Die KI-Verordnung - ein Meilenstein für den sicheren Umgang mit Künstlicher Intelligenz
Künstliche Intelligenz verändert rasant unser Leben und Arbeiten. Mit der KI-Verordnung hat die Europäische Union erstmals ein umfassendes Gesetz geschaffen, das den sicheren und verantwortungsvollen Einsatz von KI regeln soll. Sie bildet damit die Grundlage für Vertrauen, Sicherheit und Innovation und legt fest, welche Ziele, Pflichten und Sanktionen beim Einsatz von KI in Europa gelten.
Künstliche Intelligenz in Europa - das neue Gesetz
Die Verordnung über künstliche Intelligenz - auch KI-Verordnung oder AI Act genannt - legt klare Anforderungen fest, die KI-Entwickler und -Betreiber je nach konkreter Verwendung erfüllen müssen. Sie schafft damit einen einheitlichen Rahmen für alle EU-Mitgliedsstaaten und sorgt für gleiche Standards beim Einsatz von KI in Europa.
Ziele der KI-Verordnung
Die KI-Verordnung soll Menschen vor den möglichen Risiken von KI-Anwendungen schützen - insbesondere in sensiblen Bereichen wie Gesundheit, Sicherheit und Grundrechte wie Demokratie, Rechtsstaatlichkeit und Umweltschutz. Zudem fördert sie ein Umfeld, in dem KI in Europa entwickelt und angewendet werden kann. Darüber hinaus schafft die Verordnung einen einheitlichen Rechtsrahmen für den gesamten EU-Binnenmarkt, sodass Unternehmen europaweit unter denselben Bedingungen arbeiten. Durch klare Regeln, Transparenz und Verantwortlichkeit soll die KI-Verordnung das Vertrauen in KI-Technologien stärken und fördern.
Hintergrund und Entstehung
Mit der KI-Verordnung reagiert die EU auf die Chancen und Risiken, die der Einsatz von KI mit sich bringt. Die erste umfassende KI-Strategie entstand bereits 2018. Aus dieser Planung ging die heutige KI-Verordnung hervor. Die KI-Verordnung ist somit das erste umfassende Gesetz weltweit, das klare Vorgaben für den sicheren und verantwortungsvollen Einsatz von KI schafft.
Im April 2021 legte die EU-Kommission den ersten Entwurf der KI-Verordnung vor. Drei Jahre später wurde der Entwurf finalisiert und offiziell im Amtsblatt der EU veröffentlicht. Am 1. August 2024 trat die Verordnung in Kraft.
Die Besonderheit dieser Verordnung liegt darin, dass sie unmittelbar in allen EU-Mitgliedsstaaten gilt und somit alle Unternehmen in der EU die neuen Regeln einhalten müssen.
Weitere Regelungen treten schrittweise zwischen Februar 2025 und August 2027 in Kraft. Bereits seit Februar 2025 gelten Anforderungen an die KI-Kompetenz von Anbietern und Betreibern sowie das Verbot bestimmter Praktiken.
Bis zum 2. August 2025 mussten zudem weitere wichtige Vorgaben umgesetzt werden - darunter die Vorschriften zu KI-Modellen mit allgemeinem Verwendungszweck (General Purpose AI, GPAI), sowie die Benennung nationaler Aufsichts- und Notifizierungsstellen. Außerdem musste eine zentrale Anlaufstelle für die Öffentlichkeit eingerichtet werden.
Bis zur nächsten Stufe am 2. August 2026 folgen die Regeln für Hochrisiko-KI-Systeme, neue Transparenzpflichten, ein nationales KI-Reallabor sowie die Umsetzung der Sanktionsregelungen.
Weitere Informationen zu den einzelnen Umsetzungsstufen können auf der Webseite der Bundesnetzagentur eingesehen werden.
Die KI-Verordnung stellt neue Anforderungen - wir begleiten Sie bei der erfolgreichen Umsetzung! Kontaktieren Sie uns gerne.
Risikoklassen von KI-Systemen
Die KI-Verordnung unterscheidet Arten von KI-Systemen nach dem Risiko, das sie für die Sicherheit und Grundrechte von Menschen darstellen können. Insgesamt gibt es drei Kategorien:
- Verbotene KI-Systeme: Einige KI-Systeme sind unzulässig, weil sie mit den Werten der Europäischen Union unvereinbar sind. Dazu gehören Systeme, die Menschen auf Grundlage ihres Verhaltens, ihres sozialökonomischen Status und persönlicher Merkmale klassifizieren.
- Hochrisiko-KI-Systeme: KI-Systeme mit hohem Risiko dürfen erst nach Erfüllung strenger Auflagen eingesetzt werden, dazu zählen beispielsweise KI-gestützte Chirurgie-Roboter.
- KI-Systeme mit minimalen oder keinem Risiko: Diese Systemen werden von der KI-Verordnung nicht reguliert. Hierzu zählen z. B. Spamfilter oder KI-fähige Videospiele.
Betroffene Gruppen und ihre Pflichten
Die Vorschriften der KI-Verordnung gelten für alle, die in der EU ein KI-System einsetzen oder vertreiben - egal ob Unternehmen, Behörde, Organisationen oder andere Akteure. Entscheidend ist dabei nicht der Standort des jeweiligen Akteurs, sondern ob das KI-System in der EU genutzt wird oder seine Ergebnisse Auswirkungen auf Menschen in der EU haben.
Die in der Verordnung genannte Anforderungen für Hochrisiko-KI-Systeme müssen von allen Anbietern erfüllt werden. Als Anbieter gilt dabei nicht nur der Hersteller oder Entwickler, sondern auch derjenige, der ein KI-System unter eigenem Namen bereitstellt oder vertreibt.
Wer ein KI-System selbstständig verwendet, gilt als Betreiber. Unternehmen, die ihren Mitarbeitern den Gebrauch frei verfügbarer KI-Dienste wie beispielsweise ChatGPT erlauben, fallen daher unter die Betreiber und müssen entsprechende Organisations- und Transparenzpflichten erfüllen.
Unternehmen wird empfohlen, den Zweck des KI-Systems im Vorfeld genau festzulegen. Wird der Einsatzzweck später geändert, kann ein ursprünglich geringes Risiko als Hochrisiko eingestuft werden und zusätzliche Pflichten auslösen.
Neben den gesetzlichen Pflichten müssen Anbieter und Betreiber über ausreichende KI-Kompetenz verfügen, um diese Pflichten einhalten zu können. Wie die Unternehmen diese Kompetenz nachweisen, bleibt ihnen überlassen. Sinnvoll sind die Durchführung von KI-Schulungen für Mitarbeitende und interne Nutzungsregeln.
Unabhängig vom Risikograd schreibt die KI-Verordnung für bestimmte KI-Systeme Transparenzpflichten vor. Nutzer müssen jederzeit erkennen können, dass sie mit einer KI interagieren. Von KI erzeugte Ergebnisse müssen entsprechend gekennzeichnet sein, z. B. durch ein Wasserzeichen. Bei synthetischen Audio-, Bild- oder Videoaufnahmen („Deepfakes“) besteht eine Offenlegungspflicht.
Die KI-Verordnung erfasst auch sogenannte KI-Modelle mit allgemeinen Verwendungszweck („General Purpose AI“). Dazu gehören sehr große, vielseitige Systeme, z. B. Sprachmodelle wie ChatGPT, die mit großen Datenmengen trainiert werden und für unterschiedliche Aufgaben genutzt werden können. Aufgrund dieses breiten Einsatzspektrums können sie Risiken für die Rechte und Freiheiten der EU-Bürger*innen bergen. Um diese Risiken einzudämmen, verpflichtet die KI-Verordnung die Anbieter solcher Modelle zu spezifischen Transparenz- und Meldepflichten.
Bußgelder und Aufsicht bei Verstößen
Die KI-Verordnung stellt Unternehmen vor große Herausforderungen. Bei einer nicht ordnungsgemäßen Umsetzung drohen Bußgelder von bis zu 35 Millionen Euro oder sieben Prozent des weltweiten Jahresumsatzes. Deutschland musste die Vorgaben bis zum 2. August 2025 umsetzen. Nach Angaben des Bundesministerium für Wirtschaft und Klimaschutz soll die Bundesnetzagentur als zentrale Stelle für die Überwachung und Durchsetzung der KI-Verordnung zuständig sein.
Fazit
Die KI-Verordnung ist ein wichtiger Schritt für den Umgang mit KI in Europa. Sie schafft erstmals einheitliche Regeln, die Chancen und Risiken berücksichtigen und den Schutz von Sicherheit, Grundrechten und europäischen Werten sicherstellen sollen. Für Unternehmen und andere Akteure bringt das klare Pflichten und gleichzeitig Sicherheit bei der Planung sowie ein stabiles Umfeld für Innovation. Wer sich frühzeitig mit den Anforderungen auseinandersetzen, sichert sich Vorteile und vermeidet Strafen.
Datenschutz KI-Verordnung EU-Regeln KI-Risikoklassen Pflichten
