Künstliche Intelligenz wird immer mehr Bestandteil in unserem Alltag, sowohl im Privaten als auch im Unternehmensalltag. Daher haben wir mit dieser Beitragsreihe die Hauptaspekte der rechtlichen Regulierung von Künstlicher Intelligenz (KI) sowie die damit verbundenen Herausforderungen und Chancen gestartet. In diesem Beitrag geht es darum, wann die KI-Verordnung (KI-VO) für Unternehmen relevant wird und wie Sie Ihr Unternehmen darauf vorbereiten können.
Die Grundlagen der KI-Verordnung
Die KI-Verordnung zielt darauf ab, ein Gleichgewicht zwischen der Förderung der KI-Innovation und dem Schutz der öffentlichen Sicherheit und Grundrechte zu schaffen. Die Verordnung klassifiziert KI-Systeme basierend auf ihrem Risiko und unterscheidet auch anhand der Rolle eines Unternehmens, welche Pflichten aus der Verordnung erfüllt werden müssen. Wenn KI im Unternehmen eingesetzt wird oder künftig eingesetzt werden soll, sollten die Vorgaben der KI-Verordnung von Beginn an, beachtet werden, um mögliche Compliance-Lücken abzuwenden.
Zeitrahmen und Implementierung
Die Implementierung der KI-Verordnung wird in mehreren Phasen erfolgen. Zunächst wurde die Verordnung als Rechtsakt formal durch das Europäische Parlament und den Rat angenommen. Seit August 2024 ist sie in Kraft getreten und die verschiedenen Übergangsfristen haben begonnen.
Was bedeutet das für Ihr Unternehmen?
Die KI-Verordnung setzt sowohl für Anbieter als auch Nutzer von KI-Systemen spezifische Pflichten fest. Diese Pflichten variieren je nach Klassifizierung der KI-Systeme in die Risikokategorien.
Welches KI-System soll eingesetzt werden?
Wenn Ihr Unternehmen den Einsatz eines KI-Modells plant, ist zunächst das KI-System in eine der vier folgenden Kategorien einzuordnen:
- Verbotenes KI-System: Dazu gehören unter anderem KI-Systeme, die Techniken der unterschwelligen Beeinflussung nutzen, biometrische-Fernidentifizierungssysteme, KI-Systeme, die die Schutzbedürftigkeit bestimmter Personen oder Gruppen ausnutzen oder die zur Bewertung oder Einstufung von persönlichen Eigenschaften oder Persönlichkeitsmerkmalen eingesetzt werden und diese Bewertung zur einer ungerechtfertigtem oder unverhältnismäßigen Benachteiligung oder Schlechterstellung führt, Gesichtserkennungssysteme und KI-Systeme, die Ableitungen aus Emotionen von Personen am Arbeitsplatz oder Bildungseinrichtungen erstellen.
Eine Auflistung der verbotenen KI-Systeme findet sich in Art. 5 KI-VO.
- Hochrisiko-KI-System: Diese KI-Systeme sind nicht abschließend in Anhang III der KI-VO aufgelistet und betreffen die Bereiche Biometrie, kritische Infrastrukturen, allgemeine und berufliche Bildung, Beschäftigung, Personalmanagement und Zugang zur Selbstständigkeit, Zugänglichkeit und Inanspruchnahme grundlegender privater und öffentlicher Dienste und Leistungen, Strafverfolgung, Migration, Asyl, Grenzkontrolle, Rechtspflege und demokratische Prozesse.
Praxisbeispiel:
Ein KI-Tool wird zur Vorauswahl von Bewerbungen verwendet, um diese zu sichten oder zu filtern und Bewerbende zu bewerten. Mehr zum Thema Recruiting mit KI finden Sie in diesem Blogbeitrag.
- KI-System, das für die direkte Interaktion mit natürlichen Personen bestimmt ist: Solche KI-Systeme begegnen uns sehr häufig in der digitalen Welt, zum Beispiel in Form von Chatbots auf Webseiten.
- KI-System mit allgemeinem Verwendungszweck: Das sind KI-Modelle, die in der Lage sind, eine Vielzahl von Zwecken sowohl für die direkte Verwendung als auch für die Integration in andere KI-Systeme zu dienen und auch kompetent ein breites Spektrum unterschiedlicher Aufgaben erfüllen kann.
Auch diese KI-Systeme sind aktuell besonders häufig eingesetzt. Diese sind dazu bestimmt Audio-. Bild-, Video- oder Textinhalte zu erzeugen, wie beispielsweise ChatGPT, DALLE, Midjourney oder ELAI.io.
Welche Rolle nimmt Ihr Unternehmen ein?
Wenn die Einordnung des KI-Systems erfolgt ist, muss die Rolle des Unternehmens ermittelt werden, was das entsprechende KI-Modell verwenden möchte:
- Anbieter entwickeln ein KI-Modell oder ein KI-System und bringen es unter eigenen Namen oder ihrer Handelsmarke in den Verkehr oder nehmen es unter eigenen Namen oder ihrer Handelsmarke in Betrieb, unabhängig davon ob es entgeltlich oder unentgeltlich ist.
Rechtlicher Exkurs „entwickeln“
Die Legaldefinition aus der KI-Verordnung ist noch recht unklar. Danach kann unter diesen Begriff bereits eine Weiterentwicklung oder das Finetuning eines KI-Modells fallen. Dies führt dazu, dass der Begriff des „Anbieters“ sehr umfassend ist und ein Unternehmen auch ungewollt Anbieterpflichten erfüllen muss.
- Betreiber verwenden KI-Systeme in eigener Verantwortung im beruflichen Rahmen.
- Einführer sind in der Union Ansässige oder Niedergelassene, die ein KI-System aus einem Drittland unter den Namen oder der Handelsmarke des im Drittland, also außerhalb der EU oder des EWR, niedergelassenen Unternehmens, in der EU in den Verkehr bringen.
- Händler sind ein Unternehmen in der Lieferkette, die ein KI-System in der EU bereitstellt, aber nicht in der Rolle des Anbieters oder Einführer sind.
Rechtlicher Exkurs: Rollenänderung
Die Verantwortlichkeiten bzw. Rollen können sich unter bestimmten Voraussetzungen ändern. Das wäre beispielsweise bei wesentlichen Änderungen an einem KI-System der Fall oder bei nicht ursprünglicher Zweckverwendung. Genaueres lässt sich Art. 25 KI-VO entnehmen.
Pflichten nach der KI-Verordnung
Nach der Einordnung des KI-Systems und der Rolle des Unternehmens sind die jeweiligen Pflichten wie folgt:
Pflichten für Anbieter von KI-Systemen
Hochrisiko-KI-Systeme:
- Risikobewertung und -management: Anbieter müssen ein Risikomanagement-System implementieren, das über den gesamten Lebenszyklus des KI-Systems hinweg aufrechterhalten wird.
- Entwicklung des KI-Modells mit Trainings-, Validierungs- und Testdatensätzen unter Berücksichtigung der Daten-Governance und Datenverwaltungsverfahren.
- Technische Dokumentation: Diese muss erstellt werden, bevor das System in Verkehr gebracht wird und alle Informationen aus Anhang IV der KI-VO enthalten.
- Aufzeichnungspflichten: Die Technik muss die automatische Aufzeichnung von Ereignissen während des Lebenszyklus des KI-Systems erfüllen. Dazu gehört die Aufzeichnung des Verwendungszeitraums, die Referenzdatenbank, die Eingabedaten und die Identität der an der Überprüfung der Ergebnisse beteiligten Personen.
- Transparenz: Der Betrieb muss so transparent sein, dass die Betreiber die Ausgaben der KI–System angemessen interpretieren und verwenden können. Ferner müssen Betriebsanleitungen in einem geeigneten digitalen Format bereitgestellt werden oder enthalten sein.
- Menschliche Aufsicht: Während der Dauer ihrer Verwendung muss eine Aufsicht durch natürliche Personen wirksam möglich sein.
- Cybersicherheit: Hochrisiko-KI-Systeme müssen genau und genau sein sowie ein angemessenes Maß an Cybersicherheit erreichen.
- Qualitätsmanagement: Zur Gewährleistung der Einhaltung der KI-Verordnung muss ein Qualitätsmanagementsystem eingerichtet werden.
- Aufbewahrung: Sämtliche Dokumentationen zum KI-System müssen für 10 Jahre aufbewahrt werden.
- Korrekturmaßnahmen und Informationspflicht: Wenn ein Hochrisiko-KI-System nicht mehr rechtsgemäß betrieben wird, ergreift der Anbieter die erforderlichen Korrekturmaßnahmen und stellt eine Rechtskonformität her. Zusätzlich müssen die Händler, Betreiber und Einführer darüber informiert werden.
- Behördenkommunikation: Die Zusammenarbeit mit den zuständigen Aufsichtsbehörden muss sichergestellt werden.
- Konformitätsbewertung: Das Konformitätsbewertungsverfahren sowie die Ausstellung der EU-Konformitätserklärung für das KI-Systemen müssen ebenfalls sichergestellt sein. Dazu gehört auch die erforderliche CE-Kennzeichnung.
- Registrierung: Das KI-System muss im Verzeichnis für Hochrisiko-KI-Systeme registriert werden.
- Test: Ferner ist ein Text unter Realbedingungen mit dem KI-System erforderlich.
- Benennung eines EU-Bevollmächtigten: Wenn keine Niederlassung in der Union vorhanden ist, muss ein Bevollmächtigter in der EU benannt werden.
KI-Systeme, die zur direkten Interaktion mit natürlichen Personen bestimmt sind:
- Transparenzpflichten: Klare Kennzeichnung, wenn Nutzer mit einem KI-System interagieren, um Täuschungen zu vermeiden.
- Datenmanagement: Anforderungen zur Sicherstellung der Datenintegrität, ohne die spezifische Risikobewertung und -managementprozesse wie bei hochriskanten Systemen.
Für KI-Systeme mit allgemeinem Verwendungszweck:
- Kennzeichnung: Es ist eine Kennzeichnung im maschinenlesbaren Format erforderlich, um sogenannte „Deep Fakes“ zu vermeiden.
Pflichten für Betreiber von KI-Systemen
Hochrisiko-KI-Systeme:
- Sicherstellung TOMs: Betreiber müssen die technischen und organisatorischen Maßnahmen sicherstellen.
- Überprüfung Eingabedaten: Die Betreiber müssen die Eingabedaten auf ihre Zweckbestimmung des KI-Systems hin überprüfen.
- Einhaltung der Betriebsvorgaben: Betreiber müssen die Betriebsanleitungen und Spezifikationen des KI-Systems befolgen und diesen Betrieb überwachen.
- Überprüfung Eingabedaten: Die Betreiber müssen die Eingabedaten auf ihre Zweckbestimmung des KI-Systems hin überprüfen.
- Aufrechterhaltung der menschlichen Aufsicht: Sicherstellung, dass die erforderliche menschliche Aufsicht eingehalten wird.
- Aufbewahrung: Protokolle zu Ereignissen des KI-Systems während seiner Verwendung müssen 6 Monate aufbewahrt werden.
- Informationspflichten: Beschäftigte, die vom KI-System tangiert werden, müssen vor Inbetriebnahme darüber informiert werden. Ebenso müssen Betroffene informiert werden.
- Datenschutz-Folgenabschätzung: Wenn personenbezogene Daten im Hochrisiko-KI-System verarbeitet werden, ist eine Datenschutz-Folgenabschätzung durchzuführen.
- Behördenkommunikation: Die Zusammenarbeit mit den zuständigen Aufsichtsbehörden muss sichergestellt werden. Dazu gehört auch die Berichterstattung über mögliche Ereignisse.
- Grundrechte-Folgenabschätzung: Unter bestimmten Voraussetzungen aus Art. 27 KI-VO kann eine Grundrechte-Folgenabschätzung erforderlich sein.
Für KI-Systeme mit begrenztem und minimalem Risiko:
- Transparenz: Betreiber müssen sicherstellen, dass ihre Nutzung von KI offengelegt wird, insbesondere dann wenn der erzeugte KI-generierte Inhalt veröffentlich wird.
Pflichten für Einführer von KI-Systemen
Hochrisiko-KI-Systeme:
- Überprüfung der technischen Dokumentation: Die durch den Anbieter erstellte technische Dokumentation muss vom Einführer überprüft werden.
- Überprüfung Konformität: Die CE-Kennzeichnung als auch die EU-Konformitätserklärung und die beigefügte Betriebsanleitung müssen vom Einführer kontrolliert werden sowie die Durchführung des Konformitätsbewertungsverfahrens.
- Benennung eines Bevollmächtigten: Die Einführer müssen überprüfen, dass der Anbieter einen EU-Bevollmächtigten ernannt hat.
- Weitere Pflichten: Der Einführer muss außerdem noch die zusätzlichen Pflichten aus Art. 23 Abs. 2 bis Abs. 7 KI-VO erfüllen.
Pflichten für Händler von KI-Systemen
- Überprüfung Konformität: Die CE-Kennzeichnung als auch die EU-Konformitätserklärung und die beigefügte Betriebsanleitung müssen vom Einführer kontrolliert werden sowie die Durchführung des Konformitätsbewertungsverfahrens.
- Qualitätsmanagementsystem: Händler müssen das QM-System der Anbieter überprüfen.
- Weitere Pflichten: Die Händler müssen zusätzlichen Pflichten aus Art. 24 Abs. 2 bis Abs. 6 KI-VO nachkommen.
Zusammenfassung
Die Pflichten für Unternehmen sind abhängig von der Risikokategorie des KI-Systems. Während Anbieter umfangreiche Pflichten in Bezug auf die Qualität, Sicherheit und Transparenz ihrer Systeme haben, müssen Nutzer die Betriebsvorschriften verstehen und befolgen und bei Systemen mit hohem Risiko eine angemessene Aufsicht sicherstellen. Durch die Einhaltung dieser Pflichten werden Unternehmen nicht nur regulatorischen Anforderungen gerecht, sondern können auch das Vertrauen in ihre Technologien stärken und zur Schaffung eines sicheren und gerechten KI-Ökosystems beitragen.
Zusätzlich müssen Anbieter und Betreiber von KI-Systemen Maßnahmen ergreifen, die die KI-Kompetenz ihres Personals und denen, die mit dem KI-System arbeiten, sicherstellen. Dazu gehören die technischen Kenntnisse, ihre Erfahrung, ihre Ausbildung und Schulung und der Kontext, in dem diese KI-Systeme eingesetzt werden sollen.
Fazit
Die KI-Verordnung bringt sowohl Herausforderungen als auch Chancen für Unternehmen mit sich. Eine frühzeitige Vorbereitung und Anpassung an die neuen Regeln wird nicht nur zur Compliance beitragen, sondern kann auch einen Wettbewerbsvorteil darstellen. Unternehmen, die proaktiv handeln, werden am besten positioniert sein, um in dieser neuen Ära der KI-Regulierung erfolgreich zu sein.
Wir bieten interne Workshops für Ihre Legal-, IT- oder Innovationsabteilung an, falls Ihr Unternehmen noch am Anfang der KI-Strategie steht. Außerdem unterstützen wir Sie auch bei der KI-Strategie Ihres Unternehmens. Nehmen Sie dazu gerne Kontakt zu uns auf.
Bildnachweis: KI generiert
AUTORIN
Sarah Tavcer ist Volljuristin und als externe Datenschutzbeauftragte sowie Datenschutzberaterin bei der RMPrivacy GmbH für Unternehmen und öffentliche Stellen tätig. Darüber hinaus ist sie als Dozentin an der Hochschule Worms für die Vorlesung „Einführung ins IT-Recht“.