KI-VO

Serie zur KI-Verordnung: KI-Kompetenz und verbotene Praktiken

/von

Die EU KI-Verordnung (KI-VO) ist ein Regelwerk, das den Einsatz von künstlicher Intelligenz (KI) in der EU reguliert. Ziel ist es, Innovationen zu fördern und gleichzeitig Risiken für Personen und Unternehmen zu minimieren. Die KI-VO folgt einem risikobasierten Ansatz und teilt KI-Systeme in verschiedene Kategorien ein, die unterschiedliche Anforderungen mit sich bringen.

Im Rahmen unseres Newsletters beabsichtigen wir, in Form einer Artikelserie unter dem einfallsreichen Namen „KI-Verordnung“ das komplexe Thema in verdauliche Häppchen zu splitten. Diese Serie wird ähnlich den früheren Artikelserien zu den Rechtsgrundlagen und den Betroffenenrechten über einen Zeitraum hinweg erscheinen.

Im vorliegenden Beitrag erhalten Sie einen Überblick zu welchen Zeitpunkten die einzelnen Bereiche der KI-VO Geltung erlangen werden oder bereits Geltung erlangt haben und wir erläutern einige grundsätzliche Begrifflichkeiten der KI-VO.

Zeitplan des Inkrafttretens der einzelnen Bestimmungen

01.08.2024: Offizielles Inkrafttreten der KI-VO, Beginn der Übergangsfrist.

Seit 02.02.2025: Kapitel I und II. Hierbei sind insbesondere die verbotenen Praktiken und die KI-Kompetenzpflichten relevant.

Ab 02.08.2025: Kapitel III Abschnitt 4 (Hochrisiko-KI-Systeme, Notifizierende Behörden und notifizierte Stellen), Kapitel V (KI-Modelle mit allgemeinem Verwendungszweck), Kapitel VII (Governance) und Kapitel XII (Sanktionen) mit Ausnahme des Art. 101 KI-VO (Geldbußen für Anbieter von KI-Modellen mit allgemeinem Verwendungszweck) sowie Art. 78 KI-VO (Vertraulichkeit).

Ab 02.08.2026: Vollständige Anwendbarkeit der KI-VO mit Ausnahme des Art. 6 Abs. 1 KI-VO.

Ab 02.08.2027: Art. 6 Abs. 1 KI-VO gilt ebenfalls, damit gilt ab diesem Zeitpunkt die gesamte KI-VO ohne Ausnahmen.

 

Das bedeutet, dass bereits zum jetzigen Zeitpunkt die Anforderungen aus Kapitel I und II der KI-VO umgesetzt sein müssen.

 

Und auch der nächste Zeitpunkt, ab dem weitere Bestimmungen gelten, rückt vermutlich schneller näher als Sie denken. Es ist also allerhöchste Zeit sich mit der KI-VO zu befassen. Wir haben das natürlich bereits ausführlich gemacht und stellen Ihnen nachfolgend dar, welche Anforderungen Sie bereits heute erfüllen müssen. Vorher aber noch ein paar Grundlagen…

Risikokategorien der KI-Verordnung

Die KI-VO unterscheidet vier Risikokategorien:

  1. Unannehmbares Risiko (verbotene Praktiken, die gegen Grundrechte verstoßen, wie beispielsweise manipulative KI-Systeme oder Social Scoring): Art. 5 KI-VO.
  2. Hohes Risiko (Hochrisiko-KI-Systeme – KI-Systeme in sensiblen Bereichen wie Gesundheitswesen, Strafverfolgung oder kritischer Infrastruktur unterliegen strengen Anforderungen): Art. 6 KI-VO (gilt wie beschrieben erst ab 02.08.2026, allerdings ohne Abs. 1).
  3. Begrenztes Risiko (Systeme wie Chatbots müssen Transparenzpflichten erfüllen, beispielsweise Nutzer*innen darüber informieren, dass sie mit einer KI interagieren): Implizit aus den Transparenzpflichten für bestimmte KI-Systeme.
  4. Minimales oder kein Risiko (Für einfache Anwendungen wie Spamfilter gelten keine besonderen Anforderungen): Alle anderen KI-Systeme, die nicht unter die vorherigen Kategorien fallen.

Diese Einteilung folgt dem risikobasierten Ansatz der Verordnung, der darauf abzielt, KI-Systeme entsprechend ihrem Risikopotenzial zu regulieren. Zur Definition „Hochrisiko-KI“ schauen Sie in unserem zweiten Artikel dieser Serie, wenn er erschienen ist. Als Abonnent*in unseres Newsletters werden Sie darüber per E-Mail informiert. Falls Sie den Newsletter noch nicht abonniert haben sollten: Hier geht’s zur Anmeldung.

Die verschiedenen Rollen in der KI-VO

Die KI-VO definiert verschiedene Rollen im Zusammenhang mit KI-Systemen, um die Verantwortlichkeiten und Pflichten der beteiligten Parteien klar zu regeln. Sie unterscheidet zwischen den Rollen „Bevollmächtigter“, „Einführer“, „Händler“, „Produkthersteller“, „Anbieter“ und „Betreiber“. Alle zusammen fallen unter den Begriff „Akteur“.

Diese Rollen sind entscheidend für die Umsetzung und Einhaltung der KI-VO. Jede Rolle hat spezifische Verantwortlichkeiten, die dazu beitragen, die Sicherheit und Konformität von KI-Systemen auf dem EU-Markt zu gewährleisten.

Wir gehen hier ausführlich auf die „Anbieter“ und „Betreiber“ ein, da diese die maßgeblichen Rollen der KI sind. Die weiteren Rollen werden wir nur kurz beschreiben.

Anbieter

Ein Anbieter ist gemäß Art. 3 Nr. 3 KI-VO eine natürliche oder juristische Person, Behörde, Einrichtung oder sonstige Stelle, die ein KI-System oder ein KI-Modell mit allgemeinem Verwendungszweck entwickelt oder entwickeln lässt. Der Anbieter bringt dieses System unter seinem eigenen Namen oder seiner Handelsmarke in Verkehr oder nimmt es in Betrieb – sei es entgeltlich oder unentgeltlich. Typische Merkmale eines Anbieters:

  • Entwickelt ein KI-System selbst oder lässt es entwickeln,
  • bringt das System unter eigener Marke auf den Markt,
  • kann auch ein bestehendes KI-Modell in ein eigenes Produkt integrieren und vertreiben.

Beispiele:

  • Unternehmen, die KI-basierte Plattformen als Software-as-a-Service (SaaS) anbieten,
  • Hersteller, die ein KI-System für autonome Fahrzeuge entwickeln und vermarkten.

Betreiber

Ein Betreiber wird in Art. 3 Nr. 4 der KI-VO definiert als eine natürliche oder juristische Person, Behörde, Einrichtung oder sonstige Stelle, die ein KI-System in eigener Verantwortung verwendet. Ausgenommen sind dabei rein persönliche und nicht-berufliche Tätigkeiten. Typische Merkmale eines Betreibers:

  • Verwendet ein KI-System für interne Zwecke oder zur Erbringung von Dienstleistungen,
  • trägt die Verantwortung für den Betrieb und die Einhaltung der Vorschriften während der Nutzung des Systems,
  • ist nicht zwangsläufig der Entwickler des Systems.

Beispiele:

  • Ein Unternehmen nutzt ein KI-System zur Automatisierung von Kundenanfragen (z. B. Chatbots),
  • ein Unternehmen setzt ein eingekauftes KI-Standardprodukt zur Gesichtserkennung ein, um den Zugang zu sensiblen Bereichen wie Laboren oder Rechenzentren zu kontrollieren.

Bevollmächtigter

Ein Bevollmächtigter ist eine in der EU ansässige oder niedergelassene natürliche oder juristische Person, die vom Anbieter eines KI-Systems schriftlich beauftragt wurde, in seinem Namen bestimmte Pflichten und Verfahren gemäß der KI-VO zu erfüllen. Diese Rolle ist besonders wichtig für Anbieter, die nicht in der EU niedergelassen sind und analog zum Vertreter von nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeitern gemäß Art. 27 DSGVO.

Einführer

Der Einführer ist eine in der EU ansässige oder niedergelassene natürliche oder juristische Person, die ein KI-System in Verkehr bringt, das den Namen oder die Handelsmarke einer in einem Drittland niedergelassenen Person trägt. Einführer haben wichtige Verantwortlichkeiten:

  • Sicherstellen der Konformität des KI-Systems mit der KI-VO vor dem Inverkehrbringen,
  • Überprüfung der technischen Dokumentation und des Konformitätsbewertungsverfahrens,
  • Informationspflicht bei Risiken für Gesundheit, Sicherheit oder Grundrechte.

Händler

Ein Händler ist eine natürliche oder juristische Person in der Lieferkette, die ein KI-System auf dem EU-Markt bereitstellt, ohne Anbieter oder Einführer zu sein. Händler müssen vor der Bereitstellung eines Hochrisiko-KI-Systems unter anderem:

  • Das Vorhandensein der CE-Kennzeichnung überprüfen,
  • Sicherstellen, dass Konformitätserklärung und Betriebsanleitungen beigefügt sind,
  • Überprüfen, ob Anbieter und Einführer ihre Pflichten erfüllt haben.

Akteur

Der Begriff „Akteur“ umfasst alle Rollen, die an der Bereitstellung und Nutzung von KI-Systemen beteiligt sind, einschließlich Anbieter, Produkthersteller, Betreiber, Bevollmächtigte, Einführer und Händler. Diese breite Definition gewährleistet, dass alle relevanten Parteien in der KI-Wertschöpfungskette von der Verordnung erfasst werden. Diese Rollen sind entscheidend für die Umsetzung und Einhaltung der KI-VO. Jede Rolle hat spezifische Verantwortlichkeiten, die dazu beitragen, die Sicherheit und Konformität von KI-Systemen auf dem EU-Markt zu gewährleisten.

Nun aber zu den Anforderungen der KI-VO, die bereits seit dem 02.02.2025 gelten und damit in den Unternehmen bereits heute berücksichtigt sein müssen.

KI-Kompetenz als zentrale Anforderung

Ein bereits in Geltung befindlicher Bestandteil der KI-VO ist die Verpflichtung zur Sicherstellung von KI-Kompetenz im Unternehmen (Art. 4 KI-VO). Anbieter und Betreiber müssen sicherstellen, dass ihre Beschäftigten über ausreichende Kenntnisse verfügen, um die eingesetzten Systeme sicher und verantwortungsvoll zu nutzen. Dazu gehören:

  • technisches Wissen,
  • rechtliche und ethische Kompetenz,
  • Fähigkeit zur Risikobewertung,
  • Kompetenz im Rahmen der Anwendung der KI-Systeme.

Der Bedarf der ausreichenden KI-Kompetenz steht in Abhängigkeit zu:

  • technischen Vorkenntnissen,
  • Erfahrungen,
  • Ausbildung und Schulung,
  • dem Kontext, in dem die KI-Systeme eingesetzt werden sollen,
  • den Personen oder Personengruppen, bei denen die KI-Systeme eingesetzt werden sollen.

Das bedeutet, dass Unternehmen, die KI einsetzen zielgruppenindividuelle Schulungen durchführen müssen. Da das Thema KI noch relativ neu und auch in Teilen recht abstrakt und schwer verständlich ist, sollten den Beschäftigten nicht nur Schulungen angeboten werden. Es wäre hilfreich, wenn die mit KI tätigen Beschäftigten auf ein Regelwerk zurückgreifen könnten, in dem sie alle Ge- und Verbote nachschlagen können. Für Unternehmen zahlt solch eine Richtlinie auch auf die Rechenschaftspflicht gemäß Art. 5 Abs. 2 DSGVO ein und kann sich beispielsweise bei fehlerhaftem Vorgehen oder beim Einsatz von KI-Systemen bußgeldsenkend auswirken.

Wir wiederholen es sicherheitshalber noch einmal: Diese Regelungen gelten bereits seit dem 02.02.2025.

Verbotene Praktiken

Art. 5 KI-VO verbietet bestimmte Praktiken im KI-Bereich, um Missbrauch und Grundrechtsverletzungen zu verhindern:

  • Systeme, die Menschen schädlich manipulieren oder durch unterschwellige Techniken beeinflussen,
  • den Der Missbrauch von Schwächen schutzbedürftiger Personen (zum Beispiel Kinder oder ältere Menschen),
  • Social Scoring mit dem Ziel der Schlechterstellung oder Benachteiligung bestimmter natürlicher Personen oder Gruppen in sozialen Zusammenhängen,
  • Risikobewertung oder -vorhersage bezüglich des zukünftigen Begehens einer Straftat durch natürliche Personen,
  • Erstellung oder Erweiterung von Datenbanken zur Gesichtserkennung durch das ungezielte Auslesen von Gesichtsbildern aus dem Internet oder aus Videoüberwachungsaufnahmen,
  • Erkennung von Emotionen einer natürlicher Personen am Arbeitsplatz und in Bildungseinrichtungen, außer in streng geregelten Ausnahmefällen,
  • Kategorisierung natürlicher Personen durch biometrische Kategorisierungssysteme auf der Grundlage ihrer biometrischen, um auf ihre Ethnie, ihre politische Meinung, ihre Gewerkschaftszugehörigkeit, ihre religiösen oder philosophischen Überzeugungen, ihr Sexualleben oder ihre sexuelle Ausrichtung zu schließen (na, erkennen Sie die besonderen Kategorien personenbezogener Daten aus Art. 9 Abs. 1 DSGVO wieder?),
  • biometrische Massenüberwachung zu Strafverfolgungszwecken in Echtzeit, außer in streng geregelten Ausnahmefällen.

Und auch hier noch einmal zur Klarstellung: Diese Regelungen gelten bereits seit dem 02.02.2025.

Unabhängig von der KI-VO gilt auch die DSGVO

Unabhängig davon, ob es sich um herkömmliche Datenverarbeitung oder KI-gestützte Prozesse handelt: Sobald personenbezogene Daten im Spiel sind, gelten parallel die strengen Regeln der DSGVO. Dies bedeutet, dass Unternehmen bei der Implementierung von KI-Lösungen besonders wachsam sein müssen. Und es bedeutet, dass auch hier folgende Aspekte zu berücksichtigen sind:

  • Vertrag zur Auftragsverarbeitung: Die Betreiber müssen einen Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO (AVV) mit dem Anbieter des KI-Systems schließen. Dieser Vertrag sollte gegebenenfalls bereits Regelungen zum weiteren Training des KI-Systems mit den zukünftigen Eingaben enthalten. Ist der Betreiber selbst Auftragsverarbeiter, muss dieser im AVV mit seinen Auftraggebern den Einsatz der KI inklusive des Trainings ebenfalls berücksichtigen.
  • Verzeichnis von Verarbeitungstätigkeiten (VVT): Die Verarbeitungen müssen in das VVT gemäß Art. 30 Abs. 1 DSGVO aufgenommen werden, entweder in das als Verantwortlicher und/oder in das als Auftragsverarbeiter.
  • Schwellwertanalyse: Es ist zu prüfen, ob die KI-Anwendung besondere Risiken für die Rechte und Freiheiten natürlicher Personen birgt und eine Datenschutz-Folgenabschätzung durchzuführen ist.
  • Datenschutz-Folgenabschätzung (DSFA): Bei hohem Risiko ist gemäß Art. 35 Abs. 1 DSGVO eine DSFA durchzuführen, um potenzielle Auswirkungen zu bewerten und Schutzmaßnahmen zu definieren.
  • Datenschutzhinweise: Betroffene Personen müssen transparent über die Verarbeitung ihrer Daten durch KI-Systeme informiert werden; siehe hierzu auch Art. 13 und 14 DSGVO.
  • Sicherstellung der Betroffenenrechte: Auch bei KI-Anwendungen müssen Rechte wie Auskunft, Berichtigung oder Löschung gewährleistet sein.
  • Privacy by Design, privacy by Default: Die sehr abstrakten Anforderungen des Art. 25 DSGVO müssen auch von KI-Systemen erfüllt werden.

Fazit

Die EU-KI-VO bringt weitreichende Veränderungen für Unternehmen, die KI-Systeme entwickeln oder nutzen. Wichtig ist, dass bereits seit dem 02.02.2025 einige zentrale Teile der Verordnung Geltung erlangt haben:

  • Das Verbot bestimmter KI-Praktiken, die als zu riskant gelten,
  • Grundlegende Anforderungen an KI-Kompetenz in Unternehmen.

Dies unterstreicht die Dringlichkeit, mit der Unternehmen sich mit dem Thema KI auseinandersetzten müssen. Unternehmen müssen jetzt schon sicherstellen, dass sie keine verbotenen KI-Anwendungen einsetzen und dass ihre Beschäftigten über die notwendige Kompetenz im Umgang mit KI verfügen.

Interessant ist, dass die Bußgeldvorschriften erst im nächsten Schritt Geltung erlangen werden, so dass Verstöße bis zum 02.08.2025 nicht geahndet werden können. Ganz verständlich ist das für uns nicht, da die KI-VO den Akteuren (wir erinnern uns – eine der Rollen aus der KI-VO) ein halbes Jahr Übergangsfrist bis zur Geltung der ersten Vorschriften zugestanden hat. Auf die Bußgeldvorschriften werden wir dann auch im nächsten Artikel dieser Serie zu sprechen kommen.

Bis dahin noch ein Appell: Nutzen Sie die knappe Zeit, die noch bleibt, bis Sie mit Bußgeldern zur Rechenschaft gezogen werden können. Kümmern Sie sich kurzfristig um die grundlegendsten Anforderungen der KI-VO. Sorgen Sie für KI-Kompetenz, indem Sie Ihre Beschäftigten schulen und schaffen Sie Regelungen für den Umgang mit KI. Als externe Datenschutzbeauftragte unterstützen wir Sie gerne dabei, diese aktuellen und zukünftigen Herausforderungen zu meistern. Gemeinsam können wir sicherstellen, dass Sie nicht nur die geltenden Vorschriften einhalten, sondern auch die ethischen Standards berücksichtigen und Ihre Beschäftigten mit z. B. einer individuellen KI-Richtlinie unterstützen, alle Fallstricke zu kennen und sich auch beim Einsatz und der Nutzung von KI-Systemen regelkonform zu verhalten. Insbesondere die Implementierung einer individuellen KI-Richtlinie ist wichtig. Und denken Sie auch daran, dass nicht nur die Nutzer*innen Regeln benötigen, sondern auch die Personen, die über den Einsatz von KI-Systemen in Ihrem Unternehmen entscheiden. Sie werden also zwei Richtlinien benötigen.

 

Dieser Artikel ist Teil unserer Serie zu der KI-VO. Die anderen finden Sie hier:

 

Das könnte Dich auch interessieren
facebook fanpageAufsichtsbehörden fordern Abschaltung von Facebook-Fanpages von Behörden
standardverträge zusätzliche garantien angemessenheitsbeschluss uk scc c2p drittlandtransfers anpassung bdsg referentenentwurf schadenersatzDrittlandübermittlungen: Aktuelle Entwicklungen und Fragen
tracking newsletter notwendige dienste cookiesDas Dilemma mit den „technisch notwendigen“ Diensten und Cookies
vorabkontrolle videoüberwachung beweismittel bundesarbeitsgericht bag 4 bdsg europarechtswidrig bundesarbeitsgericht bag lag landesarbeitsgericht verwertungsverbotAktuelle Rechtsprechung zur Videoüberwachung
checkliste avv genehmigte verhaltensregeln datenschutz-folgenabschätzung dsfa art. 35 dsgvo berechtigtes interesse prüfung kontrolle auftragsverarbeiterErforderlichkeit einer Datenschutz-Folgenabschätzung (DSFA)
e-mail verschlüsselung ao bfdi datenschutz schulung sensibilisierung datenschutzhinweiseSensibilisierung der Beschäftigten – Pflicht oder Kür?