Was die KI-Verordnung für Unternehmen bedeutet

Zielsetzung und Geltungsbereich: Technologieförderung mit Regulierung

Die KI-Verordnung verfolgt das Ziel, vertrauenswürdige KI zu fördern, zugleich aber Risiken zu minimieren, die aus ihrer Nutzung entstehen können. Typische Gefahren wie Diskriminierung, Verzerrung, Intransparenz, fehlerhafte Entscheidungen, Sicherheitsrisiken oder ein Verlust menschlicher Kontrolle sollen verhindert werden. Dabei geht es ausdrücklich nicht darum, den technologischen Fortschritt zu behindern, sondern diesen in verantwortungsvolle Bahnen zu lenken.

Der Anwendungsbereich der Verordnung ist weit gefasst: Sie gilt für sämtliche KI-Systeme, die in der EU in Verkehr gebracht, in Betrieb genommen oder verwendet werden – unabhängig davon, ob die Entwicklung innerhalb oder außerhalb der Union erfolgt ist. Auch dann, wenn ein KI-System außerhalb der EU betrieben wird, sein Output aber innerhalb der EU Wirkung entfaltet, greift die KI-VO.

Was ist ein KI-System – und was ein KI-Modell?

Die Verordnung nutzt bewusst eine differenzierte Terminologie. Sie spricht nicht allgemein von „KI“, sondern definiert präzise den Begriff des „KI-Systems“. Gemeint ist damit ein maschinengestütztes System, das mit einem gewissen Maß an Autonomie Eingaben verarbeitet, um Vorhersagen, Empfehlungen oder Entscheidungen zu treffen, die reale oder virtuelle Umgebungen beeinflussen können.

Darüber hinaus regelt die KI-VO auch sogenannte KI-Modelle. Diese stellen die algorithmische Grundlage eines KI-Systems dar. Große Sprachmodelle wie GPT-4, Claude oder LLaMA sind prominente Beispiele. Sie werden nicht nur in einer, sondern in vielen verschiedenen Anwendungen eingesetzt und können je nach konkretem Einsatz unter ganz unterschiedliche Regelungen der Verordnung fallen.

Risikokategorien: Ein abgestuftes Regulierungsmodell

Zentrales Strukturprinzip der KI-VO ist die Einteilung von KI-Systemen in vier Risikoklassen. Je nach Einstufung gelten unterschiedlich umfangreiche Anforderungen – bis hin zu einem vollständigen Verbot.

1. Verbotene KI-Praktiken

Diese Systeme sind von der Verordnung untersagt. Dazu gehören KI-Systeme, die Menschen auf manipulative Weise beeinflussen, ihre Schwächen ausnutzen oder erhebliche Verhaltensänderungen mit nachteiligen Folgen auslösen. Ebenfalls verboten sind Systeme zur sozialen Bewertung („Social Scoring“), zur biometrischen Kategorisierung mit Rückschlüssen auf sensible Merkmale wie politische Überzeugungen oder sexuelle Orientierung sowie KI-Anwendungen zur Vorhersage zukünftiger Straftaten oder zur Emotionserkennung am Arbeitsplatz oder in Bildungseinrichtungen. Auch der Aufbau von Gesichtserkennungsdatenbanken durch massenhaftes Auslesen von Bildern aus dem Internet fällt unter die Verbotsnorm.

2. Hochrisiko-KI-Systeme

Hierzu zählen Anwendungen in sensiblen Bereichen wie der Gesundheitsversorgung, der Personalgewinnung, der Bildung, dem Verkehr oder der Verwaltung kritischer Infrastruktur. Besonders relevant für Unternehmen sind Systeme zur Bewerberauswahl, Leistungsbewertung oder Kreditwürdigkeitsprüfung. Auch KI, die in Justiz, Strafverfolgung oder an Grenzen eingesetzt wird, fällt unter diese Kategorie. Für diese Systeme gelten strenge Vorgaben, etwa zur Datengovernance, zur Dokumentation, zur Transparenz, zur menschlichen Kontrolle und zur technischen Sicherheit.

3. Systeme mit begrenztem Risiko

Diese Anwendungen dürfen grundsätzlich verwendet werden, müssen jedoch bestimmte Transparenzpflichten erfüllen. Nutzer müssen darüber informiert werden, dass sie mit einer KI interagieren. Auch das Nachvollziehen der Entscheidungslogik muss möglich sein – etwa bei Chatbots oder generativen Systemen im Kundensupport.

4. Systeme mit minimalem Risiko

Hierzu zählen etwa KI-Anwendungen zur Spamfilterung oder in Videospielen. Abgesehen von der allgemeinen Pflicht zur Sicherstellung von KI-Kompetenz bestehen für diese Systeme keine spezifischen regulatorischen Anforderungen.

Daneben gibt es eine Sonderkategorie für sogenannte KI-Modelle mit allgemeinem Verwendungszweck. Diese Modelle – wie GPT-4 – werden häufig von Drittanbietern zur Verfügung gestellt und in verschiedenste Anwendungen integriert. Die KI-VO verpflichtet Entwickler solcher Modelle zur Einhaltung besonderer Sicherheits-, Transparenz- und Robustheitsanforderungen.

Wer muss handeln? Rollen und Pflichten der Akteure

Die KI-VO differenziert zwischen verschiedenen Akteuren mit jeweils eigenen Verantwortungsbereichen. Anbieter sind diejenigen, die ein KI-System entwickeln oder unter eigenem Namen in Verkehr bringen. Einführer holen Systeme aus Drittländern in die EU und müssen deren Konformität sicherstellen. Händler vertreiben KI-Systeme innerhalb der Union. Betreiber nutzen KI-Systeme zu beruflichen Zwecken und tragen Verantwortung für deren sicheren und rechtskonformen Einsatz. Bevollmächtigte schließlich vertreten ausländische Anbieter innerhalb der EU.

Besonders relevant für viele Unternehmen ist die Rolle des Betreibers. Wer ein KI-System in seiner Organisation verwendet – etwa zur automatisierten Bearbeitung von Bewerbungen, zur Steuerung von Kundenkommunikation oder zur Analyse von Geschäftsdaten – ist verpflichtet, das System sachgerecht zu nutzen, Sicherheitsvorgaben einzuhalten und insbesondere die betroffenen Personen ordnungsgemäß zu informieren. Die Pflicht zur Aufzeichnung von Interaktionen, zur Durchführung einer Datenschutz-Folgenabschätzung und zur Überwachung der Systemleistung liegt beim Betreiber – selbst dann, wenn das System von einem Dritten bereitgestellt wurde.

Transparenz, Deepfakes und Kennzeichnungspflichten

Ein zentrales Anliegen der Verordnung ist es, künstliche Intelligenz als solche erkennbar zu machen. Deshalb müssen Anbieter und Betreiber sicherstellen, dass natürliche Personen darüber informiert werden, wenn sie mit einem KI-System interagieren. Diese Pflicht entfällt nur dann, wenn die Interaktion offensichtlich ist – etwa bei der Nutzung eines bekannten Sprachassistenten.

Besonders streng sind die Regelungen bei sogenannten Deepfakes. Die KI-VO definiert diese als Inhalte, die durch KI erzeugt oder manipuliert wurden und realen Personen, Gegenständen oder Ereignissen ähneln. Solche Inhalte müssen – auch ohne Täuschungsabsicht – klar und dauerhaft als künstlich erzeugt gekennzeichnet werden. Die Kennzeichnungspflicht gilt nicht nur für den sichtbaren Inhalt, sondern auch für maschinenlesbare Metadaten. Verstöße können als Ordnungswidrigkeit mit empfindlichen Bußgeldern geahndet werden. In besonders gravierenden Fällen kann zusätzlich eine Strafbarkeit wegen Verleumdung in Betracht kommen.

KI-Kompetenz als neue Compliance-Anforderung

Die KI-VO schreibt vor, dass Unternehmen über eine angemessene KI-Kompetenz verfügen müssen. Das bedeutet: Mitarbeitende, die mit KI-Systemen arbeiten, müssen über ausreichende Kenntnisse, Fähigkeiten und ein kritisches Verständnis für Chancen und Risiken verfügen. Diese Pflicht ist nicht nur eine abstrakte Bildungsanforderung, sondern eine konkret nachzuweisende Voraussetzung. Fehlt es daran, können im Fall von Schäden oder Verstößen auch persönlich haftungsrechtliche Konsequenzen für die Geschäftsleitung entstehen.

KI-VO und DSGVO: Zwei Regulierungen, eine gemeinsame Verantwortung

Die KI-Verordnung steht nicht isoliert neben der DSGVO, sondern ergänzt diese. Während sich die KI-VO auf die technische Sicherheit und Funktionsweise der Systeme konzentriert, bleibt die DSGVO das zentrale Regelwerk für den Schutz personenbezogener Daten. Das bedeutet: Wer ein KI-System einsetzt, das personenbezogene Daten verarbeitet, muss sowohl die KI-VO als auch die DSGVO einhalten. Dazu gehört insbesondere die Führung eines Verzeichnisses der Verarbeitungstätigkeiten, die Information der betroffenen Personen sowie die Sicherstellung einer geeigneten Rechtsgrundlage für die Datenverarbeitung.

Sanktionen und Fristen: Klare Regeln, klare Konsequenzen

Die Verordnung sieht ein gestuftes Sanktionssystem vor. Bei besonders schweren Verstößen – etwa dem Einsatz verbotener Systeme oder groben Mängeln bei der Datenverarbeitung – drohen Bußgelder von bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes. Für weniger gravierende Verstöße können bis zu 15 Millionen Euro oder 3 % Umsatz verhängt werden. Bei Falschangaben gegenüber Aufsichtsbehörden beträgt die Höchststrafe 7,5 Millionen Euro oder 1 % des Umsatzes. Für KMU und Start-ups gelten reduzierte Beträge – nicht aber reduzierte Pflichten.

Die Umsetzung erfolgt schrittweise. Ab dem 2. Februar 2025 gelten die Verbote bestimmter KI-Praktiken sowie die Pflicht zum Nachweis von KI-Kompetenz. Die vollständige Wirksamkeit der Verordnung tritt am 2. August 2026 in Kraft. Bestimmte Sonderregelungen, etwa für Hochrisiko-KI gemäß Anhang I, gelten ab August 2027.

Fazit: Jetzt prüfen, handeln und vorbereiten

Die KI-Verordnung markiert einen Wendepunkt im Umgang mit algorithmischer Entscheidungsfindung. Unternehmen, die KI einsetzen – ob zur Automatisierung, zur Kundeninteraktion oder zur Entscheidungsunterstützung – sind gut beraten, sich frühzeitig mit den neuen Anforderungen auseinanderzusetzen. Eine bloße Abwarten-Strategie ist riskant, denn die Pflichten greifen teilweise bereits im kommenden Jahr.

Unsere Kanzlei begleitet Sie bei der rechtssicheren Integration von KI in Ihre Geschäftsprozesse. Wir prüfen Ihre Systeme auf Konformität, unterstützen bei der Dokumentation und bei der Gestaltung interner Prozesse, übernehmen die Kommunikation mit Behörden und entwickeln gemeinsam mit Ihnen eine unternehmensspezifische KI-Compliance-Strategie. Vertrauen Sie auf unsere jahrzehntelange Erfahrung im IT– und Datenschutzrecht.