kivo ki-verordnung bußgelder

Serie zur KI-Verordnung: Ab August 2025 kann es Bußgelder hageln

/von

Nach dem Artikel KI-Kompetenz und verbotene Praktiken ist dies unser zweiter Beitrag zur KI-Verordnung. Er befasst sich mit dem ab dem 02.08.2025 geltenden Teilen der KI-Verordnung (KIVO).

Ab dem 02.08.2025 werden folgende Teile der KI-Verordnung gelten: Kapitel III Abschnitt 4 (Hochrisiko-KI-Systeme – Notifizierende Behörden und notifizierte Stellen), Kapitel V (KI-Modelle mit allgemeinem Verwendungszweck), Kapitel VII (Governance) und Kapitel XII (Sanktionen) mit Ausnahme des Art. 101 KIVO (Geldbußen für Anbieter von KI-Modellen mit allgemeinem Verwendungszweck) sowie Art. 78 KIVO (Vertraulichkeit).

Nachfolgend gehen wir auf die einzelnen „neuen“ Teile ein und erläutern, was auf Sie zukommt.

Kapitel III Abschnitt 4: Konformitätsbewertungsstellen, notifizierende Behörden und notifizierte Stellen

Die KI-Verordnung der EU führt wichtige Akteure ein, die für die Umsetzung und Überwachung der Vorschriften zuständig sind. Dieser Abschnitt regelt die notifizierenden Behörden und notifizierten Stellen für Hochrisiko-KI-Systeme. Hier sind die wichtigsten Punkte:

  • Praktische Auswirkungen: Unternehmen, die Hochrisiko-KI-Systeme entwickeln oder einsetzen, müssen sicherstellen, dass sie mit notifizierten Stellen zusammenarbeiten. Dies erfordert eine sorgfältige Auswahl der Partner und die Sicherstellung, dass alle Anforderungen der KIVO erfüllt sind. Es ist ratsam, frühzeitig Kontakt mit den zuständigen Behörden aufzunehmen, um den Prozess der Notifizierung und Konformitätsbewertung zu planen.
  • Notifizierende Behörden sind staatliche Einrichtungen, die von den EU-Ländern eingerichtet werden. Ihre Aufgaben umfassen Auswahl und Überwachung von Prüfstellen, Sicherstellung fairer und kompetenter Arbeit und Wahrung der Vertraulichkeit. Die notifizierenden Behörden müssen sicherstellen, dass die Konformitätsbewertungsstellen die erforderlichen Anforderungen erfüllen, um als notifizierte Stellen anerkannt zu werden.
  • Notifizierte Stellen sind offiziell benannte Konformitätsbewertungsstellen, die gemäß der KIVO und anderen einschlägigen Harmonisierungsrechtsvorschriften der EU notifiziert wurden. Sie sind verantwortlich für die Durchführung von Konformitätsbewertungen, um sicherzustellen, dass Hochrisiko-KI-Systeme die erforderlichen Standards erfüllen. Sie müssen unparteiisch arbeiten und eng mit Behörden und anderen Prüfstellen kooperieren. Voraussetzungen sind die Erfüllung strenger Anforderungen nach Art. 31 KIVO (z. B. Ressourcen, Kompetenzen, Unparteilichkeit) und eine Notifizierung durch die zuständige nationale Behörde, in Deutschland wäre das zum Beispiel das BSI. Ihre Aufgaben sind die Durchführung von verpflichtenden Drittbewertungen für Hochrisiko-KI-Systeme, wenn keine harmonisierten Normen existieren und die Ausstellung von CE-Kennzeichnungen.
  • Konformitätsbewertungsstelle: Dies ist eine unabhängige Einrichtung, die Konformitätsbewertungen durchführt.
  • Konformitätsbewertungen sind Verfahren mit denen bewertet wird, ob die in Kapitel III Abschnitt 2 der KIVO festgelegten Anforderungen an ein Hochrisiko-KI-System erfüllt wurden.

Ziel ist es, sichere und vertrauenswürdige KI-Systeme in der EU zu gewährleisten, die im Einklang mit europäischen Werten stehen.

Kapitel V: KI-Modelle mit allgemeinem Verwendungszweck

Kapitel V der KI-Verordnung befasst sich mit KI-Modellen, die für allgemeine Zwecke eingesetzt werden können. Diese Modelle sind in der Lage, eine Vielzahl von Aufgaben zu erfüllen und können in verschiedene Anwendungen integriert werden. Hierunter fallen auch die bekannten und in zahlreichen Unternehmen bereits seit Längerem im Einsatz befindlichen LLM (Large Language Models) zur Generierung von Texten sowie die bekannten Bildgeneratoren. Die Regulierung dieser Modelle ist wichtig, da sie erhebliche Auswirkungen auf die Gesellschaft haben können. In Art. 52 der KIVO wird die besondere Verantwortung von Anbietern allgemeiner risikobehafteter KI-Modelle hervorgehoben.

Beispiele sind

  • Gemini von Google: Ein Modell, das Texte, Bilder, Videos und Audiosignale verarbeitet. Es wird in Google-Produkten wie Pixel-Smartphones integriert. Gemini dient als persönlicher Assistent und unterstützt bei komplexen Aufgaben wie Schreiben, Lernen und Planen.
  • Microsoft Copilot: Dieses Modell kann für eine Vielzahl von Aufgaben eingesetzt werden, wie Textgenerierung, Zusammenfassung von E-Mail-Threads, Datenanalyse und Code-Generierung. Es integriert sich in zahlreiche Anwendungen der Microsoft365-Welt wie Word, Excel, PowerPoint und Teams
  • GPT-4 von OpenAI: Diese Modelle sind große Sprachmodelle, die für eine Vielzahl von Aufgaben eingesetzt werden können, wie zum Beispiel Textgenerierung, Übersetzung und Chatbots.

Ein solches Modell wird dann als risikobehaftet eingestuft, wenn es:

  • über außergewöhnlich leistungsstarke Fähigkeiten verfügt, die anhand technischer Methoden, Benchmarks oder Indikatoren bewertet werden können (Art. 51 Abs. 1 lit. a KIVO). Dabei wird angenommen, dass das KI-Modell über entsprechende Fähigkeiten verfügt, wenn die kumulierte Menge der für sein Training verwendeten Berechnungen, gemessen in Gleitkommaoperationen, mehr als 1025 beträgt (das steht tatsächlich so konkret in Art. 51 Abs. 2 KIVO), oder
  • von der EU-Kommission oder einem wissenschaftlichen Gremium als Modell mit vergleichbar hoher Wirkung eingestuft wird Art. 51 Abs. 1 lit. b und Abs. 2 KIVO

Pflichten von Anbietern von KI-Modellen mit allgemeinem Verwendungszweck

Anbieter dieser Modelle haben mehrere wichtige Pflichten zu erfüllen:

  • Technische Dokumentation: Sie müssen eine umfassende technische Dokumentation erstellen und aktualisieren, die mindestens die in Anhang XI aufgeführten Informationen enthält. Diese Dokumentation muss auf Anfrage dem Büro für Künstliche Intelligenz gemäß Art. 64 KIVO und den zuständigen nationalen Behörden zur Verfügung gestellt werden. Zum Büro für künstliche Intelligenz (im englischen Originaltext der KIVO übrigens „AI Office“ genannt) kommen wir später noch einmal.
  • Informationsbereitstellung: Anbieter müssen Informationen sowie eine Dokumentation bereitstellen, damit andere Anbieter, die das Modell in ihre KI-Systeme integrieren möchten, die Fähigkeiten und Grenzen des Modells verstehen und ihren Pflichten nachkommen können. Diese Informationen müssen die in Anhang XII genannten Elemente enthalten.
  • Urheberrechtliche Strategie: Alle Anbieter von KI-Modellen mit allgemeinem Verwendungszweck müssen eine Strategie zur Einhaltung des Urheberrechts der EU und damit zusammenhängender Rechte entwickeln, insbesondere zur Ermittlung und Einhaltung von Rechtsvorbehalten im Rahmen des Urheberrechts im digitalen Binnenmarkt. Das bedeutet, dass Rechteinhaber*innen durch maschinenlesbare Mittel (z. B. Metadaten, Website-Hinweise) darüber informieren müssen, dass ihre Werke nicht für Text- und Data-Mining (TDM) genutzt werden dürfen. Beispiel: Ein*e Autor*in kennzeichnet einen Blogbeitrag mit einem Code, der KI-Systeme automatisch darüber informiert, dass das Werk nicht für TDM freigegeben ist.
  • Zusammenfassung des Trainingsinhalts: Anbieter müssen eine detaillierte Zusammenfassung der für das Training des Modells verwendeten Inhalte veröffentlichen, basierend auf einer vom Büro für Künstliche Intelligenz bereitgestellten Vorlage (zum Zeitpunkt der Veröffentlichung dieses Artikels ist die Vorlage noch im Entwurf).
  • Zusammenarbeit: Anbieter arbeiten bei der Ausübung ihrer Zuständigkeiten mit der Kommission und den zuständigen nationalen Behörden zusammen.
  • Konformitätsnachweis: Anbieter können sich auf Praxisleitfäden oder harmonisierte Normen stützen, um die Einhaltung der Pflichten nachzuweisen. Alternativ müssen sie geeignete alternative Konformitätsbewertungsverfahren für Hochrisiko-KI-Systeme vorlegen, die von der EU-Kommission bewertet werden.
  • Vertraulichkeit: Alle erlangten Informationen werden im Einklang mit den Vertraulichkeitspflichten gemäß Art. 78 KIVO behandelt.

Kapitel VII: Governance: Strukturen für die Überwachung

Kapitel VII der KI-Verordnung beschreibt die Einrichtungen, die für die Überwachung der Umsetzung der Verordnung zuständig sind. Hier sind die wichtigsten Aspekte:

  • Büro für künstliche Intelligenz und Europäisches Gremium für Künstliche Intelligenz (KI-Gremium ): Diese Einrichtungen werden auf EU-Ebene eingerichtet, um die Umsetzung der KI-Verordnung zu überwachen und zu koordinieren. Sie spielen eine zentrale Rolle bei der Sicherstellung, der effektiven Durchsetzung der Vorschriften der KIVO. Das Büro für künstliche Intelligenz wird als zentrale Anlaufstelle dienen, um Informationen und Unterstützung zu bieten Das KI-Gremium ist ein Beratungsgremium, das eingerichtet wurde und aus jeweils einer*einem Vertreter*in aller EU-Mitgliedstaaten besteht. Es wird vom Büro für künstliche Intelligenz innerhalb der EU-Kommission unterstützt und fungiert dabei als Sekretariat. Die*der Europäische Datenschutzbeauftragte nimmt als Beobachter*in teil. Die Hauptaufgaben des KI-Gremiums umfassen die Koordination nationaler Behörden, den Austausch von technischem und regulatorischem Fachwissen sowie die Beratung in KI-Politikfragen.
  • Beratungsforum und Pool von Sachverständigen: Diese Strukturen bieten Unterstützung und Beratung bei der Umsetzung der Verordnung. Sie umfassen Experten aus verschiedenen Bereichen, die ihre Fachkenntnisse zur Verfügung stellen, um sicherzustellen, dass die Regulierung effektiv und praxisnah ist. Das Beratungsforum wird als Plattform dienen, um Meinungen und Empfehlungen von Interessengruppen zu sammeln und in den Entscheidungsprozess einzubringen.
  • Praktische Auswirkungen: Die Governance-Struktur der KI-Verordnung wird erhebliche Auswirkungen auf Unternehmen haben, die Hochrisiko-KI-Technologien entwickeln oder einsetzen (siehe auch Art. 26 Abs. 5 KIVO). Es ist wichtig, dass Sie sich frühzeitig über die Rollen des Büros für künstliche Intelligenz und des KI-Gremiums informieren und sich auf die Zusammenarbeit mit diesen Einrichtungen vorbereiten. Unternehmen sollten auch aktiv an den Beratungsprozessen teilnehmen, um sicherzustellen, dass ihre Interessen und Bedürfnisse berücksichtigt werden.

Art. 78: Vertraulichkeit

Ein weiterer wichtiger Punkt ist die Verpflichtung zur Wahrung der Vertraulichkeit von Informationen und Daten, die im Rahmen der Anwendung der Verordnung erhoben werden. Dies umfasst insbesondere den Schutz von

  • Rechten des geistigen Eigentums sowie vertraulichen Geschäftsinformationen oder Geschäftsgeheimnissen, einschließlich Quellcodes,
  • öffentlichen und nationalen Sicherheitsinteressen,
  • Verschlusssachen gemäß Unionsrecht oder nationalem Recht.

Diese Anforderungen gelten nicht nur für die Behörden, sondern im Rahmen der Anwendung und Erfüllung der KI-Verordnung auch für alle Unternehmen oder sonstigen juristischen Personen.

Kapitel XII: Sanktionen bei Verstößen

Kapitel XII der KI-Verordnung regelt die Sanktionen für Verstöße gegen die Verordnung. Das Kapitel gilt mit Ausnahme des Art. 101 KIVO (Geldbußen für Anbieter von KI-Modellen mit allgemeinem Verwendungszweck) ab dem 02.08.2025. Hier sind die wichtigsten Punkte, die sich auf Unternehmen beziehen und in Art. 99 KIVO geregelt sind:

Verstöße gegen die KI-Verordnung können empfindliche Geldbußen nach sich ziehen:

  • Bis zu 35 Millionen Euro oder 7% des weltweiten Jahresumsatzes bei schwerwiegenden Verstößen, insbesondere gegen das Verbot der in Art. 5 KIVO aufgeführten verbotenen Praktiken im KI-Bereich.
  • Bis zu 15 Millionen Euro oder 3% des weltweiten Jahresumsatzes bei Verstößen gegen
    • Pflichten der Anbieter von Hochrisiko-KI-Systemen gemäß Art. 16 KIVO;
    • Pflichten der Bevollmächtigten von Hochrisiko-KI-Systemen gemäß Art. 22 KIVO;
    • Pflichten der Einführer von Hochrisiko-KI-Systemen gemäß Art. 23 KIVO;
    • Pflichten der Händler von Hochrisiko-KI-Systemen gemäß Art. 24 KIVO;
    • Pflichten der Betreiber von Hochrisiko-KI-Systemen gemäß Art. 26 KIVO;
    • für notifizierte Stellen geltende Anforderungen und Pflichten gemäß Art. 31, Art. 33 Absätze 1, 3 und 4 bzw. Art. 34 KIVO;
    • Transparenzpflichten für Anbieter und Betreiber gemäß Art. 50 KIVO.
  • Bis zu 7,5 Millionen Euro oder 1% des weltweiten Jahresumsatzes für die Bereitstellung falscher, unvollständiger oder irreführender Informationen auf Auskunftsersuchen der zuständigen Behörden.

Die Höhe der Bußgelder richtet sich nach der Schwere des Verstoßes sowie den potenziellen Auswirkungen auf betroffene Personen oder Organisationen. Die Logik für die Bestimmung der Obergrenze der Bußgelder ist wie bei der DSGO: Der jeweils höhere Betrag (beispielsweise 35 Millionen Euro oder 7% des weltweiten Jahresumsatzes) gilt, außer im Falle von kleinen und mittelständischen Unternehmen (KMU), einschließlich Start-up-Unternehmen. Hier gilt für jede genannte Geldbuße der jeweils niedrigere Wert der genannten Prozentsätze oder Geldbeträge.

Die Bußgeldvorschriften der DSGVO bleiben davon unberührt und können kumulativ angewandt werden, sofern personenbezogene Daten betroffen sind.

Fazit

Die anstehenden Änderungen in der KI-Verordnung sind von großer Bedeutung für Unternehmen, die KI-Technologien entwickeln oder einsetzen. Es ist wichtig, dass Sie sich frühzeitig auf die neuen Anforderungen vorbereiten, um rechtliche Risiken zu minimieren und die Compliance sicherzustellen. Wir empfehlen Ihnen, Ihre internen Prozesse zu überprüfen und gegebenenfalls anzupassen, um sicherzustellen, dass sie den Anforderungen der KI-Verordnung entsprechen.

Bleiben Sie dran, um mehr über die KI-Verordnung und ihre Auswirkungen auf Ihr Unternehmen zu erfahren. Wenn Sie Fragen haben oder Unterstützung benötigen, zögern Sie nicht, uns zu kontaktieren. Wir stehen Ihnen gerne zur Verfügung, um Ihnen bei der Navigation durch die komplexen Anforderungen der KI-Verordnung zu helfen.

 

Dieser Artikel ist Teil unserer Reihe zu der KI-Verordnung. Hier finden Sie alle Artikel der Reihe: