KI-Verordnung - aktueller Stand
Die EU-KI-Verordnung (VO (EU) 2024/1689) tritt am 01.08.2024 in Kraft. Ab dem 2. Februar 2025 gelten weltweit erstmals umfassende Regelungen zum Einsatz von Künstlicher Intelligenz (KI). Wir geben Ihnen einen Überblick über das Regelwerk und zeigen auf, was Unternehmen jetzt tun müssen und was empfehlenswert ist.
Welchen Ansatz und welche Ziele verfolgt die KI-Verordnung?
Die KI-Verordnung verfolgt im Wesentlichen einen Ansatz der Produktregulierung: Sie stellt je nach Risiko für die Sicherheit, Gesundheit und Grundrechte von Menschen unterschiedliche Anforderungen an ein KI-System.
Übergeordnetes Ziel der KI-Verordnung ist es, das Funktionieren des Binnenmarkts zu verbessern und die Einführung einer auf den Menschen ausgerichteten und vertrauenswürdigen KI zu fördern und gleichzeitig ein hohes Schutzniveau in Bezug auf Gesundheit, Sicherheit und die in der Charta verankerten Grundrechte, einschließlich Demokratie, Rechtsstaatlichkeit und Umweltschutz, vor schädlichen Auswirkungen von KI‑Systemen in der Union zu gewährleisten und die Innovation zu unterstützen (vgl. Art. 1 Abs. 1 KI-Verordnung).
Die KI-Verordnung verfolgt hierbei insbesondere folgende Ziele:
- die Schaffung eines sicheren und ethischen Umfelds für die Entwicklung und Nutzung von KI-Systemen
- der Schutz der Grundrechte und Sicherheit der Menschen
- die Förderung von Innovationen in KI
- die Förderung der Entwicklung und Nutzung vertrauenswürdiger KI
- die Schaffung eines einheitlichen Binnenmarktes für KI in der EU, sowie die Erhöhung der Transparenz und Dokumentation der technischen Umsetzung.
Was regelt die KI-Verordnung und wieso ist die KI-Verordnung für die meisten Unternehmen relevant?
Begriff des KI-Systems: Der Anwendungsbereich der KI-Verordnung ist eröffnet, wenn ein „KI-System“ im Sinne des Art. 3 Abs. 1 KI-Verordnung vorliegt. Ein KI-System ist nach der Legaldefinition
„ein maschinengestütztes System, das für einen in unterschiedlichem Grade autonomen Betrieb ausgelegt ist und das nach seiner Betriebsaufnahme anpassungsfähig sein kann und das aus den erhaltenen Eingaben für explizite oder implizite Ziele ableitet, wie Ausgaben wie etwa Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen erstellt werden, die physische oder virtuelle Umgebungen beeinflussen können“
Erfasst sind damit jedenfalls die auf den bekannten KI-Modellen basierenden KI-Systeme: Die bekannten Language Large Models (LLM) wie ChatGPT, Gemini, Copilot erfüllen nach derzeit allgemeinem Verständnis die Voraussetzungen eines KI-Systems.
Anpassungsfähigkeit: Die KI-Verordnung fordert insbesondere das Vorhandensein von Anpassungsfähigkeit. Viele KI-Systeme, die derzeit auf dem Markt angeboten werden, bieten die Möglichkeit, die Verwendung von Daten für weiteres Training auszuschließen und damit den Zustand des Systems faktisch „einzufrieren“. Daher wird immer wieder die Frage aufgeworfen, ob ein solches System überhaupt noch den Anspruch der Anpassungsfähigkeit erfüllt.
Diskutiert wird auch, ob das Merkmal der Anpassungsfähigkeit zwingend vorhanden sein muss und als Abgrenzungskriterium überhaupt sinnvoll ist. Wäre Anpassungsfähigkeit zwingend erforderlich, hätte die gesamte KI- Verordnung kaum einen Anwendungsbereich. Viele KI-Modelle werden nach bestimmten Optimierungszielen trainiert und können sich nach dem Inverkehrbringen nicht selbstständig anpassen. Richtigerweise wird man daher das Merkmal der Anpassungsfähigkeit nicht zu eng auslegen dürfen, um den Anwendungsbereich der KI-Verordnung nicht zu stark einzuschränken.
Weitere Auslegungshinweise zur Abgrenzung des Begriffs des KI-Systems finden sich in Erwägungsgrund 12 der KI-Verordnung. Danach sollte die Begriffsbestimmung auf den wesentlichen Merkmalen der KI beruhen, die sie von einfacheren herkömmlichen Softwaresystemen und Programmieransätzen unterscheiden, und sich nicht auf Systeme beziehen, die auf ausschließlich von natürlichen Personen festgelegten Regeln für die automatische Durchführung von Operationen beruhen.
Fähigkeit zur Ableitung: Die Ableitungsfähigkeit eines KI-Systems geht dabei über die reine Datenverarbeitung hinaus, indem sie Lern-, Schlussfolgerungs- und Modellierungsprozesse ermöglicht. Diese Fähigkeit bezieht sich auf den Prozess der Erzeugung von Ausgaben wie Vorhersagen, Inhalten, Empfehlungen oder Entscheidungen, die physische und digitale Umgebungen beeinflussen können, sowie auf die Fähigkeit von KI-Systemen, aus Eingaben oder Daten Modelle oder Algorithmen oder beides abzuleiten.
Der europäische Gesetzgeber wollte damit wohl einfache Excel-Rechenoperationen aus dem Anwendungsbereich der KI-Verordnung herausnehmen. Sicherlich ist nicht alles, was heute unter dem Label „KI“ vermarktet wird, auch ein KI-System im Sinne der KI-Verordnung. Das wird Unternehmen vor Schwierigkeiten stellen. Als Orientierung kann die Vorgabe dienen, dass der Begriff des KI-Systems gerade nicht solche Systeme erfassen soll, die nach ausschließlich von Menschen aufgestellten Regeln agieren. Bei komplexeren Softwareanwendungen bleiben jedoch Unsicherheiten.
Der Begriff des KI-Systems wird in Zukunft durch die Rechtsprechung und die Behörden, insbesondere durch die Europäische Kommission (vgl. Art. 96 Abs. 1 lit. f KI-Verordnung) weiter konkretisiert werden. Fest steht jedoch, dass aufgrund der technischen Entwicklung in Zukunft immer mehr Softwareanwendungen als KI-Systeme zu qualifizieren sein werden und Unternehmen die KI-Verordnung beachten müssen.
Anwendungsausschluss trotz Vorliegen eines KI-Systems
Die KI-Verordnung sieht in Art. 2 der KI-Verordnung verschiedene Anwendungsfälle vor, in denen trotz Vorliegen eines KI-Systems die KI-Verordnung keine Anwendung findet. So findet die KI-Verordnung keine Anwendung
- für KI Systeme, wenn und soweit sie ausschließlich für militärische Zwecke, Verteidigungszwecke oder Zwecke der nationalen Sicherheit in Verkehr gebracht, in Betrieb genommen oder, mit oder ohne Änderungen, verwendet werden, unabhängig von der Art der Einrichtung, die diese Tätigkeiten ausübt (Art. 2 Abs. 3 KI-Verordnung)
- für KI Systeme oder KI Modelle, einschließlich ihrer Ausgabe, die eigens für den alleinigen Zweck der wissenschaftlichen Forschung und Entwicklung entwickelt und in Betrieb genommen werden (Art. 2 Abs. 6 KI-Verordnung)
- für Forschungs-, Test- und Entwicklungstätigkeiten zu KI Systemen oder KI Modellen, bevor diese in Verkehr gebracht oder in Betrieb genommen werden (Art. 2 Abs. 8 KI-Verordnung)
- für die Pflichten von Betreibern, die natürliche Personen sind und KI Systeme im Rahmen einer ausschließlich persönlichen und nicht beruflichen Tätigkeit verwenden (Art. 2 Abs. 10 KI-Verordnung; sog. „Haushaltsausnahme“)
- für KI Systeme, die unter freien und quelloffenen Lizenzen bereitgestellt werden, es sei denn, sie werden als Hochrisiko-KI Systeme oder als ein KI System, das unter Artikel 5 oder 50 fällt, in Verkehr gebracht oder in Betrieb genommen (Art. 2 Abs. 12 KI-Verordnung)
Geltung auch für nicht-europäische Unternehmen
Der Anwendungsbereich der KI- Verordnung ist weit gefasst und betrifft Anbieter und Betreiber unabhängig von ihrem Standort, sofern die KI-Systeme in der EU in Verkehr gebracht oder genutzt werden (sog. „Marktortprinzip“, Art. 2 Abs. 1 KI-Verordnung).
KI-Modelle mit allgemeinem Verwendungszweck
Die KI-Verordnung unterscheidet zwischen einem KI-System und einem KI-Modell, wobei sich die KI-Verordnung bei Letzterem konkret auf die sogenannten „KI-Modelle mit allgemeinem Verwendungszweck“ bezieht (vgl. Kapitel V der KI-Verordnung).
Nach Art. 3 Nr. 63 der KI-Verordnung meint „KI-Modell mit allgemeinem Verwendungszweck“
„ein KI-Modell — einschließlich der Fälle, in denen ein solches KI-Modell mit einer großen Datenmenge unter umfassender Selbstüberwachung trainiert wird —, das eine erhebliche allgemeine Verwendbarkeit aufweist und in der Lage ist, unabhängig von der Art und Weise seines Inverkehrbringens ein breites Spektrum unterschiedlicher Aufgaben kompetent zu erfüllen, und das in eine Vielzahl nachgelagerter Systeme oder Anwendungen integriert werden kann, ausgenommen KI-Modelle, die vor ihrem Inverkehrbringen für Forschungs- und Entwicklungstätigkeiten oder die Konzipierung von Prototypen eingesetzt werden.“
Dabei handelt es sich bei den KI-Modellen gerade noch nicht um ein KI-System, sondern um Modelle, die eine erhebliche allgemeine Verwendbarkeit aufweisen und ein breites Spektrum unterschiedlicher Aufgaben kompetent erfüllen können (vgl. Erwägungsgrund 98 der KI-Verordnung). Diese Modelle wurden als Reaktion auf ChatGPT nach dem ersten Vorschlag der Kommission eingeführt und stellen einen Versuch dar, große Sprachmodelle zu regulieren.
Da nur wenige Unternehmen solche Modelle selbst erstellen oder weiterentwickeln, sind diese Modelle für die meisten Unternehmen nicht relevant. Aus diesem Grund wird im Folgenden nicht weiter auf diese Modelle eingegangen.
Inwiefern gilt die KI-Verordnung für Unternehmen?
Die KI-Verordnung normiert verschiedene Adressaten. Neben dem Einführer (Art. 3 Nr. 6 KI-Verordnung), Händler (Art. 3 Abs. 7 KI-Verordnung) und dem Akteur (Art. 3 Nr. 8 KI-Verordnung), sind vor allem der Anbieter (Art. 3 Nr. 3 KI-Verordnung) sowie der Betreiber (Art. 3 Nr. 4 KI-Verordnung) die zentralen Adressaten der KI-Verordnung, deren Bedeutung im Folgenden näher betrachtet werden soll.
Anbieter im Sinne des Art. 3 Nr. 3 KI-Verordnung ist
„eine natürliche oder juristische Person, Behörde, Einrichtung oder sonstige Stelle, die ein KI‑System oder ein KI‑Modell mit allgemeinem Verwendungszweck entwickelt oder entwickeln lässt und es unter ihrem eigenen Namen oder ihrer Handelsmarke in Verkehr bringt oder das KI‑System unter ihrem eigenen Namen oder ihrer Handelsmarke in Betrieb nimmt, sei es entgeltlich oder unentgeltlich“
Alle in der Definition genannten Voraussetzungen werden in der KI-Verordnung definiert und in den Erwägungsgründen näher erläutert. Entwickelt ein Unternehmen also eigene KI-Systeme (z.B. OpenAI, Microsoft), dann handelt es sich bei diesen Unternehmen um Anbieter. Dagegen dürfte nicht ausreichen, ein System zu kaufen / zu lizensieren und „out of the box“ zu verwenden.
KI Anbieter bei Einsatz von GPTs o.Ä.: Es spricht viel dafür, dass ein Unternehmen kein Anbieter ist, wenn es GPTs lizensiert und in eigene Systeme z.B. über API-Schnittstellen einbindet oder auch nur eine eigene Nutzerfläche davor schaltet. Eine andere Bewertung wäre denkbar, wenn das Unternehmen das Modell weiterentwickelt und das weiterentwickelte Modell auf den Markt bringt.
Betreiber im Sinne des Art. 3 Nr. 4 KI-Verordnung meint
„eine natürliche oder juristische Person, Behörde, Einrichtung oder sonstige Stelle, die ein KI‑System in eigener Verantwortung verwendet, es sei denn, das KI‑System wird im Rahmen einer persönlichen und nicht beruflichen Tätigkeit verwendet“
Setzt ein Unternehmen KI-Systeme von Anbietern ein oder integriert es diese in eigene Produkte, so ist das Unternehmen als Betreiber anzusehen. Arbeitgeber, die KI-Systeme z.B. im Personalbereich einsetzen, sind danach grundsätzlich als Betreiber zu qualifizieren. Arbeitnehmer, die solche KI-Systeme nutzen, dürften nicht als Betreiber anzusehen sein, da sie das KI-System nicht „in eigener Verantwortung“ nutzen, wie es Art. 3 Nr. 4 KI-Verordnung voraussetzt.
Der Betreiber wird zum Anbieter: Wichtig ist, dass Art. 25 Abs. 1 KI-Verordnung einen Wechsel vom Betreiber zum Anbieter vorsieht, wenn bestimmte Voraussetzungen erfüllt sind. So soll ein Betreiber zum Anbieter eines Hochrisiko-KI-Systems werden und den Anbieterpflichten gemäß Art. 16 KI-Verordnung unterliegen, wenn
- Sie ein bereits in Verkehr gebrachtes oder in Betrieb genommenes Hochrisiko-KI System mit ihrem Namen oder ihrer Handelsmarke versehen, unbeschadet vertraglicher Vereinbarungen, die eine andere Aufteilung der Pflichten vorsehen
- Sie eine wesentliche Veränderung eines Hochrisiko-KI Systems, das bereits in Verkehr gebracht oder in Betrieb genommen wurde, so vornehmen, dass es weiterhin ein Hochrisiko-KI System gemäß Art. 6 KI-Verordnung bleibt
- Sie die Zweckbestimmung eines KI Systems, einschließlich eines KI Systems mit allgemeinem Verwendungszweck, das nicht als hochriskant eingestuft wurde und bereits in Verkehr gebracht oder in Betrieb genommen wurde, so verändern, dass das betreffende KI System zu einem Hochrisiko-KI System im Sinne von Art. 6 KI-Verordnung wird
Ein solcher Fall könnte vorliegen, wenn der Arbeitgeber ein KI-System, das lediglich eine reine Filterung von Bewerbungen ermöglicht, eigenständig um Komponenten erweitert, die neben der Filterung auch eine Bewertung der Bewerber ermöglichen. Selbst ein reines „Branding“ des KI-Systems durch den Arbeitgeber könnte ausreichen. In diesem Fall würde der Arbeitgeber die Zweckbestimmung im Sinne von Art. 3 Nr. 12 KI-Verordnung ändern und damit eine originäre Anbieterhandlung vornehmen.
Was müssen Unternehmen für welche KI-Systeme beachten? Welche Risikoklassen gibt es?
Die KI-Verordnung verfolgt einen risikobasierten Ansatz. Grundsätzlich gilt: Je höher das Risiko des KI-Systems, desto strengere Pflichten sind einzuhalten. Dabei unterscheidet die KI-Verordnung zwischen
- verbotenen KI-Systemen (Art. 5 KI-Verordnung)
- Hochrisiko-KI-Systemen (Art. 6-27 KI-Verordnung)
- KI-Systemen mit geringem Risiko (Art. 50 KI-Verordnung)
- KI-Systemen mit minimalem Risiko (Art. 4, 95 KI-Verordnung)
Verbotene KI-Praktiken (Art. 5 KI-Verordnung)
Der europäische Gesetzgeber hat in Art. 5 der KI-Verordnung Anwendungsfälle normiert, die aus seiner Sicht eine solche Gefährdung der Grundrechte von Personen darstellen, dass der Einsatz von bestimmten KI-Praktiken zu diesen Zwecken gänzlich verboten ist:
Unterschwellige Techniken
Einsatz von Techniken, die unterbewusst wirken oder täuschen, um das Verhalten von Menschen zu beeinflussen und ihnen Schaden zuzufügen (z.B. Tool mit Sprachassistenz, das gefährliches Verhalten fördert)
Ausnutzen von Schwachstellen
Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo.
Biometrische Kategorisierung
Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo.
Soziale Bewertung
Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo.
Biometrische Fernidentifizierung in Echtzeit
Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo.
Risikobewertung von Straftaten
Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo.
Gesichtserkennung
Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo.
Emotionale Erkennung
Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo.
Hochrisiko-KI-Systeme (Art. 6-27 KI-Verordnung)
Die Hochrisiko-KI-Systeme dürften in der Praxis die größten Auswirkungen haben. Der europäische Gesetzgeber hat dies bereits durch eine Vielzahl von Regelungen zum Ausdruck gebracht.
Der Verordnungsgeber hat den Begriff des Hochrisiko-KI-Systems nicht legal definiert, sondern in Art. 6 und 7 der KI-Verordnung ein Klassifizierungssystem geschaffen. Allerdings verweist Art. 6 Abs. 2 KI-Verordnung auf Anhang III der Verordnung, der die dort genannten Anwendungen als Hochrisiko-KI-Systeme einstuft. Vor diesem Hintergrund hängt es entscheidend von der bestimmungsgemäßen Verwendung des KI-Systems ab, ob der Arbeitgeber es in der Praxis mit einem Hochrisiko-KI-System zu tun hat.
Zu den Hochrisiko-KI-Systemen zählen unter anderem KI-Systeme, die in den Bereichen kritische Infrastruktur, (Aus-)Bildung oder Beschäftigung sowie Dienstleistungen im Gesundheits- oder Bankwesen eingesetzt werden. Auch Anwendungen im Bereich der Strafverfolgung, der Justiz oder im Zusammenhang mit demokratischen Prozessen (z.B. Wahlbeeinflussung) werden als hochriskant eingestuft.
Für viele Unternehmen ist insbesondere Anhang III Ziff. 4 relevant. Dieser erklärt bestimmte KI-Systeme im Bereich der Beschäftigung und des Personalmanagements zu Hochrisiko-Systemen. Erfasst werden KI-Systeme, die bei der Einstellung oder Auswahl natürlicher Personen eingesetzt zu werden, insbesondere
- Zur gezielten Schaltung von Stellenanzeigen
- Zur Analyse und Filterung von Bewerbungen
- Zur Bewertung von Bewerbern
KI-Systeme, die dazu bestimmt sind, Entscheidungen über die Bedingungen von Arbeitsverhältnissen, Beförderungen und Beendigungen von Arbeitsverhältnissen zu treffen, Aufgaben auf der Grundlage individuellen Verhaltens oder persönlicher Eigenschaften und Merkmale zuzuweisen und die Leistung und das Verhalten von Personen in solchen Verhältnissen zu überwachen und zu bewerten, fallen ebenfalls als sogenannte Hochrisiko-KI-Systeme darunter.
Die Veranlassung von Qualifizierungsmaßnahmen, die Genehmigung von Nebentätigkeiten oder die Genehmigung von Urlaubsanträgen werden voraussichtlich nicht darunterfallen.
Hochrisiko-KI-Systeme unterliegen strengen technischen und organisatorischen Anforderungen. Durch delegierte Rechtsakte kann die EU-Kommission die Liste erweitern (Art. 7 Abs. 1 KI-Verordnung), weshalb eine kontinuierliche Risikobewertung erforderlich ist. Nimmt der Betreiber des KI-Systems eine solche Bewertung selbst vor, ist er nach Art. 6 Abs. 4 KI-Verordnung verpflichtet, diese zu dokumentieren.
Art. 6 Abs. 3 KI-Verordnung sieht Rückausnahmen vor, wenn trotz Vorliegens eines Hochrisiko-KI-Systems kein erhebliches Risiko für die Gesundheit, Sicherheit oder die Grundrechte natürlicher Personen besteht, u.a. weil das Ergebnis der Entscheidungsfindung nicht wesentlich beeinflusst wird (ein Hochrisiko-KI-System liegt wiederum vor, wenn das KI-System ein Profiling natürlicher Personen i.S.v. Art. 3 Nr. 52 KI-Verordnung i.V.m. Art. 4 Nr. 4 Datenschutz-Grundverordnung [„DSGVO“] vornimmt). Dies ist der Fall, wenn eine der folgenden Voraussetzungen erfüllt ist:
Das KI System ist dazu bestimmt, eine eng gefasste Verfahrensaufgabe durchzuführen (z.B. das Ordnen von unstrukturierten Daten)
Das KI System ist dazu bestimmt, das Ergebnis einer zuvor abgeschlossenen menschlichen Tätigkeit zu verbessern (z.B. KI-basierte Redigieren von Texten);
Das KI-System ist dazu bestimmt, Entscheidungsmuster oder Abweichungen von früheren Entscheidungsmustern zu erkennen, und ist nicht dazu gedacht, die zuvor abgeschlossene menschliche Bewertung, ohne eine angemessene menschliche Überprüfung zu ersetzen oder zu beeinflussen
Das KI-System ist dazu bestimmt, eine vorbereitende Aufgabe für eine Bewertung durchzuführen, die für die Zwecke der in Anhang III aufgeführten Anwendungsfälle relevant ist (z.B. Verknüpfung von Daten).
Reichweite der Rückausnahme und insbesondere „Vorbereitung menschlicher Entscheidungen“: Die Rückausnahmen werden in der Praxis mit Sicherheit intensiv diskutiert werden. Die Frage, wann ein KI-System lediglich menschliche Entscheidungen vorbereitet, muss im Einzelfall genau geprüft werden. Es dürfte wohl nicht ausreichen, dass lediglich formal ein Mensch über die Entscheidung schaut. Erforderlich wird wohl vielmehr sein, dass der Mensch eine Letztentscheidungskompetenz trifft und er diese auch inhaltlich treffen muss. Hier kann man möglicherweise Parallelen zu Art. 22 DSGVO ziehen.
Beispiele für solche Rückausnahmen sind KI-gestützte Bildungssysteme, Online-Werbung oder die Kennzeichenerfassung bei der Einfahrt in Tiefgaragen.
KI-Systeme mit geringem Risiko (Art. 50 KI-Verordnung)
Art. 50 der KI-Verordnung normiert für Anbieter und Betreiber bestimmter KI-Systeme sogenannte Transparenzpflichten, die Pflicht zur Offenlegung der bei der Entwicklung verwendeten Inhalte sowie die Einhaltung des EU-Urheberrechts. Die Betreiber sind zudem verpflichtet, Modellbewertungen durchzuführen, systemische Risiken zu bewerten und zu mindern sowie Vorfälle zu melden.
KI-Systeme wie Chatbots müssen so konzipiert und entwickelt werden, dass die betroffenen Personen darüber informiert werden, dass sie mit einem KI-System interagieren.
Schließlich müssen künstlich erzeugte oder bearbeitete Bild-, Ton- und Videoinhalte im Rahmen der Transparenzpflicht des Art. 50 KI-Verordnung eindeutig als solche gekennzeichnet werden.
KI-Systeme mit minimalem Risiko (Art. 4, 95 KI-Verordnung)
Anbieter und Betreiber müssen sicherstellen, dass ihr Personal über ausreichende Erfahrungen, Kenntnisse und Kompetenzen im Bereich der Entwicklung von KI verfügt, wobei deren technische Kenntnisse, Erfahrungen, Ausbildung und Schulung sowie der Kontext, in dem die KI-Systeme eingesetzt werden sollen, und die Personen oder Personengruppen, bei denen die KI-Systeme eingesetzt werden sollen, zu berücksichtigen sind (Art. 4 KI-Verordnung).
Die Beschäftigten müssen daher ein ausreichendes Verständnis von KI entwickeln. Damit ist die Fähigkeit gemeint, KI-Systeme bewusst einzusetzen und ein Bewusstsein für die Chancen und Risiken von KI sowie für mögliche Schäden zu entwickeln. Insofern setzt die KI-Verordnung Anreize zur Durchführung von KI-Schulungen.
Für KI-Systeme mit minimalem Risiko gelten keine besonderen Anforderungen aus der KI-Verordnung. Nach Art. 95 der KI-Verordnung besteht jedoch die Möglichkeit, sich freiwillig so genannten Verhaltenskodizes zu unterwerfen.
Welche Pflichten treffen Anbieter und Betreiber?
Ausgehend von einem risikobasierten Ansatz sieht die KI-Verordnung je nach Risikoeinstufung unterschiedliche Pflichten vor. Besonders umfangreich ist der Pflichtenkatalog für Anbieter und Betreiber, wenn es sich um ein Hochrisiko-KI-System handelt. Dabei sieht der europäische Gesetzgeber unterschiedliche Pflichten für die verschiedenen Phasen der Einführung und Entwicklung eines KI-Systems vor.
Pflichten als Anbieter von Hochrisiko-KI-Systemen (Art. 6 ff.)
- Betrieb eines Risikomanagements (d.h. Vornahme von Risikobeurteilungen im Lebenszyklus)
- Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo.
- Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo.
- Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo.
- Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo.
- Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo.
Den Anbieter nach Art. 3 Nr. 3 KI-Verordnung treffen somit insbesondere Pflichten zur technischen Dokumentation im Sinne des Art. 11 Abs. 1 i.V.m. Anhang IV. Konkrete Pflichten ergeben sich für den Anbieter bereits in der Planungs- und Entwicklungsphase, vor dem Inverkehrbringen sowie nach der Inbetriebnahme.
Pflichten als Betreiber von Hochrisiko-KI-Systemen (Art. 26)
- Sicherstellung einer menschlichen Aufsicht über den Einsatz von KI durch kompetente und geschulte Personen (Bedarf es zukünftig neben dem Datenschutzbeauftragten einen "KI-Beauftragten"?)
- Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo.
- Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo.
- Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo.
Hervorzuheben ist die Verpflichtung des Betreibers, der Arbeitgeber ist, gemäß Art. 26 Abs. 7 S. 1 KI-Verordnung, die Arbeitnehmervertreter und die betroffenen Arbeitnehmer vor der Inbetriebnahme oder Nutzung eines Hochrisiko-KI-Systems am Arbeitsplatz über die Nutzung des Hochrisiko-KI-Systems zu informieren. Als Arbeitnehmervertreter dürften insbesondere Betriebsräte in Betracht kommen. Nach Art. 26 Abs. 7 S. 2 KI-Verordnung erfolgt die Unterrichtung im Einklang mit den auf Unionsebene und auf nationaler Ebene geltenden Vorschriften und Gepflogenheiten für die Unterrichtung der Arbeitnehmer und ihrer Vertreter.
Damit kommen neben den Unterrichtungspflichten aus der KI-Verordnung insbesondere auch die Unterrichtungspflichten aus dem Betriebsverfassungsgesetz (z.B. §§ 90 Abs. 1 Nr. 3, 95 Abs. 2a BetrVG) in Betracht.
Mitbestimmungsrechte des Betriebsrates
Diese Unterrichtungspflichten werden insofern von erheblicher praktischer Bedeutung sein, weil sie den Betriebsrat insbesondere auch in die Lage versetzen, sein „IT-Mitbestimmungsrecht“ aus § 87 Abs. 1 Nr. 6 BetrVG ggf. restriktiv auszuüben. Im Ergebnis bedarf es danach einer Zustimmung des Betriebsrates, um KI-Systeme einzuführen. Erteilt der Betriebsrat diese nicht, muss die Zustimmung in den meisten Fällen durch eine Einigungsstelle ersetzt werden – was bei streitigem Verfahren einige Zeit in Anspruch nehmen kann.
Effektiv hat damit der Betriebsrat ein gewisses Potenzial, um Einfluss auf den Einsatz von KI-Systemen zu nehmen bzw. diesen Einsatz zu bremsen. Vor diesem Hintergrund empfiehlt sich sehr, den Aspekt der Mitbestimmung bei der Einführung von KI-Systemen frühzeitig „mitzudenken“ und entsprechend strategisch vorzugehen.
In welchem Verhältnis steht die KI-Verordnung zur DSGVO?
Art. 2 Abs. 7 S. 2 KI-Verordnung bestimmt, dass die KI-Verordnung die DSGVO unberührt lässt. In Erwägungsgrund 10 heißt es dann weiter, dass die KI-Verordnung die Pflichten der Anbieter und Betreiber von KI-Systemen als Verantwortliche oder Auftragsverarbeiter unberührt lässt, soweit bei der Gestaltung, Entwicklung oder Nutzung von KI-Systemen personenbezogene Daten verarbeitet werden.
Darüber hinaus sollten die betroffenen Personen weiterhin über alle Rechte und Garantien verfügen, die ihnen durch dieses Unionsrecht gewährt werden, einschließlich der Rechte im Zusammenhang mit der ausschließlich automatisierten Entscheidungsfindung im Einzelfall und dem Profiling.
Im Ergebnis bedeutet dies, dass Unternehmen neben den Anforderungen aus der KI-Verordnung auch die zusätzlichen Pflichten aus der DSGVO zu beachten haben.
Wie erfolgt die Durchsetzung der KI-Verordnung? Welche Sanktionen drohen?
Verstöße gegen die KI-Verordnung können zu Geldbußen von bis zu 35.000.000 EUR oder – im Falle von Unternehmen – von bis zu 7 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres führen, je nachdem, welcher Betrag höher ist.
Zudem besteht für jede natürliche oder juristische Person, die Grund zu der Annahme hat, dass gegen die Bestimmungen der KI-Verordnung verstoßen wurde, die Möglichkeit unbeschadet anderer verwaltungsrechtlicher oder gerichtlicher Rechtsbehelfe, bei der betreffenden Marktüberwachungsbehörde Beschwerden einzureichen (vgl. Art. 85 KI-Verordnung). Auch Klagen von Mitbewerbern oder Schadenersatzforderungen von Betroffenen sind möglich.
Wann kommt die KI-Verordnung zur Anwendung?
Die KI-Verordnung sieht ein gestaffeltes System von Übergangsfristen vor:
Februar 2025, 6 Monate nach Inkrafttreten
August 2025, 12 Monate nach Inkrafttreten
August 2026, 24 Monate nach Inkrafttreten
August 2027
Welche Geschäftschancen und -risiken bietet die KI-Verordnung?
Die KI-Verordnung klärt jedenfalls den Rechtsrahmen für den Einsatz von KI. Auch wenn einige Fragen und insbesondere der Begriff des KI-Systems noch weiterer Klärung durch die Praxis bedürfen, hat man eine erste Handhabe für die Unternehmenspraxis. Insofern sollte die KI-Verordnung als Chancengeber verstanden werden, um eine gute KI-Compliance im Unternehmen und auch im Hinblick auf die Produkte zu gewährleisten.
Das kann wiederum zur Akzeptanz und damit Marktfähigkeit von KI-Produkten beitragen. Andererseits ist eine Beachtung der Vorgaben aus einer Risikoperspektive angesichts der drohenden Sanktionen zwingend nötig. Kommt es indes zu einer strengen Durchsetzung der KI-Verordnung, bietet dies für seriöse Markteilnehmer Chancen, da Unternehmen, die unterhalb dieser operieren, vom Wettbewerb ausgeschlossen werden.
Was sind unmittelbare Umsetzungsschritte für Ihr Unternehmen?
- Erfassen der KI-Systeme: Audit der im Unternehmen eingesetzten KI-Systeme. Liegt ein KI-System vor?
- Rollenverteilung klären: Welcher Adressat ist das Unternehmen für jedes einzelne KI-System? Anbieter, Betreiber etc.?
- Prüfung, ob KI-Systeme als Hochrisiko-KI-Systeme eingestuft werden müssen: Für die Risikobewertung ist nicht entscheidend, was das KI-System kann, sondern wozu es eingesetzt werden soll (anders als bei § 87 Abs. 1 Nr. 6 BetrVG)
- Prüfung und Umsetzung der einschlägigen Pflichten: Erstellung eines Pflichtenkatalogs
- Schulung der Mitarbeiter / Transparenzvorgaben gegenüber Dritten: Erstellung von Informationsblättern / Schulungskonzepten
- Berücksichtigung weiterer rechtlicher Vorgaben: insb. Datenschutzrecht, Urheberrecht, Geschäftsgeheimnisschutz
- Prüfung, Kontrolle und Monitoring: Etablierung eines Prozesses zur fortwährenden Prüfung und Kontrolle der KI-Verordnung, insb. bei veränderten Anwendungsbereichen bereits eingesetzter und neu eingesetzten KI-Systemen
Mit Cortina Consult den externen Datenschutz in Ihrem Unternehmen in Angriff nehmen.