Empfehlungen für Unternehmen

Die Regulierung großer Sprachmodelle (Large Language Models, LLMs) betrifft sowohl Anbieter als auch Betreiber von KI-Systemen. Insbesondere Unternehmen, die KI-basierte Technologien in ihre Geschäftsprozesse integrieren oder ihren Kunden zur Verfügung stellen, müssen sich an die neuen Vorgaben halten. Dabei sind nicht zwingend Endverbraucher direkt betroffen, sondern in erster Linie Unternehmen und ihre Geschäftspartner, die mit diesen Systemen arbeiten oder sie weiterverbreiten.

Verbotene KI-Praktiken und Hochrisiko-Anwendungen gemäß Artikel 5 des KI-Gesetzes

Das KI-Gesetz der EU definiert eine Reihe von Praktiken, die aufgrund ihres hohen Gefährdungspotenzials vollständig verboten sind. Diese Maßnahmen sollen den Schutz der Privatsphäre, Sicherheit und Grundrechte der Bürger gewährleisten.

Verbotene KI-Praktiken:
Die folgenden KI-Anwendungen sind nicht zulässig:

• Soziales Scoring: Der Einsatz von KI zur Bewertung oder Klassifizierung von Menschen anhand ihres sozioökonomischen Status oder persönlicher Eigenschaften ist untersagt.
• Biometrische Massenüberwachung: Der Einsatz von KI zur biometrischen Identifikation in öffentlichen Räumen ist grundsätzlich verboten, es sei denn, es liegt eine schwerwiegende Bedrohung der öffentlichen Sicherheit vor.
• Ausnutzung schutzbedürftiger Gruppen: KI-Systeme, die gezielt die Schwächen von Kindern oder anderen schutzbedürftigen Gruppen ausnutzen oder gefährliches Verhalten fördern, sind untersagt.
• Täuschende Deepfakes: Die Erzeugung oder Manipulation von Bild-, Audio- oder Videoinhalten auf täuschend realistische Weise ohne Einwilligung oder entsprechende Kennzeichnung ist nicht erlaubt, insbesondere wenn dies zur Irreführung dient.
• Emotionserkennung am Arbeitsplatz: KI-Systeme, die zur Überwachung der emotionalen Zustände von Arbeitnehmern eingesetzt werden, sind verboten, da sie in die Privatsphäre eingreifen und das Wohlbefinden am Arbeitsplatz gefährden können.

Hochrisiko-KI-Systeme:

Neben den vollständig verbotenen Anwendungen gibt es KI-Systeme, die als besonders risikobehaftet gelten und strengen Regulierungen unterliegen. Diese Systeme dürfen nur unter Einhaltung spezifischer Sicherheits- und Transparenzanforderungen eingesetzt werden:

• Kritische Infrastrukturen: KI-Anwendungen, die für den Betrieb und die Verwaltung kritischer Infrastrukturen, wie im Energie- oder Transportwesen, eingesetzt werden, unterliegen besonderen Sicherheitsanforderungen.
• Bildung: KI-Systeme, die bei der Entscheidung über den Zugang zu Bildungs- und Ausbildungseinrichtungen oder bei der Leistungsbewertung von Schülern und Studierenden verwendet werden, gelten als hochriskant und müssen strenge Standards einhalten.
• Arbeitswelt: Der Einsatz von KI zur Unterstützung von Personalentscheidungen – etwa bei Einstellungen, Beförderungen oder Kündigungen – sowie zur Überwachung von Arbeitsleistung und Verhalten erfordert besondere Vorsichtsmaßnahmen.
• Kreditwürdigkeitsprüfung: KI-Systeme, die zur Bewertung der Kreditwürdigkeit natürlicher Personen verwendet werden, gelten als hochriskant. Eine Ausnahme bildet der Einsatz zur Betrugserkennung im Finanzsektor.

Pflichten der Anbieter:

Anbieter von KI-Systemen sind verpflichtet, sicherzustellen, dass sämtliche KI-generierten Inhalte eindeutig gekennzeichnet werden. Dies kann durch Hinweise wie „künstlich erzeugt“ oder „manipuliert“ erfolgen. Die entsprechenden Kennzeichnungen müssen bestimmte Anforderungen erfüllen: Sie müssen maschinenlesbar, wirksam, interoperabel, belastbar und zuverlässig sein, um die Identifizierung und Nachverfolgbarkeit sicherzustellen. Ziel ist es, Transparenz zu gewährleisten und Nutzer klar über die Herkunft von Inhalten zu informieren.

Pflichten der Betreiber:

Unternehmen, die KI-generierte Inhalte nutzen oder verbreiten, tragen ebenfalls Verantwortung und müssen sicherstellen, dass solche Inhalte in bestimmten Fällen als künstlich erzeugt oder manipuliert gekennzeichnet werden. Dies gilt insbesondere, wenn:

• der betreffende Text oder Inhalt veröffentlicht wird,
• keine manuelle Nachbearbeitung durch Menschen erfolgt ist,
• die inhaltliche Richtigkeit nicht durch einen manuellen Prüfprozess bestätigt wurde.

Ausnahme:
Eine Kennzeichnungspflicht entfällt, wenn eine gründliche menschliche Überprüfung, redaktionelle Bearbeitung oder inhaltliche Anpassung des KI-generierten Materials vorgenommen wurde. In solchen Fällen wird davon ausgegangen, dass der Mensch die Verantwortung für den finalen Inhalt übernimmt und die KI lediglich als unterstützendes Werkzeug dient.

Empfehlung für Unternehmen:

Um den Anforderungen der neuen Regulierung gerecht zu werden, sollten Unternehmen frühzeitig Maßnahmen zur Anpassung ihrer Systeme und Prozesse einleiten. Dies umfasst die Implementierung geeigneter Kennzeichnungsmechanismen sowie die Sensibilisierung der Mitarbeiter*innen für die neuen Vorgaben. Eine proaktive Herangehensweise hilft dabei, potenzielle rechtliche Risiken zu minimieren und den Übergang zu den neuen Regelungen reibungslos zu gestalten. Zudem sollte bei der Verwendung von KI-Tools das Urheberrecht und das Markenrecht beachtet werden. 

Durch die schrittweise Einführung der KI-Verordnung haben Unternehmen ausreichend Zeit, sich auf die Veränderungen einzustellen und ihre internen Strukturen entsprechend auszurichten. Dennoch ist es ratsam, frühzeitig aktiv zu werden, um mögliche Herausforderungen rechtzeitig zu identifizieren und Lösungen zu entwickeln.

Hinweis: Dieser Beitrag dient ausschließlich Informationszwecken und stellt keine Rechtsberatung dar. Für verbindliche rechtliche Einschätzungen wenden Sie sich bitte an eine qualifizierte Rechtsberatung.