Neue KI-Verordnung: Warum sich auch Ihr Unternehmen damit beschäftigen muss

Die Europäische Union hat mit der KI-Verordnung bzw. KI-VO (Originalbezeichnung: EU AI Act) einen Vorstoß in der Regulierung Künstlicher Intelligenz gesetzt. Ziel ist es, den sicheren und verantwortungsvollen Einsatz von KI-Systemen zu fördern. Zudem sollen die Risiken im Umgang mit „gefährlichen“ KI-Lösungen reduziert werden. 

Deutschland unterstützt dieses Vorgehen der Europäischen Union. So hat es in seiner nationalen Strategie für Künstliche Intelligenz, die es bereits seit 2018 gibt, unter anderem diesen Vorsatz festgehalten: „Die Bundesregierung wird den Rechtsrahmen für Algorithmen- und KI-basierte Entscheidungen, Dienstleistungen und Produkte überprüfen und ggf. anpassen, um sicherzustellen, dass ein effektiver Schutz gegen Verzerrungen, Diskriminierungen, Manipulationen oder sonstige missbräuchliche Nutzungen möglich ist.“

Das bedeutet, dass sowohl die EU als auch Deutschland möchten, dass KI-Anwendungen mit Bedacht entwickelt, verbreitet und eingesetzt werden. Um dieses Vorhaben zu ermöglichen, muss auch Ihre Firma mitwirken und Vorgaben der KI-Verordnung einhalten.
 

Für wen gilt die KI-Verordnung?

„Grundsätzlich betrifft der AI-Act alle Unternehmen, die KI-Systeme entwickeln, bereitstellen oder nutzen, sofern diese Systeme in der EU eingesetzt werden oder deren Ergebnisse Personen in der EU beeinflussen“, erklärt die IHK Köln. „Das schließt sowohl große Konzerne als auch kleine und mittlere Unternehmen (KMUs) ein, die KI-Technologien in ihren Produkten oder Dienstleistungen integrieren.“

Die KI-Verordnung ist somit nicht nur für große Technologieunternehmen relevant. Sie betrifft eine Vielzahl von Branchen und Unternehmensgrößen, die Anwendungen mit Künstlicher Intelligenz in irgendeiner Form nutzen oder anbieten. „Nicht in den Anwendungsbereich der KI-Verordnung fällt die KI-Nutzung zu privaten Zwecken“, so die Kölner Industrie- und Handelskammer ergänzend.
 

Greift der EU AI-Act auch bei ChatGPT und Co.?

Die Verordnung definiert KI-Systeme als Software, die autonomes Lernen, Schlussfolgern oder Problemlösen ermöglicht, indem sie Daten verarbeitet und Muster erkennt. Zudem wird betrachtet, dass von einer KI-Anwendung ein minimales, begrenztes, hohes oder unannehmbares Risiko ausgehen kann – je nachdem, was sie leistet und wie sie eingesetzt wird.

Da ChatGPT, Microsoft Copilot, Google Gemini und vergleichbare Anwendungen ganz klar als KI-System eingestuft werden, greift bei ihnen der EU AI-Act. Wie Ihr Unternehmen mit den Programmen umzugehen hat, hängt aber von der individuellen Nutzung und Einordnung ab.

Datenschutzkanzlei.de dazu: „Wichtig ist, dass die Veränderung der Zweckbestimmung des KI-Systems dazu führen kann, dass ein KI-System mit ursprünglich geringem Risiko hochriskant wird. Dann werden Unternehmen zu Anbietern von Hochrisiko-KI-Systemen und müssen zusätzlich, die für Anbieter geltenden Pflichten erfüllen (Art. 25 Abs. 1 Buchst. c KI-VO).“ Die Anwältin Franziska Mauritz weiter: „Unternehmen sind daher gut beraten, die Zwecke des KI-Systems im Unternehmen vorab festzulegen, um die weitreichenden Pflichten der Anbieter von Hochrisiko-KI-Systemen zu vermeiden.“
 

Zeitplan und Fristen für die Umsetzung

Bevor wir Ihnen erläutern, welche Maßnahmen Sie in Ihrer Organisation ergreifen müssen, um die Anforderungen der KI-VO zu erfüllen, werfen wir zuerst einen Blick auf den Zeitplan. Die Umsetzung der Verordnung erfolgt nämlich in mehreren Phasen, um allen betroffenen Unternehmen ausreichend Zeit einzuräumen. 

Die „Implementation Timeline“ beinhaltet unter anderem diese Meilensteine:
 

2025: Übergangsphase

• Das Verbot bestimmter KI-Systeme und die Anforderungen an die KI-Kompetenz beginnen zu gelten.
• Unternehmen müssen Maßnahmen zur Risikobewertung einleiten und beginnen, ihre KI-Systeme zu klassifizieren.
• Hochrisiko-KI-Systeme müssen registriert und dokumentiert werden, um die Einhaltung der Vorschriften nachzuweisen.
   

2026: Umsetzung

• Ab diesem Jahr müssen Organisationen, die Hochrisiko-KI einsetzen, ein umfassendes Risikomanagementsystem implementieren.
• Verpflichtende, externe Konformitätsbewertungen durch benannte Stellen werden eingeführt.
• Die ersten Überwachungs- und Berichtspflichten für betroffene Unternehmen treten in Kraft.
   

2027: Sanktionen

• Ab 2027 erfolgt eine umfassende Kontrolle durch nationale und europäische Aufsichtsbehörden.
• Erste Stichprobenprüfungen und Audits werden durchgeführt, um die Einhaltung sicherzustellen.
• Unternehmen, die die Anforderungen nicht erfüllen, müssen mit empfindlichen Geldbußen und Betriebsverboten für nicht konforme KI-Systeme rechnen.
   

Sie sehen: Wenn Ihr Unternehmen bereits KI-Systeme nutzt oder den Einsatz plant, sollten Sie sich frühzeitig mit dem EU-AI-Act und dessen schrittweiser Umsetzung befassen. Dabei ist es wichtig zu wissen, dass neben dieser Verordnung stets auch andere Regularien wie die Datenschutz-Grundverordnung (DSGVO) beachtet werden müssen. 

Ein Beispiel: Eine KI darf im Bewerbungsprozess nicht allein über Zu- oder Absagen entscheiden. Die endgültige Entscheidung muss immer von einem Menschen getroffen werden, um den Anforderungen der DSGVO zu entsprechen. Das HR Journal dazu: „Hintergrund von Art. 22 DSGVO ist der Gedanke, dass kein Mensch der alleinigen Entscheidung einer Maschine unterworfen werden darf.“

Bei der Umsetzung der AI-Act-Vorgaben sollten Sie besonders auf diese Punkte achten:
 

Status-Quo ermitteln
Führen Sie eine umfassende Bestandsaufnahme aller KI-Anwendungen durch, die in Ihrem Unternehmen eingesetzt werden. Stellen Sie sicher, dass eine vollständige technische und funktionale Dokumentation Ihrer KI-Systeme vorliegt, um Transparenz und Nachvollziehbarkeit zu gewährleisten.
 

Risiken abschätzen
Befassen Sie sich frühzeitig mit der Risikobewertung Ihrer KI-Systeme und ordnen Sie diese einer Risikokategorie zu. Für Hochrisiko-KI gelten besonders strenge Anforderungen, die eine kontinuierliche Überwachung erfordern.
 

Genaue Regeln aufsetzen
Entwickeln Sie ein KI-Governance-Framework mit klaren Richtlinien zur Nutzung und Überwachung von KI-Systemen, einschließlich Compliance-Kontrollen und Audits. 
 

User informieren
Stellen Sie sicher, dass Nutzer eindeutig darüber informiert werden, wenn sie mit einem KI-System interagieren. Dies ist besonders wichtig bei automatisierten Entscheidungen, die wesentliche Auswirkungen haben können.
 

KI-Fortbildungen etablieren
Schulen Sie Ihre Mitarbeiter regelmäßig, um das Bewusstsein für die regulatorischen Anforderungen und den sicheren Umgang mit KI-Technologien zu stärken.
 

Audits durchführen
Erstellen Sie regelmäßig Transparenzberichte, die verständliche Erklärungen zur Funktionsweise Ihrer KI-Systeme für Kunden und Behörden bieten. Ziehen Sie unter Umständen externe Experten hinzu, um sicherzustellen, dass Ihre Systeme vollständig den gesetzlichen Vorgaben entsprechen – insbesondere bei komplexen Anwendungsfällen.
 

Probleme sofort melden
Melden Sie schwerwiegende Vorfälle oder Fehlfunktionen von Ihren KI-Systemen den zuständigen Behörden, besonders wenn sie in den Bereich „Hochrisiko“ fallen. Leiten Sie entsprechende Gegenmaßnahmen ein.
 

➡ Eine ausführliche Beschreibung aller erforderlichen Maßnahmen erhalten Sie im Umsetzungsleitfaden des Bitkom. Das 220-seitige Dokument beleuchtet alle Aspekte sehr genau und erhält zudem ständig Updates.
 

Entwickeln Sie KI-Kompetenzen in Ihren Teams

Der EU-AI-Act legt großen Wert auf die Fähigkeiten der Mitarbeiter, da der verantwortungsbewusste und sichere Umgang mit KI-Systemen entscheidend für deren sichere und rechtskonforme Nutzung ist. Zudem können nur gut geschulte Mitarbeiter das Potenzial der Künstlichen Intelligenz im Arbeitsalltag ausschöpfen.

Um die KI-Kompetenzen schrittweise zu fördern, sollten Sie folgende Maßnahmen ergreifen:
 

Regelmäßige Schulungen
Bieten Sie praxisnahe Workshops zu den Anforderungen der KI-Verordnung an. Außerdem sollte es ausreichend Budget geben, damit alle Angestellten Ihr KI-Wissen vertiefen können – beispielsweise über Online-Seminare und Zertifizierungsweiterbildungen.
 

Wissensplattform aufbauen
Ermuntern Sie alle Kollegen, sich regelmäßig über neue KI-Tipps auszutauschen. Fördern Sie eine abteilungsübergreifende Kommunikation, um ein ganzheitliches Verständnis zu entwickeln.
 

Praxis statt Theorie
Sorgen Sie dafür, dass Mitarbeiter die KI-Technologien in kontrollierten Projekten erproben und damit Erfahrungen sammeln können. Aber unterbinden Sie einen „Wildwuchs“ an Systemen, damit keine Schatten-IT bzw. Schatten-KI entsteht.
 

Fazit

Die KI-Verordnung ist mehr als eine weitere rechtliche Hürde. Sie ist eine Chance, Systeme mit Künstlicher Intelligenz verantwortungsvoll und nachhaltig einzusetzen.

Setzt sich Ihr Unternehmen frühzeitig mit den Anforderungen auseinander, schaffen Sie eine solide Basis für zukünftige Innovationen und vermeiden rechtliche Fallstricke. Wichtig ist, dass das Projekt nicht nur von der IT-Abteilung, sondern auch von HR und Marketing vorangetrieben und von der Geschäftsleitung unterstützt wird. Ziehen Sie alle an einem Strang, damit die Implementierung von neuen KI-Lösungen wie auch die Umsetzung des EU-AI-Acts bestens funktioniert.

Bilder: Adobe Stock

Die in diesem Blogbeitrag bereitgestellten Informationen dienen ausschließlich allgemeinen Informationszwecken und stellen keine rechtliche oder sonstige professionelle Beratung dar. Falls Sie rechtliche oder fachliche Beratung benötigen, wenden Sie sich bitte an einen qualifizierten Experten.