Die KI - Verordnung
Künstliche Intelligenz (KI) spielt eine immer größere Rolle in der Wirtschaft, und auch kleine und mittlere Unternehmen (KMUs) stehen zunehmend vor der Herausforderung, diese Technologie sinnvoll und sicher zu nutzen.
 |
| KI- Verordnung |
I. Zielsetzung der KI - VerordnungDie KI-Verordnung der EU hat das zentrale Ziel, klare und verbindliche Regeln für den Einsatz von Künstlicher Intelligenz zu schaffen, um einen sicheren und ethischen Umgang mit dieser Technologie zu gewährleisten. Die Verordnung verfolgt dabei einen ausgewogenen Ansatz: Sie soll einerseits Innovationen im Bereich der KI fördern und gleichzeitig den Schutz von Gesundheit, Sicherheit und den grundlegenden Rechten der Menschen sicherstellen.
Ein weiterer wesentlicher Aspekt der KI-Verordnung ist die Förderung von Transparenz und Vertrauen in KI-Systeme. Unternehmen, die KI entwickeln oder nutzen, müssen sicherstellen, dass ihre Systeme nachvollziehbar und erklärbar sind. Dies ist besonders wichtig, um das Vertrauen von Verbrauchern und Geschäftspartnern zu gewinnen und aufrechtzuerhalten.
Zudem strebt die Verordnung an, gleiche Wettbewerbsbedingungen im EU-Binnenmarkt zu schaffen. Durch einheitliche Regeln soll verhindert werden, dass Unternehmen, die sich an ethische Standards halten, im Nachteil gegenüber weniger verantwortungsbewussten Anbietern sind. Für KMUs bedeutet dies, dass sie nicht nur gesetzliche Anforderungen erfüllen müssen, sondern auch die Chance haben, durch transparente und vertrauenswürdige KI-Systeme einen Wettbewerbsvorteil zu erzielen.
II. Anwendungsbereich der KI - VerordnungDer Anwendungsbereich der KI - Verordnung bestimmt, in welchen Situationen sie zur Anwendung kommt und in welchen nicht.
1. Sachlicher AnwendungsbereichIn sachlicher Hinsicht betrifft die KI - VO sog. KI - Systeme. Die Verordnung definiert das KI - System als "maschinengestütztes System, das für einen in unterschiedlichem Grade autonomen Betrieb ausgelegt ist und das nach seiner Betriebsaufnahme anpassungsfähig sein kann und das aus den erhaltenen Eingaben für explizite oder implizite Ziele ableitet, wie Ausgaben wie etwa Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen erstellt werden, die physische oder virtuelle Umgebungen beeinflussen können“ (Art. 3 Nr. 1 KI-VO).
Wichtig ist dabei die Fähigkeit des Ableitens. Das KI - System verfügt über autonome Lern-, Schlussfolgerungs- und Modellierungsprozesse. Systeme, die von einem Menschen bedient werden müssen, fallen nicht darunter.
2. Persönlicher Anwendungsbereich: Adressaten der KI - VerordnungDie Verordnung richtet sich an Anbieter, Betreiber, Importeure und Händler von KI-Systemen (s. Art. 2 Abs. 1 KI - VO). Anbieter sind dabei diejenigen, die KI-Systeme entwickeln oder in Verkehr bringen, während Betreiber diejenigen sind, die diese Systeme anwenden.
3. Räumlicher Anwendungsbereich Zunächst ist die KI - Verordnung auf Unternehmen anwendbar, die ihre Niederlassung in der Union haben. Außerdem ist der Anwendungsbereich eröffnet, sobald das KI - System in der EU in Verkehr gebracht oder verwendet wird. Dieses bereits von der EU-DSGVO bekannte Marktortprinzip stellt sicher, dass die Verordnung auch bei globalen Geschäftsbeziehungen Wirkung entfaltet. Darüber hinaus ist die KI-Verordnung auch dann anwendbar, wenn ein KI-System außerhalb der EU entwickelt oder betrieben wird, dessen Output jedoch innerhalb der EU verwendet wird (Art. 2 Abs. 1 lit. c KI-VO).
4. Zeitlicher Anwendungsbereich Die KI-Verordnung der EU tritt stufenweise in Kraft, um Unternehmen, einschließlich KMUs, ausreichend Zeit zu geben, sich auf die neuen Anforderungen vorzubereiten.
Ab Februar 2025: Bereits ab dem 2. Februar 2025 treten die Bestimmungen in Kraft, die bestimmte inakzeptable KI-Praktiken verbieten.
Ab August 2025: Ab dem 2. August 2025 gelten die Regelungen für KI-Modelle mit allgemeinem Verwendungszweck sowie die Bestimmungen für Sanktionen bei Verstößen gegen die Verordnung.
Ab August 2026: Der größte Teil der Verordnung wird ab dem 2. August 2026 wirksam. Dies umfasst insbesondere die Vorschriften für anwendungsbezogene Hochrisiko-KI-Systeme.
Ab August 2027: Ab dem 2. August 2027 treten die letzten Bestimmungen der Verordnung in Kraft, die insbesondere spezifische produktbezogene Hochrisiko-KI-Systeme betreffen.
Diese zeitlich gestaffelte Einführung ermöglicht es Unternehmen, schrittweise die notwendigen Anpassungen vorzunehmen und sich rechtzeitig auf die unterschiedlichen Anforderungen vorzubereiten.
I. Risikobasierter AnsatzDie KI - Verordnung verfolgt einen risikobasierten Ansatz. Das heißt, sie knüpft an das Inverkehrbringen, Betreiben oder Verwenden (Art. 3 Nr. 9-11 KI-VO) von KI - Systemen je nach Schwere des Risikos für Grundrechtseingriffe unterschiedlich intensive Maßnahmen.
Es wird unterschieden zwischen
- verbotenen Praktiken (Art. 5),
- Hochrisiko KI - Systemen (Art. 6),
- KI - Systemen mit beschränktem Risiko (Art. 50) und
- KI - Systemen mit geringem Risiko (Art. 95).
II. Verbotene PraktikenBestimmte KI-Systeme verbietet die KI - Verordnung gänzlich, weil sie als inakzeptables Risiko eingeschätzt werden (Art. 5 KI-VO). Diese Anwendungen dürfen damit weder in den Verkehr gebracht, noch in Betrieb genommen oder verwendet werden. Verstöße gegen diese Bestimmung können mit Bußgeldern in Höhe von bis zu 7% des gesamten weltweiten Jahresumsatzes des vorangegangen Geschäftsjahres oder 35 Mio. € geahndet werden, je nachdem was davon höher ist (Art. 71 KI-VO). Damit liegt das Bußgeld nach der KI - VO noch einmal deutlich über dem der EU-DSGVO, das maximal bis zu 20 Mio. € oder 4 % des gesamten weltweiten Jahresumsatzes beträgt.
Zu den verbotenen Praktiken gehören KI-Systeme, die darauf abzielen, Menschen durch unterschwellige Techniken zu manipulieren oder ihre Schwachstellen gezielt auszunutzen. Ein solches Beispiel ist die Verwendung von KI, um das Verhalten von Personen ohne deren Wissen zu beeinflussen. Ebenso ist das sogenannte „Social Scoring“ verboten, bei dem Menschen auf der Grundlage ihres Verhaltens, ihrer sozialen Interaktionen oder ihrer Persönlichkeitsmerkmale klassifiziert werden. Außerdem sind Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen verboten. Ein weiteres zentrales Verbot betrifft die biometrische Fernidentifikation in Echtzeit in öffentlich zugänglichen Räumen für Strafverfolgungszwecke. Solche Systeme sind grundsätzlich untersagt, bis auf ein paar Ausnahmen, wie zum Beispiel die Suche nach vermissten Personen oder die Verhinderung von Terroranschlägen.
III. Hochrisiko - KI - Systeme1. Was sind Hochrisiko KI - Systeme?
Ein zentraler Bestandteil der KI-Verordnung ist die Regulierung sogenannter Hochrisiko-KI-Systeme. Diese Systeme weisen ein erhöhtes Potenzial für Schäden auf und erfordern daher besondere Sorgfalt bei ihrer Entwicklung und Anwendung. Die Verordnung unterscheidet dabei zwischen produktbezogenen und anwendungsbezogenen Hochrisiko-KI-Systemen, die jeweils spezifische Anforderungen erfüllen müssen.
a) Produktbezogene Hochrisiko-KI-Systeme: Diese Kategorie umfasst KI-Systeme, die in Produkten integriert sind, die bereits bestehenden EU-Vorschriften zur Produktsicherheit unterliegen, die in Anhang I genannt sind. Beispiele hierfür sind KI-Systeme, die in Spielzeugen, Medizinprodukten, Fahrzeugen oder anderen sicherheitsrelevanten Produkten eingesetzt werden. Solche Systeme gelten als hochriskant, wenn sie ein Sicherheitsbauteil eines solchen Produktes sind, oder das Produkt selbst darstellen und vor ihrem Inverkehrbringen oder ihrer Inbetriebnahme einer Konformitätsbewertung durch eine unabhängige Stelle unterzogen werden müssen.
b) Anwendungsbezogene Hochrisiko-KI-Systeme: Diese Systeme werden in spezifischen Bereichen eingesetzt, die besonders sensibel sind und eine erhebliche Auswirkung auf die Sicherheit, Gesundheit oder Grundrechte von Personen haben können. Diese Bereiche werden im Anhang III der KI - VO explizit aufgeführt. Beispielsweise fallen KI-Systeme, die in der kritischen Infrastruktur, im Gesundheitswesen, bei der Strafverfolgung, in der Verwaltung von Justiz und Migration oder im Personalmanagement verwendet werden, darunter.
2. Welche Pflichten gelten für Hochrisiko KI - Systeme?Folgende Pflichten betreffen vordergründig den Anbieter, der nach Art. 16 Abs. 1 lit. a KI - VO sicherstellen muss, dass diese Anforderungen erfüllt sind:
a) Risikomanagement: Anbieter von Hochrisiko-KI-Systemen müssen ein spezifisches Risikomanagementsystem implementieren, das den gesamten Lebenszyklus des KI-Systems abdeckt.
b) Anforderungen an die zum Training verwendeten Daten
c) Technische Dokumentation: Anbieter sind verpflichtet, umfangreiche technische Dokumentationen zu erstellen, die alle relevanten Informationen über das KI-System enthalten.
d) Transparenz und Information des Betreibers
e) Ermöglichung von menschlicher Menschliche Aufsicht
f) Konformitätsbewertung: Bevor ein Hochrisiko-KI-System in den Verkehr gebracht oder in Betrieb genommen wird, muss es einer Konformitätsbewertung unterzogen werden. Diese Bewertung stellt sicher, dass das System alle relevanten Anforderungen der KI-Verordnung erfüllt.
Der Betreiber von Hochrisiko KI - Systemen ist vordergründig nach Art. 26 KI-VO verpflichtet. Er muss insbesondere die menschliche Aufsicht über das KI - System sicherstellen, den Betrieb des Hochrisiko - KI - Systems überwachen, die vom KI-System erzeugte Dokumentation aufbewahren, dafür sorgen, dass das System gemäß seiner Zweckbestimmung eingesetzt wird und Arbeitnehmer über die geplante Verwendung eines Hochrisiko KI-Systems informieren.
IV. KI - Modelle für allgemeine ZweckeKI-Modelle für allgemeine Zwecke (General-Purpose AI) sind vielseitige Systeme, die für eine breite Palette von Aufgaben eingesetzt werden können. Dazu gehören große Sprachmodelle wie GPT-4, die in unterschiedlichsten Anwendungen, von Chatbots bis hin zu Analysewerkzeugen, genutzt werden.
Die KI-Verordnung unterteilt diese Modelle in solche mit und ohne systemisches Risiko. Modelle mit systemischem Risiko unterliegen strengeren Vorschriften, einschließlich einer verpflichtenden Risikobewertung und Maßnahmen zur Risikominderung. Diese Vorschriften sollen sicherstellen, dass die Modelle sicher und zuverlässig funktionieren und keine unerwünschten oder schädlichen Ergebnisse liefern.
IV. Systeme mit minimalem RisikoKI-Systeme mit minimalem Risiko, sind Systeme, die sich in keine der vorgenannten Kategorien einordnen lassen, z.B. Spamfilter. Diese Systeme können gem. Art. 95 KI-VO freiwillig einen Verhaltenskodex befolgen.
V. FazitUnternehmen sollten frühzeitig prüfen, ob sie die Anforderungen der KI - VO erfüllen müssen, um Bußgeldrisiken zu minimieren.
Die KI-Verordnung der EU hat das zentrale Ziel, klare und verbindliche Regeln für den Einsatz von Künstlicher Intelligenz zu schaffen, um einen sicheren und ethischen Umgang mit dieser Technologie zu gewährleisten. Die Verordnung verfolgt dabei einen ausgewogenen Ansatz: Sie soll einerseits Innovationen im Bereich der KI fördern und gleichzeitig den Schutz von Gesundheit, Sicherheit und den grundlegenden Rechten der Menschen sicherstellen.
Ein weiterer wesentlicher Aspekt der KI-Verordnung ist die Förderung von Transparenz und Vertrauen in KI-Systeme. Unternehmen, die KI entwickeln oder nutzen, müssen sicherstellen, dass ihre Systeme nachvollziehbar und erklärbar sind. Dies ist besonders wichtig, um das Vertrauen von Verbrauchern und Geschäftspartnern zu gewinnen und aufrechtzuerhalten.
Zudem strebt die Verordnung an, gleiche Wettbewerbsbedingungen im EU-Binnenmarkt zu schaffen. Durch einheitliche Regeln soll verhindert werden, dass Unternehmen, die sich an ethische Standards halten, im Nachteil gegenüber weniger verantwortungsbewussten Anbietern sind. Für KMUs bedeutet dies, dass sie nicht nur gesetzliche Anforderungen erfüllen müssen, sondern auch die Chance haben, durch transparente und vertrauenswürdige KI-Systeme einen Wettbewerbsvorteil zu erzielen.
Der Anwendungsbereich der KI - Verordnung bestimmt, in welchen Situationen sie zur Anwendung kommt und in welchen nicht.
In sachlicher Hinsicht betrifft die KI - VO sog. KI - Systeme. Die Verordnung definiert das KI - System als "maschinengestütztes System, das für einen in unterschiedlichem Grade autonomen Betrieb ausgelegt ist und das nach seiner Betriebsaufnahme anpassungsfähig sein kann und das aus den erhaltenen Eingaben für explizite oder implizite Ziele ableitet, wie Ausgaben wie etwa Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen erstellt werden, die physische oder virtuelle Umgebungen beeinflussen können“ (Art. 3 Nr. 1 KI-VO).
Wichtig ist dabei die Fähigkeit des Ableitens. Das KI - System verfügt über autonome Lern-, Schlussfolgerungs- und Modellierungsprozesse. Systeme, die von einem Menschen bedient werden müssen, fallen nicht darunter.
Die Verordnung richtet sich an Anbieter, Betreiber, Importeure und Händler von KI-Systemen (s. Art. 2 Abs. 1 KI - VO). Anbieter sind dabei diejenigen, die KI-Systeme entwickeln oder in Verkehr bringen, während Betreiber diejenigen sind, die diese Systeme anwenden.
Zunächst ist die KI - Verordnung auf Unternehmen anwendbar, die ihre Niederlassung in der Union haben. Außerdem ist der Anwendungsbereich eröffnet, sobald das KI - System in der EU in Verkehr gebracht oder verwendet wird. Dieses bereits von der EU-DSGVO bekannte Marktortprinzip stellt sicher, dass die Verordnung auch bei globalen Geschäftsbeziehungen Wirkung entfaltet. Darüber hinaus ist die KI-Verordnung auch dann anwendbar, wenn ein KI-System außerhalb der EU entwickelt oder betrieben wird, dessen Output jedoch innerhalb der EU verwendet wird (Art. 2 Abs. 1 lit. c KI-VO).
Die KI-Verordnung der EU tritt stufenweise in Kraft, um Unternehmen, einschließlich KMUs, ausreichend Zeit zu geben, sich auf die neuen Anforderungen vorzubereiten.
Ab Februar 2025: Bereits ab dem 2. Februar 2025 treten die Bestimmungen in Kraft, die bestimmte inakzeptable KI-Praktiken verbieten.
Ab August 2025: Ab dem 2. August 2025 gelten die Regelungen für KI-Modelle mit allgemeinem Verwendungszweck sowie die Bestimmungen für Sanktionen bei Verstößen gegen die Verordnung.
Ab August 2026: Der größte Teil der Verordnung wird ab dem 2. August 2026 wirksam. Dies umfasst insbesondere die Vorschriften für anwendungsbezogene Hochrisiko-KI-Systeme.
Ab August 2027: Ab dem 2. August 2027 treten die letzten Bestimmungen der Verordnung in Kraft, die insbesondere spezifische produktbezogene Hochrisiko-KI-Systeme betreffen.
Diese zeitlich gestaffelte Einführung ermöglicht es Unternehmen, schrittweise die notwendigen Anpassungen vorzunehmen und sich rechtzeitig auf die unterschiedlichen Anforderungen vorzubereiten.
Die KI - Verordnung verfolgt einen risikobasierten Ansatz. Das heißt, sie knüpft an das Inverkehrbringen, Betreiben oder Verwenden (Art. 3 Nr. 9-11 KI-VO) von KI - Systemen je nach Schwere des Risikos für Grundrechtseingriffe unterschiedlich intensive Maßnahmen.
Es wird unterschieden zwischen
- verbotenen Praktiken (Art. 5),
- Hochrisiko KI - Systemen (Art. 6),
- KI - Systemen mit beschränktem Risiko (Art. 50) und
- KI - Systemen mit geringem Risiko (Art. 95).
Bestimmte KI-Systeme verbietet die KI - Verordnung gänzlich, weil sie als inakzeptables Risiko eingeschätzt werden (Art. 5 KI-VO). Diese Anwendungen dürfen damit weder in den Verkehr gebracht, noch in Betrieb genommen oder verwendet werden. Verstöße gegen diese Bestimmung können mit Bußgeldern in Höhe von bis zu 7% des gesamten weltweiten Jahresumsatzes des vorangegangen Geschäftsjahres oder 35 Mio. € geahndet werden, je nachdem was davon höher ist (Art. 71 KI-VO). Damit liegt das Bußgeld nach der KI - VO noch einmal deutlich über dem der EU-DSGVO, das maximal bis zu 20 Mio. € oder 4 % des gesamten weltweiten Jahresumsatzes beträgt.
Zu den verbotenen Praktiken gehören KI-Systeme, die darauf abzielen, Menschen durch unterschwellige Techniken zu manipulieren oder ihre Schwachstellen gezielt auszunutzen. Ein solches Beispiel ist die Verwendung von KI, um das Verhalten von Personen ohne deren Wissen zu beeinflussen. Ebenso ist das sogenannte „Social Scoring“ verboten, bei dem Menschen auf der Grundlage ihres Verhaltens, ihrer sozialen Interaktionen oder ihrer Persönlichkeitsmerkmale klassifiziert werden. Außerdem sind Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen verboten. Ein weiteres zentrales Verbot betrifft die biometrische Fernidentifikation in Echtzeit in öffentlich zugänglichen Räumen für Strafverfolgungszwecke. Solche Systeme sind grundsätzlich untersagt, bis auf ein paar Ausnahmen, wie zum Beispiel die Suche nach vermissten Personen oder die Verhinderung von Terroranschlägen.
Ein zentraler Bestandteil der KI-Verordnung ist die Regulierung sogenannter Hochrisiko-KI-Systeme. Diese Systeme weisen ein erhöhtes Potenzial für Schäden auf und erfordern daher besondere Sorgfalt bei ihrer Entwicklung und Anwendung. Die Verordnung unterscheidet dabei zwischen produktbezogenen und anwendungsbezogenen Hochrisiko-KI-Systemen, die jeweils spezifische Anforderungen erfüllen müssen.
a) Produktbezogene Hochrisiko-KI-Systeme: Diese Kategorie umfasst KI-Systeme, die in Produkten integriert sind, die bereits bestehenden EU-Vorschriften zur Produktsicherheit unterliegen, die in Anhang I genannt sind. Beispiele hierfür sind KI-Systeme, die in Spielzeugen, Medizinprodukten, Fahrzeugen oder anderen sicherheitsrelevanten Produkten eingesetzt werden. Solche Systeme gelten als hochriskant, wenn sie ein Sicherheitsbauteil eines solchen Produktes sind, oder das Produkt selbst darstellen und vor ihrem Inverkehrbringen oder ihrer Inbetriebnahme einer Konformitätsbewertung durch eine unabhängige Stelle unterzogen werden müssen.
b) Anwendungsbezogene Hochrisiko-KI-Systeme: Diese Systeme werden in spezifischen Bereichen eingesetzt, die besonders sensibel sind und eine erhebliche Auswirkung auf die Sicherheit, Gesundheit oder Grundrechte von Personen haben können. Diese Bereiche werden im Anhang III der KI - VO explizit aufgeführt. Beispielsweise fallen KI-Systeme, die in der kritischen Infrastruktur, im Gesundheitswesen, bei der Strafverfolgung, in der Verwaltung von Justiz und Migration oder im Personalmanagement verwendet werden, darunter.
Folgende Pflichten betreffen vordergründig den Anbieter, der nach Art. 16 Abs. 1 lit. a KI - VO sicherstellen muss, dass diese Anforderungen erfüllt sind:
a) Risikomanagement: Anbieter von Hochrisiko-KI-Systemen müssen ein spezifisches Risikomanagementsystem implementieren, das den gesamten Lebenszyklus des KI-Systems abdeckt.
b) Anforderungen an die zum Training verwendeten Daten
c) Technische Dokumentation: Anbieter sind verpflichtet, umfangreiche technische Dokumentationen zu erstellen, die alle relevanten Informationen über das KI-System enthalten.
d) Transparenz und Information des Betreibers
e) Ermöglichung von menschlicher Menschliche Aufsicht
f) Konformitätsbewertung: Bevor ein Hochrisiko-KI-System in den Verkehr gebracht oder in Betrieb genommen wird, muss es einer Konformitätsbewertung unterzogen werden. Diese Bewertung stellt sicher, dass das System alle relevanten Anforderungen der KI-Verordnung erfüllt.
Der Betreiber von Hochrisiko KI - Systemen ist vordergründig nach Art. 26 KI-VO verpflichtet. Er muss insbesondere die menschliche Aufsicht über das KI - System sicherstellen, den Betrieb des Hochrisiko - KI - Systems überwachen, die vom KI-System erzeugte Dokumentation aufbewahren, dafür sorgen, dass das System gemäß seiner Zweckbestimmung eingesetzt wird und Arbeitnehmer über die geplante Verwendung eines Hochrisiko KI-Systems informieren.
KI-Modelle für allgemeine Zwecke (General-Purpose AI) sind vielseitige Systeme, die für eine breite Palette von Aufgaben eingesetzt werden können. Dazu gehören große Sprachmodelle wie GPT-4, die in unterschiedlichsten Anwendungen, von Chatbots bis hin zu Analysewerkzeugen, genutzt werden.
Die KI-Verordnung unterteilt diese Modelle in solche mit und ohne systemisches Risiko. Modelle mit systemischem Risiko unterliegen strengeren Vorschriften, einschließlich einer verpflichtenden Risikobewertung und Maßnahmen zur Risikominderung. Diese Vorschriften sollen sicherstellen, dass die Modelle sicher und zuverlässig funktionieren und keine unerwünschten oder schädlichen Ergebnisse liefern.
KI-Systeme mit minimalem Risiko, sind Systeme, die sich in keine der vorgenannten Kategorien einordnen lassen, z.B. Spamfilter. Diese Systeme können gem. Art. 95 KI-VO freiwillig einen Verhaltenskodex befolgen.
Unternehmen sollten frühzeitig prüfen, ob sie die Anforderungen der KI - VO erfüllen müssen, um Bußgeldrisiken zu minimieren.
Fördermittel-Check
