KI-Gesetz der EU
KI-Gesetz der EU: Diese Neuerungen betreffen Unternehmen
Am 1. August 2024 war es soweit: Die Europäische Union präsentierte mit der KI-Verordnung (EU 2024/1689) den weltweit ersten umfassenden Rechtsrahmen für Künstliche Intelligenz (KI). Ein Meilenstein, der nicht nur für Entwickler*innen von KI-Systemen, sondern für alle Unternehmen neue Spielregeln aufstellt – von ambitionierten Start-ups bis zu globalen Konzernen.
Die Botschaft ist klar: Fortschritt ja, aber mit Regulierungen. Mit einem risikobasierten Ansatz schafft die Verordnung einen Balanceakt zwischen Innovation und Verantwortung.
Kernziele der KI-Verordnung: Fortschritt mit Verantwortung
Die EU-KI-Verordnung verfolgt vier Hauptziele: den Schutz der Grundrechte und der Sicherheit von EU-Bürgern, die Überwachung und Regulierung des KI-Einsatzes in Unternehmen, die Förderung eines sicheren Innovationsraums in Europa und den Aufbau von Vertrauen in KI-Systeme bei Verbrauchern und Unternehmen.
Dabei betrifft die Verordnung KI-Systeme, die maschinengeschützt, anpassungsfähig und in der Lage dazu sind, auf Basis von Eingaben Vorhersagen, Entscheidungen oder Empfehlungen zu generieren, die physische oder virtuelle Umgebungen beeinflussen.
Abhängig vom Risiko unterscheidet die Verordnung:
- Inakzeptables Risiko: Systeme wie Social Scoring oder biometrische Echtzeit-Fernidentifizierung sind verboten.
- Hohes Risiko: KI in kritischen Bereichen (bspw. Bildung, Strafverfolgung) unterliegt strengen Vorschriften
- Begrenztes/Minimales Risiko: Systeme wie Chatbots dürfen verwendet werden, müssen aber transparent sein.
Ein Überblick: Die wichtigsten Pflichten für Unternehmen
Die KI-VO stellt klare Anforderungen an Anbieter und Betreiber von KI-Systemen in der EU, unabhängig von Unternehmensgröße oder -typ. Unternehmen, die KI-Systeme entwickeln, vertreiben oder nutzen, müssen dabei unter anderem folgende Punkte beachten:
- Risikobewertung und -management: KI-Systeme müssen auf potenzielle Risiken hin geprüft und so gestaltet werden, dass sie sicher und vertrauenswürdig sind.
- Transparenzanforderungen: Nutzer*innen müssen darüber informiert werden, dass sie mit einem KI-System interagieren – insbesondere bei Systemen, die Emotionen erkennen oder biometrische Daten verarbeiten.
- Dokumentation und Aufzeichnungen: Detaillierte Protokolle über die Entwicklung, das Training und den Einsatz von KI-Systemen sind erforderlich.
- Schulungsmaßnahmen: Unternehmen sollten gemäß Artikel 4 der KI-VO regelmäßige Schulungen zur sicheren Nutzung von KI-Systemen gewährleisten. Diese Schulungen müssen Risikomanagement und die richtige Handhabung von KI abdecken, um negative Auswirkungen zu vermeiden. Proaktive Schulungsmaßnahmen stärken das Vertrauen und erfüllen die Sorgfaltspflicht.
Wichtige Termine im Überblick:
- 2. Februar 2025: Verbot von KI-Systemen, die ein inakzeptables Risiko darstellen. Diese Systeme dürfen dann nicht mehr verwendet werden.
- 2. August 2025: Anwendbarkeit der Bestimmungen für KI-Systeme mit „allgemeinem Verwendungszweck“ (wie z. B. Basismodelle wie ChatGPT).
- 2. August 2026: Allgemeine Anwendbarkeit der KI-Verordnung auf alle relevanten KI-Systeme.
- 2. August 2027: Anwendbarkeit der KI-Verordnung für bestimmte Hochrisikosysteme.
KI-Verordnung und Datenschutz: Warum beide zusammengehören
Wenn Unternehmen KI-Systeme einsetzen, steht nicht nur die KI-Verordnung auf dem Prüfstand – auch die DSGVO muss im Blick behalten werden. Das bedeutet konkret: Personenbezogene Daten dürfen nur datenschutzkonform verarbeitet werden. Und ganz wichtig: Die Rechte der betroffenen Personen – von Auskunft bis Löschung ihrer Daten – müssen immer gewahrt bleiben.
Es reicht also nicht, sich einfach auf eine der beiden Verordnungen zu stützen. Unternehmen müssen sicherstellen, dass ihre KI-Systeme sowohl den Anforderungen der KI-Verordnung als auch der DSGVO gerecht werden. Die Herausforderung? Beide komplexen Regelwerke miteinander zu vereinen, um rechtlich auf der sicheren Seite zu sein und gleichzeitig das Vertrauen der Nutzer*innen zu gewinnen.
In vielen Fällen ist es eine gute Idee, sowohl einen Datenschutzbeauftragten für die datenschutzrechtlichen Anforderungen als auch einen Rechtsanwalt für die rechtlichen Aspekte der KI-Verordnung hinzuzuziehen.
Links/Hinweise:
KI-Verordnung (EU 2024/1689; https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=OJ:L_202401689)
Die KI-Verordnung – Welche Pflichten kommen auf Unternehmen zu?
https://www.datenschutzexperte.de/blog/ai-act-was-die-ki-verordnung-fur-unternehmen-bedeutet
https://www.ihk.de/koeln/hauptnavigation/digitalisierung/digitalisierung2/ki-verordnung-6253208