IT-Recht und Datenschutz12.07.2024 Newsletter

Die KI-VO – Was Unternehmen wissen sollten

Am 12. Juli 2024  hat die Europäischen Union (EU) die neue Verordnung (EU) 2024/1689 zur Festlegung harmonisierter Regeln für künstliche Intelligenz (KI) – kurz: KI-Verordnung (KI-VO) im Amtsblatt der EU veröffentlicht. Die KI-VO tritt 20 Tage nach ihrer Veröffentlichung – am 1. August 2024 – in Kraft. Bereits am 21. Mai 2024 hatte der Rat der EU der KI-VO in ihrer endgültigen Fassung angenommen. Rund drei Jahre nach dem ersten von der EU-Kommission im April 2021 Entwurf der KI-VO und intensiven Verhandlungen im Rahmen des Trilog-Verfahrens, die im Dezember 2023 zu einer politischen Einigung führten, ist damit der weltweit erste umfassende Rechtsrahmen für KI offiziell verabschiedet worden.

Dieser Beitrag bietet Unternehmen und anderen Organisationen einen Überblick über wichtige Regelungen der KI-VO, die beachten und berücksichtigen sollten, wenn sie KI-Systeme verwenden.

Was sind die Ziele der KI-VO?

Die KI-VO zielt darauf ab, die Nutzung und Entwicklung von KI in den EU-Mitgliedstaaten umfassend zu regeln. Sie schafft/etabliert einen harmonisierten Rechtsrahmen für KI und soll sicherstellen, dass KI-Technologie auf sichere Weise und im Einklang mit den Werten der EU, einschließlich der Achtung von Grundrechten, Rechtsstaat und Demokratie, entwickelt und genutzt wird. Durch die Festlegung klarer Standards soll die KI-VO Innovation im KI-Sektor fördern und gleichzeitig Nutzer vor möglichen Schäden im Zusammenhang mit KI-Technologien schützen.

Welche Technologien fallen unter die KI-VO?

Die Vorschriften der KI-VO betreffen KI-Systeme nach einem horizontalen, sektorunabhängigen Ansatz. Dieser gilt für einfache KI-basierte Anwendungen bis hin zu komplexen KI-Systemen in allen Branchen, unabhängig davon, ob beispielsweise eine Finanzanwendung oder ein Gesundheitssystem KI verwendet.

Die KI-VO bietet die erste rechtliche Definition von KI, die den Anwendungsbereich der KI-VO bestimmt. Während der Entwurf der Kommission eine extrem breite KI-Definition enthielt – die weithin kritisiert wurde – ist die Definition in der finalen Fassung der KI-VO enger gefasst. Die KI-VO definiert „KI-System“ wörtlich als:

„ein maschinengestütztes System, das für einen in unterschiedlichem Grade autonomen Betrieb ausgelegt ist und das nach seiner Betriebsaufnahme anpassungsfähig sein kann und das aus den erhaltenen Eingaben für explizite oder implizite Ziele ableitet, wie Ausgaben wie etwa Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen erstellt werden, die physische oder virtuelle Umgebungen beeinflussen können.“ 

Ausgehend von dieser Definition sind der autonome Betrieb und die Fähigkeit, spezifische Arbeitsergebnissen durch Ableitung zu erzeugen wesentliche Merkmale von KI. Dies ist nahezu identisch mit der KI-Definition der Organisation für wirtschaftliche Zusammenarbeit und Entwicklung (OECD). Systeme, die ausschließlich auf der Grundlage deterministischer Regeln arbeiten, fallen nicht unter die KI-VO. Die bezeichneten Merkmale verhindern, dass auch herkömmliche Software erfasst wird, die allein anhand menschlich vorgegebener Regeln deterministisch Ergebnisse hervorbringt. In Anbetracht der unbestimmten Begriffe ist es nicht unwahrscheinlich, dass bei der Bestimmung der Systeme, die in den Anwendungsbereich der KI-VO fallen, Rechtsunsicherheit entsteht. Es bleibt abzuwarten, wie Aufsichtsbehörden und Gerichte ihren Handlungsspielraum nutzen werden.

Welche Einrichtungen und Personen sind von der KI-VO betroffen?

Fast alle Akteure, die an der Entwicklung und Nutzung von KI beteiligt sind, unterliegen bestimmten Anforderungen der KI-VO. Insbesondere sind „Anbieter“ (‘‘provider“) und „Betreiber“ (‘‘deployer“) von KI-Systemen und KI-Modellen mit allgemeinem Verwendungszweck  angesprochen:

  • ein Anbieter ist eine Einrichtung oder eine Einzelperson, die ein KI-System, oder KI-Modell mit allgemeinem Verwendungszweck (sog. Allzweck-KI-Modell), entwickelt hat und es unter ihrem eigenen Namen oder ihrer eigenen Handelsmarke – entgeltlich oder unentgeltlich – in Verkehr bringt oder in Betrieb nimmt, und
  • ein Betreiber ist eine Einrichtung oder eine Einzelperson, die ein KI-System in eigener Verantwortung einsetzt (es sei denn.

Auch Einführer und Händler unterliegen den Anforderungen der KI-VO. Die Nutzung von KI-Systemen für private Zwecke fällt nicht unter die neue Regelung.

Was den räumlichen Anwendungsbereich betrifft, so ist die KI-VO nicht auf Anbieter und Betreiber mit einer Niederlassung in der EU beschränkt. Der Anwendungsbereich der KI-VO erstreckt sich auch über die Grenzen der EU hinaus. Er betrifft folgende Bereiche:

  • jeder Anbieter, der KI-Systeme oder Allzweck-KI-Modelle in der EU in Verkehr bringt oder in Betrieb nimmt; und
  • Anbieter und Betreiber in Drittländern, wenn die vom KI-System hervorgebrachte Ausgabe innerhalb der EU verwendet wird.

Auf dieser Grundlage müssen auch internationale Unternehmen ihre KI-Praktiken mit den Anforderungen der KI-VO in Einklang bringen, wenn sie auf dem EU-Markt tätig werden wollen.

Regulierungsrahmen für KI: Risikobasierter Ansatz

Die KI-VO sieht einen risikobasierten Ansatz vor. Ihr Regelungsrahmen kategorisiert KI-Systeme nach dem Grad des mit ihnen verbundenen Risikos und passt Art und Inhalt der anzuwendenden Pflichten und Anforderungen an die Intensität und den Umfang des jeweiligen Risikos an. Dazu gehören das Verbot bestimmter inakzeptabler KI-Praktiken, strenge Anforderungen für Hochrisiko-KI-Systeme und allgemeine, weniger strenge Anforderungen wie Transparenzpflichten für Betreiber aller anderen KI-Systeme.

Verbotene KI-Praktiken

Nach der KI-VO gelten bestimmte KI-Systeme und -praktiken als inakzeptabel und sind daher verboten, um die Sicherheit, die Grundrechte sowie den Schutz der Gesundheit von Menschen und der Umwelt zu gewährleisten. Zu den verbotenen KI-Praktiken gehören:

  • Manipulative und ausbeuterische Praktiken: Der Einsatz von KI-Systemen, die darauf abzielen oder dazu führen, dass menschliches Verhalten in einer Weise verzerrt wird, die erheblichen Schaden verursachen kann, insbesondere durch den Einsatz unterschwelliger Techniken oder anderer manipulativer oder täuschende Techniken, die die Autonomie, die Entscheidungsfindung oder die freie Wahl des Einzelnen untergraben.
  • Ausnutzen von vulnerablen Personen: Praktiken, welche die Vulnerabilität oder Schutzbedürftigkeit von Personen aufgrund ihres Alters, einer Behinderung oder ihrer sozialen bzw. wirtschaftlichen Situation ausnutzen, um deren Verhalten wesentlich zu verändern und ihnen dadurch erheblichen Schaden zuzufügen, sind verboten.
  • Systeme zur sozialen Bewertung: KI-Systeme, die von öffentlichen oder privaten Akteuren für die soziale Bewertung natürlicher Personen eingesetzt werden und zu diskriminierenden Ergebnissen und zur Ausgrenzung bestimmter Gruppen führen können, sind verboten. Solche Systeme bewerten oder klassifizieren natürliche Personen oder Gruppen von natürlichen Personen auf der Grundlage mehrerer Datenpunkte, die sich auf ihr soziales Verhalten in verschiedenen Kontexten oder bekannte, abgeleitete oder vorhergesagte persönliche oder Persönlichkeitsmerkmale über bestimmte Zeiträume beziehen.
  • Biometrische Echtzeit-Fernidentifizierung: Der Einsatz von KI-Systemen zur biometrischen Echtzeit-Fernidentifizierung natürlicher Personen in öffentlich zugänglichen Räumen zu Strafverfolgungszwecken ist generell verboten, außer in eng definierten und begrenzten Situationen, in denen der Einsatz für ein wesentliches öffentliches Interesse unbedingt erforderlich ist und seine Bedeutung die Risiken überwiegt.
  • Biometrische Kategorisierung: KI-Systeme, die auf biometrischen Daten beruhen und verwendet werden, um sensible Merkmale oder Eigenschaften von Personen abzuleiten, wie z. B. politische Meinungen, Gewerkschaftszugehörigkeit, religiöse oder philosophische Überzeugungen, Rasse, sexuelle Orientierung oder Geschlecht, sind verboten.
  • Systeme zur Erkennung von Emotionen: Der Einsatz von KI-Systemen zur Erkennung oder Ableitung von Emotionen oder Absichten natürlicher Personen auf der Grundlage ihrer biometrischen Daten in Arbeits- und Bildungskontexten ist verboten, es sei denn, der Einsatz erfolgt ausschließlich aus medizinischen oder Sicherheitsgründen.

Diese Verbote zielen darauf ab, Missbrauch zu verhindern und die Einhaltung von Grundrechten und ethischen Standards bei der Nutzung von KI-Technologien zu gewährleisten.

Beschränkungen für Hochrisiko-KI-Systeme

Für Hochrisiko-KI-Systeme schreibt die KI-VO die strikte Einhaltung spezifischer Anforderungen in Bezug auf Datenqualität, Transparenz und menschliche Aufsicht vor. Hochrisiko-KI-Systeme sind solche, die in sensiblen Bereichen eingesetzt werden und ein hohes Risiko für die Gesundheit, Sicherheit oder Grundrechte von Menschen darstellen können. Zu den Bereichen, in denen KI-Systeme als hochriskant eingestuft werden, gehören unter anderem:

  • kritische Infrastrukturen (z. B. Verkehr und Versorgungsunternehmen);
  • allgemeine und berufliche Bildung (z.B. KI-Systeme zur Feststellung des Zugangs oder der Zulassung zu Einrichtungen und Bewertung von Lernergebnissen);
  • Beschäftigung, Personalmanagement und Zugang zur Selbstständigkeit;
  • wesentliche private und öffentliche Dienste und Leistungen (z.B. Kreditwürdigkeit);
  • Strafverfolgung;
  • Migration, Asyl und Grenzkontrolle; und
  • Rechtspflege und demokratische Prozesse.

Hochrisiko-KI-Systeme unterliegen strengen gesetzlichen Anforderungen, die Sicherheit und Grundrechte der Menschen schützen und Innovationen und die Entwicklung von KI-Technologien in der EU fördern sollen. Die Regeln beinhalten insbesondere Folgendes:

  • Risikomanagement: Die Anbieter müssen ein Risikomanagementsystem einrichten, anwenden und während des gesamten Lebenszyklus des Systems aktualisieren, um die mit dem Einsatz von Hochrisiko-KI-Systemen verbundenen Risiken zu ermitteln und zu mindern.
  • Datenqualität und -verwaltung: Die für das Training, die Validierung und das Testen von KI-Systemen verwendeten Datensätze müssen hohen Qualitätsstandards entsprechen und dürfen keine Verzerrungen (‘‘Biases“) enthalten, die zu diskriminierenden Ergebnissen führen könnten.
  • Technische Dokumentation und Aufzeichnung: Die Anbieter müssen eine umfassende technische Dokumentation erstellen, um nachzuweisen, dass das KI-System die Anforderungen der KI-VO erfüllt.
  • Transparenz und Bereitstellung von Informationen: Die Anbieter müssen sicherstellen, dass die KI-Systeme transparent sind und dass die Nutzer über die Funktionsweise und die Grenzen des Systems informiert werden.
  • Menschliche Aufsicht: Ein Hochrisiko-KI-System muss so konzipiert sein, dass eine angemessene und wirksame menschliche Aufsicht gewährleistet ist, um Fehler oder Fehlfunktionen zu minimieren und zu korrigieren.
  • Robustheit, Genauigkeit und Cybersicherheit: Das Hochrisiko-KI-System muss während ihres gesamten Lebenszyklus robust und genau sein und über ein angemessenes Maß an Cybersicherheit verfügen.
  • Konformitätsbewertung: Vor dem Inverkehrbringen oder der Inbetriebnahme müssen die Hochrisiko-KI-Systeme einer Konformitätsbewertung unterzogen werden, um sicherzustellen, dass sie den Anforderungen der KI-VO entsprechen.

Anforderungen an KI-Modelle mit allgemeinem Verwendungszweck

Erst im Trilogverfahren im Dezember 2023 wurden Regelungen zu KI-Modellen mit allgemeinem Verwendungszweck (‘‘general-purpose AI-modells‘‘, kurz GPAI-Modelle) in die KI-VO aufgenommen. Damit reagierte der Europäische Gesetzgeber auf den Marktaufschwung der KI-Chatbots seit dem Markteintritt von ChatGPT Ende 2022 dar. Zu den wichtigsten Aspekten gehören:

  • Definition und Abgrenzung: GPAI-Modelle sind klar definiert und von KI-Systemen abgegrenzt, um Rechtssicherheit zu gewährleisten. Diese Modelle, die oft die Basis für nachgelagerte Systeme bilden, zeichnen sich durch allgemeine Verwendbarkeit und die Fähigkeit aus, eine Vielzahl von Aufgaben zu bewältigen. Sie werden üblicherweise mit großen Datenmengen trainiert und in verschiedenen Formen, wie Bibliotheken, APIs oder physischen Kopien, vertrieben. Sie werden in der Regel mit großen Datenmengen trainiert und können auf verschiedene Weise auf den Markt gebracht werden, darunter Bibliotheken, APIs, direkte Downloads oder physische Kopien.
  • Dokumentation und Transparenzmaßnahmen: Die Anbieter von GPAI-Modellen müssen eine technische Dokumentation des Modells erstellen und geeignete Transparenzmaßnahmen ergreifen, einschließlich der Erstellung und Aktualisierung von Unterlagen und der Bereitstellung von Informationen über das GPAI-Modell für dessen Verwendung durch nachgelagerte Anbieter. Die technische Dokumentation sollte so erstellt und aktualisiert werden, dass sie dem Büro für künstliche Intelligenz und den zuständigen nationalen Behörden auf Anfrage zur Verfügung gestellt werden kann. Diese Anbieterpflichten gelten, sobald die Modelle auf den Markt gebracht werden. Diese Regeln gelten auch, wenn diese Modelle in ein KI-System integriert werden oder Teil eines KI-Systems sind.
  • Freie und quelloffene Lizenz: Für GPAI-Modelle, die unter einer freien und quelloffenen Lizenz veröffentlicht und deren Parameter öffentlich zugänglich gemacht werden, gelten Ausnahmen von den Transparenzanforderungen, es sei denn, sie begründen ein systemisches Risiko. In jedem Fall müssen die Anbieter eine Zusammenfassung des Inhalts, der zum Training des Modells verwendet wurde, öffentlich zugänglich machen und eine Strategie zur Einhaltung des Urheberrechts der EU auf den Weg bringen.
  • Risikobewertung und -minderung bei systemischen Risiken: Anbieter von GPAI-Modellen, die aufgrund eines besonders hohen Wirkungsgrads ein systemische Risiken bergen, müssen potenzielle systemische Risiken bewerten und abmildern. Sie sind zur Durchführung von Modellbewertungen verpflichtet, einschließlich Tests mit gegnerischen Parteien, sowie zur kontinuierlichen Bewertung und Minderung von Systemrisiken während des gesamten Lebenszyklus des Modells.
  • Zusammenarbeit entlang der KI-Wertschöpfungskette: Die Anbieter von GPAI-Modellen sollten eng mit den Anbietern der relevanten Hochrisiko-KI-Systeme zusammenarbeiten, um ihnen die Einhaltung der einschlägigen Verpflichtungen aus diesem Gesetz zu ermöglichen.

Anforderungen, die für alle KI-Systeme gelten

Für den Einsatz von KI-Systemen, die nicht als Hochrisiko-KI-Systeme eingestuft sind, gelten in der KI-VO allgemeine Verhaltenskodizes, die sich auf Transparenz, Datensicherheit und die Einhaltung ethischer Standards konzentrieren. Diese Regeln sind weniger streng als die für Hochrisiko-KI-Systeme und umfassen:

  • Transparenz: Die Anbieter von KI-Systemen müssen sicherstellen, dass die Nutzer über die Funktionsweise und die Grenzen des KI-Systems informiert werden. Insbesondere muss gekennzeichnet werden, wenn Nutzer mit einem KI-System interagieren oder wenn Inhalte durch ein KI-System erzeugt oder manipuliert wurden.
  • Datenschutz und Sicherheit: Die Anbieter von KI-Systemen müssen die Sicherheit und den Schutz der verwendeten Daten gewährleisten. Dazu gehört auch die Einhaltung der Datenschutz-Grundverordnung (DSGVO) und anderer einschlägiger Datenschutzvorschriften.
  • Ethische Standards: KI-Systeme sollten im Einklang mit ethischen Grundsätzen entwickelt und eingesetzt werden, um Diskriminierung zu vermeiden und die Grundrechte zu wahren.

Was sind die Sanktionen bei Verstößen?

Die KI-VO sieht ein strenges Sanktionssystem vor. Bei Verstößen gegen die Verpflichtungen können die zuständigen Aufsichtsbehörden erhebliche Geldbußen verhängen, die sogar die Bußgelder nach der DSGVO übersteigen können. Diese Geldbußen können einen Höchstbetrag erreichen von:

  • bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes der Unternehmensgruppe bei Missachtung des Verbotes der in Art. 5 genannten KI-Systeme;
  • bis zu 15 Mio. EUR oder 3 % des weltweiten Jahresumsatzes der Unternehmensgruppe im Falle von Verstößen gegen bestimmte Bestimmungen für Hochrisiko-KI-Systeme, GPAI-Modelle, Transparenzpflichten von Anbietern und Betreibern und auch bei bestimmten Verstößen von Pflichten für notifizierende Stellen; oder
  • bis zu 7,5 Mio. € oder 1 % des weltweiten Jahresumsatzes der Unternehmensgruppe bei der Bereitstellung von unrichtigen oder unvollständigen Angaben gegenüber den Aufsichtsbehörden.

Für die Durchsetzung werden die nationalen Aufsichtsbehörden zuständig sein.

Welche Regulierungsbehörden sind für Durchsetzungsmaßnahmen zuständig?

Für die Überwachung und Durchsetzung der Bestimmungen der KI-VO werden mehrere Behörden und Einrichtungen zuständig sein. Zu den wichtigsten Regulierungsakteuren gehören:

  • Büro für künstliche Intelligenz: Das Büro für künstliche Intelligenz (‘‘AI Office“) ist als Kompetenzzentrum für KI eingerichtet worden. Die Zuständigkeit erfasst etwa die Überwachung der Vorgaben für GPAI-Modelle, die Erstellung der Verhaltenskodizes für KI-Systeme ohne erhöhtes Risiko oder die Entwicklung von Standards durch die Ausarbeitung von Mustern.
  • Expertengremien: Die KI-VO sieht neben dem Büro für künstliche Intelligenz mehrere Expertengremien vor. Der Europäische Ausschuss für Künstliche Intelligenz (KI-Gremium oder ‘‘AI Board“) besteht – vergleichbar dem Europäischen Datenschutzausschuss (EDSA) – aus Vertretern der Mitgliedsstaaten berät und unterstützt die Kommission durch Empfehlungen und Stellungnahmen, um die einheitliche und wirksame Anwendung der Verordnung zu gewährleisten. Daneben soll ein Beratungsforum (‘‘advisory forum”) mit Interessenträgern aus Industrie, Start-Up-Unternehmen, KMU, Wissenschaft und Zivilgesellschaft das KI-Gremium und die Kommission insbesondere durch die Bereitstellung von technischem Fachwissen unterstützen. Als weiteres Gremium wird das wissenschaftliche Gremium unabhängiger Sachverständiger (Wissenschaftliches Gremium oder ‘‘scientific panel of independent experts“) eingerichtet, welches insbesondere auch die Mitgliedstaaten bei der Durchsetzung der Verordnung unterstützen soll.
  • Nationale Aufsichtsbehörden: Jeder Mitgliedstaat benennt oder errichtet mindestens eine notifizierende Behörde und eine Marktaufsichtsbehörde als zuständige nationale Aufsichtsbehörden, die die Anwendung und Durchführung der KI-VO überwachen. Die Mitgliedstaaten können jede Art von öffentlicher Einrichtung mit den Aufgaben der nationalen Aufsichtsbehörden betrauen, je nach ihren spezifischen nationalen organisatorischen Merkmalen und Bedürfnissen. In Deutschland ist noch ungeklärt, welche Behörde mit dieser Aufgabe betraut sein wird.  In Betracht kommen die Bundesnetzagentur (BNetzA), das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die Datenschutzbehörden des Bundes und der Länder.

Diese Behörden und Strukturen sind von entscheidender Bedeutung für die Einhaltung der in der KI-VO festgelegten Anforderungen und tragen dazu bei, die sichere und verantwortungsvolle Nutzung von KI-Systemen in der EU zu fördern.

Wie sieht der Zeitplan für das Inkrafttreten und die Anwendung der KI-VO aus?

Am 12. Juli 2024 wurde der finale Text im Amtsblatt der Europäischen Union veröffentlicht. Die KI-VO und tritt am zwanzigsten Tag nach dieser Veröffentlichung – mithin am 1. August 2024 in Kraft.

Dieses Datum ist der maßgebliche Ausgangspunkt für die Berechnung verschiedener Zeitpunkte, ab denen wichtige Bestimmungen der KI-VO in mehreren Stufen in Kraft treten:

Bestimmungen der KI-VOBeginn der Anwendung
  • Verbotene KI-Praktiken: Aufgrund des inakzeptablen Risikos verbotener KI-Systeme wird die Anwendbarkeit der entsprechenden Regeln vorgezogen, wobei eine Übergangsfrist von lediglich sechs Monaten zur Einhaltung gewährt wird.
2. Februar 2025
  • Praxisleitfäden: Für die GPAI-Modelle sind Verhaltenskodizes in Form von Praxisleitfäden vorgesehen, die den Anbietern helfen sollen, die Einhaltung ihrer rechtlichen Verpflichtungen nachzuweisen. Diese Kodizes sollen innerhalb von neun Monaten nach Inkrafttreten der KI-VO von Kommission und KI-Büro ausgearbeitet werden.
2. Mai 2025
  • GPAI-Bestimmungen und Sanktionen: Die Bestimmungen zu den GPAI-Modellen und den Bußgeldern werden 12 Monate nach Inkrafttreten der KI-VO in Kraft treten.
2. August 2025
  • Hochrisiko-KI-Systeme: Die Hochrisiko-KI-System-Anforderungen gemäß Anhang III werden 24 Monate nach dem Inkrafttreten wirksam, wobei die Frist für Hochrisiko-KI-Systeme gemäß Anhang I, die bereits unter bestehende EU-Produktvorschriften (EU-Harmonisierungsrechtsvorschriften) fallen, auf 36 Monate festgesetzt ist.

2. August 2026 und 2. August 2027

  • KI-VO: Die Bestimmungen der KI-VO in ihrer Gesamtheit (mit Ausnahme der oben genannten Bestimmungen) werden zwei Jahre nach dem Inkrafttreten gelten.

2. August 2026

Ausnahme für bereits in Betrieb befindliche KI-Systeme: Hochrisiko-KI-Systeme, die bereits in Verkehr gebracht oder vor Ablauf von 24 Monaten ab dem Datum des Inkrafttretens in Betrieb genommen wurden, mithin am 2. August 2026, fallen nicht unter die KI-VO, es sei denn, es werden nachträglich erhebliche Änderungen an ihrer Konstruktion vorgenommen. Bereits in Betrieb befindliche GPAI-Modelle müssen unabhängig von solchen Änderungen 36 Monate nach Inkrafttreten des Gesetzes den Verpflichtungen nachkommen.

 

Unternehmen und andere Einrichtungen sind gut beraten, diesen Zeitplan als Grundlage für die schrittweise Umsetzung der verschiedenen Bestimmungen der KI-VO zu verwenden.

Wie können sich Unternehmen auf die KI-VO vorbereiten?

Der weite Anwendungsbereich und die komplexe Regelung der KI-VO bedeuten, dass eine Reihe von Unternehmen und anderen Einrichtungen, die KI-Systeme anbieten, betreiben oder nutzen die neuen Anforderungen umsetzen müssen. Betroffene Unternehmen sind gut beraten, diesen Zeitplan zu nutzen. Zur Vorbereitung sollten sie unverzüglich:

  • prüfen, ob und gegebenenfalls in welchem Umfang sie den neuen Anforderungen und Verpflichtungen unterliegen werden und die notwendigen Maßnahmen vorbereiten,
  • ausreichende finanzielle und personelle Ressourcen für die Umsetzung einplanen und rechtzeitig kompetente externe Partner zur Unterstützung bei der Umsetzung einbinden und
  • geeignete Strukturen für die Einhaltung der KI-Vorschriften und Compliance bzw. Governance Strukturen einrichten, idealerweise auf der Grundlage bestehender Strukturen innerhalb des Unternehmens.

Unternehmen wird bei der Implementierung empfohlen, einen risikobasierten Ansatz zu wählen, der mit der Umsetzung der dringendsten Anforderungen und den risikoreichsten KI-Systemen beginnt. Dabei sollten die betroffenen Akteure insbesondere den gestaffelten Anwendungsbeginn, die Sanktionen bei Nichtkonformität und die übrigen regulatorischen Anforderungen, etwa aus dem Datenschutz-, Arbeits- oder Urheberrecht, im Blick behalten.

Von ausschlaggebender Bedeutung für die Umsetzung dieser komplexen Anforderungen in der Praxis wird die Erstellung praktikabler und einheitlicher Standards für deren Anwendung und Durchsetzung sein. Als Teil des sog. New Legislative Framework (NLF) werden wesentliche Produktanforderungen durch harmonisierte Normen vereinheitlicht, sodass die abstrakten Regulierungsanforderungen erst operabel gemacht werden. Als Teil des New Legislative Framework (NLF) werden wesentliche Produktanforderungen durch harmonisierte Normen vereinheitlicht, sodass die abstrakten Regulierungsanforderungen erst operabel gemacht werden. Diese Standards werden derzeit von europäischen Normungsorganisationen ausgearbeitet. Sobald sie durch die Veröffentlichung im Amtsblatt anerkannt werden, können Unternehmen sie freiwillig befolgen, wodurch die Konformität mit der KI-Verordnung vermutet wird.

Wir werden die Fortschritte aufmerksam verfolgen und Sie über die neuesten Entwicklungen informieren. Einzelheiten und weitere Informationen finden Sie auf der Seite unserer Task-Force KI.

Zurück zur Übersicht

Valentino Halim

Valentino Halim

Junior PartnerRechtsanwalt

OpernTurm
Bockenheimer Landstraße 2-4
60306 Frankfurt am Main
T +49 69 707968 161
M +49 171 5379477

E-Mail

LinkedIn

Dr. Axel Grätz

Dr. Axel Grätz

AssociateRechtsanwalt

Konrad-Adenauer-Ufer 23
50668 Köln
T +49 221 2091 604
M +49 170 929 593 6

E-Mail

LinkedIn

Dr. Marc Hilber<br/>LL.M. (Illinois)

Dr. Marc Hilber
LL.M. (Illinois)

PartnerRechtsanwalt

Konrad-Adenauer-Ufer 23
50668 Köln
T +49 221 2091 612
M +49 172 3808 396

E-Mail

LinkedIn