Magazin
AI Act: Was die KI-Verordnung für Unternehmen bedeutet

AI Act: Was die KI-Verordnung für Unternehmen bedeutet

Letztes Update:
24
.
09
.
2024
Lesezeit:
0
Min
Mit dem zunehmenden Einsatz von künstlicher Intelligenz (KI) in Unternehmen wächst auch der Bedarf an klaren gesetzlichen Regeln. Der AI Act der Europäischen Union bietet seit August 2024 einen rechtlichen Rahmen für den regulierten und möglichst sicheren Einsatz von KI-Systemen in der EU. In diesem Artikel erfahren Sie, was die KI-Verordnung für Ihr Unternehmen bedeutet.
AI Act: Was die KI-Verordnung für Unternehmen bedeutet
Die wichtigsten Erkenntnisse
  • - Die KI-Verordnung der EU reguliert KI-Systeme basierend auf ihrem Risikopotenzial.
  • - KI-Systeme mit "inakzeptablem Risiko" wie Social Scoring sind verboten.
  • - Hochrisiko-KI-Systeme unterliegen strengen Anforderungen und Konformitätsprüfungen.
  • - Unternehmen müssen Risikobewertungen, Transparenz und Dokumentation sicherstellen.
  • - Verstöße gegen die Verordnung können Bußgelder bis zu 35 Millionen Euro nach sich ziehen.

Was ist die KI-Verordnung?

Die Verordnung über künstliche Intelligenz, kurz KI-Verordnung (KI-VO) oder AI Act, ist ein Rechtsakt der EU, der den Einsatz von Künstlicher Intelligenz in Europa regulieren soll. Es ist weltweit das erste Gesetz dieser Art. Zu den wichtigsten Zielen der Verordnung zählen

  • der Schutz der Grundrechte und der Sicherheit von EU-Bürgern
  • die Überwachung und Regulierung des KI-Einsatzes in Unternehmen
  • das Schaffen eines sicheren Rahmens für Innovationen „made in Europe“
  • das Stärken des Vertrauens von Verbrauchern und Unternehmen in KI

Welche KI-Systeme betrifft die Verordnung?

Laut der KI-VO ist ein KI-System „ein maschinengestütztes System, das für einen in unterschiedlichem Grade autonomen Betrieb ausgelegt ist und das nach seiner Betriebsaufnahme anpassungsfähig sein kann und das aus den erhaltenen Eingaben für explizite oder implizite Ziele ableitet, wie Ausgaben wie etwa Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen erstellt werden, die physische oder virtuelle Umgebungen beeinflussen können“.

Wie streng ein solches System reguliert werden muss, hängt davon ab, welches Risiko mit seinem Einsatz verbunden ist. Die Verordnung nimmt eine Klassifizierung der Technologie vor und unterteilt sie in KI mit

  • inakzeptablem Risiko: Systeme, die zum Beispiel für das Social Scoring oder die biometrische Echtzeit-Fernidentifizierung eingesetzt/verwendet/genutzt werden können, sind in Zukunft verboten
  • hohem Risiko: Hochrisiko-KI-Systeme, die zum Beispiel in kritischen Bereichen wie dem Bildungswesen oder der Strafverfolgung eingesetzt werden, unterliegen strengen Vorschriften
  • begrenztem oder minimalem Risiko: KI-Systeme wie Chatbots dürfen verwendet werden, wenn ihre Betreiber für Transparenz sorgen und die Nutzer zum Beispiel darüber informieren, dass sie mit einer KI interagieren

AI Act der EU: Hintergrund und Entwicklung

Die Europäische Union beschäftigt sich bereits seit 2018 mit der Frage, wie die Gesellschaft die Chancen von KI nutzen kann und gründete die KI-Allianz. 2021 legten die KI-Experten der EU-Kommission den ersten Entwurf eines AI Acts zur Regulierung von KI vor. Nach mehreren Überarbeitungen und Beratungen verabschiedete das Europäische Parlament den Act schließlich am 21. Mai 2024. Am 12. Juli 2024 wurder er im Amtsblatt der EU verkündet.

Die KI-Verordnung ist in ihrer aktuellen Form eine rechtliche Regelung der EU und gilt seit dem Inkrafttreten im August 2024 unmittelbar und einheitlich in allen Mitgliedstaaten. Das bedeutet: Alle EU-Staaten müssen die Vorgaben der Verordnung direkt anwenden. Eine Umsetzung in ein nationales Gesetz über künstliche Intelligenz ist dafür nicht erforderlich. 

Für viele Bestimmungen der KI-VO gilt eine 24-monatige Übergangsfrist. Das Verbot für KI-Systeme mit inakzeptablem Risiko gilt allerdings schon nach sechs Monaten.

Welche Anforderungen stellt der AI Act an Unternehmen?

Die KI-VO richtet sich vor allem an Anbieter und Betreiber von KI-Systemen, also Unternehmen oder Behörden, die solche Systeme entwickeln, anbieten oder betreiben und deren Systeme in der EU eingesetzt werden. Außerdem sind von der Verordnung gewerbliche Nutzer von KI-Systemen betroffen.
 
Unternehmen, die KI-Systeme entwickeln, einsetzen oder vertreiben, müssen sich an eine Reihe von Anforderungen halten. Dazu gehören:

  • Risikobewertung und -management: Unternehmen müssen eine umfassende Risikobewertung ihrer KI-Systeme durchführen und sicherstellen, dass diese sicher und vertrauenswürdig sind.
  • Transparenzanforderungen: Nutzer müssen darüber informiert werden, dass sie mit einem KI-System interagieren, insbesondere bei Systemen, die Emotionen erkennen oder biometrische Daten verwenden.
  • Dokumentation und Aufzeichnungen: Unternehmen müssen detaillierte Aufzeichnungen über die Entwicklung, das Training und den Einsatz von KI-Systemen führen.

Spezielle Regelungen für Hochrisiko-KI-Systeme

Hochrisiko-KI-Systeme unterliegen besonders strengen Anforderungen. Unternehmen müssen sicherstellen, dass diese Systeme robust und sicher sind und die Grundrechte der Nutzer nicht verletzen. Dazu gehört auch, dass diese Systeme einer strengen Konformitätsbewertung unterzogen werden müssen, bevor sie auf den Markt gebracht werden.

Konformität nach dem AI Act

Mit der Konformitätsbewertung müssen Anbieter oder Betreiber von Hochrisiko-KI-Systemen sicherstellen, dass diese Systeme den Anforderungen der Verordnung entsprechen. Dies erfordert oft eine externe Überprüfung durch benannte Stellen, die die Systeme auf ihre Konformität prüfen.

Wie hängen die KI-Verordnung und der Datenschutz zusammen?

Die KI-Verordnung zielt genau wie die Datenschutzgrundverordnung (DSGVO) darauf ab, die Rechte der Menschen in der EU zu schützen und sicherzustellen, dass ihre Daten sicher und verantwortungsvoll verarbeitet werden.

Beim Einsatz von KI-Systemen müssen Unternehmen deshalb nicht nur die KI-Verordnung, sondern auch die Grundsätze der DSGVO beachten. Das bedeutet zum Beispiel, dass personenbezogene Daten nur in Übereinstimmung mit der DSGVO verarbeitet werden dürfen und dass die Rechte der Betroffenen gewahrt bleiben. 

Durchsetzung der Verordnung und drohende Strafen bei Nichtbeachtung

Für die Überwachung und Durchsetzung der Verordnung muss jeder EU-Mitgliedstaat, darunter auch Deutschland, eine nationale Aufsichtsbehörde einrichten oder benennen. Die Benennung der „KI-Aufsicht“ steht hierzulande noch aus. 

Sie wird im Wesentlichen dafür zuständig sein, Hochrisiko-KI-Systeme zu kontrollieren und den Markt zu überwachen. Diese Aufgaben könnte zum Beispiel die Bundesnetzagentur übernehmen oder bei der Überwachung auf die Unterstützung von Datenschutzbehörden zurückgreifen.

Welche Strafen drohen Unternehmen, die gegen die KI-VO verstoßen?

Unternehmen, die gegen die Bestimmungen der Verordnung verstoßen, müssen mit erheblichen Strafen rechnen: Es drohen Bußgelder in Höhe von bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes – je nachdem, welcher Betrag der höhere ist.

Herausforderungen und Kritik an der KI-Verordnung

Das Ziel der KI-Verordnung ist es, einen Rahmen zu schaffen, damit europäische Unternehmen KI sicher einsetzen können. Allerdings regt sich in der EU Kritik an der praktischen Umsetzbarkeit der Verordnung. Noch sind viele Fragen offen, etwa in Bezug auf die Risikoklassifizierung. Außerdem fürchten viele Unternehmen hohen bürokratischen und finanziellen Aufwand, um den Anforderungen der Verordnung gerecht zu werden. 

Ein weiterer Kritikpunkt betrifft die potenzielle Einschränkung von Innovationen. Einige Experten befürchten, dass die strengen Vorschriften Unternehmen davon abhalten könnten, neue KI-Technologien zu entwickeln und zu implementieren.

Ausblick: So geht es mit KI-VO und KI-Gesetz weiter

Mit dem AI Act hat die Europäische Union einen wichtigen Schritt getan, um den Einsatz von KI sicherer und verantwortungsvoller zu gestalten. Damit die Verordnung für Unternehmen nicht zur Stolperfalle wird und sie nicht den Anschluss verpassen, sollten sie sich frühzeitig mit den Anforderungen der Verordnung vertraut machen.

Um ihren Verpflichtungen sicher nachzukommen, sollten Unternehmen auf Unterstützung von Experten setzen. Gerade in Fragen der sicheren Datenverarbeitung und in Sachen Compliance kann ein externer Datenschutzbeauftragter umfangreiche Unterstützung leisten.

Erste Fragen rund um den neuen AI Act beantwortet unser kostenloses Factsheet zur KI-Verordnung.

Sie haben noch Fragen zum Thema? Lassen Sie sich jetzt kostenlos von unseren Expertinnen und Experten beraten.

Wenn Sie auf der Suche nach einem Partner sind, der Sie auf dem Weg zu Datenschutz und Informationssicherheit unterstützt, wenden Sie sich gern an unser Team aus erfahrenen Experten.
60+ Expertinnen und Experten
Beratung vereinbaren
Themen
Künstliche Intelligenz
Datenschutz im Unternehmen
Redaktion
Alexander Ingelheim
Co-Founder & CEO
-
Zum Autorenprofil
Zum Expertenprofil
Über Datenschutzexperte
Ein Service der PROLIANCE GmbH.
Proliance steht für Professional Compliance für Unternehmen. Wir sind ein digital getriebenes Legal Tech Unternehmen mit Sitz in München - seit 2017 bestehend aus über 90 Privacy Enthusiasten.
Zu unseren mehr als 2.500 Kunden zählen Start-ups, mittlere Unternehmen und Unternehmensgruppen aus nahezu allen Branchen.
Über uns
In diesem Beitrag
Example Link H2
Example Link H3
Example Link H4
Example Link H5
Example Link H6
Beitrag teilen
Sie haben noch Fragen? Wir sind gerne für Sie da.
Unverbindliche Beratung
Verwandte Artikel

Ähnliche Themen, die Sie auch interessieren könnten

Telekommunikationsgesetz (TKG) und Datenschutz
14
.
10
.
2024
Telekommunikationsgesetz (TKG) und Datenschutz
Im Jahr 1996 in Kraft getreten, reguliert das Telekommunikationsgesetz (TKG) grundsätzlich den Wettbewerb im Bereich der Telekommunikation. Durch das Integrieren der Telekommunikations-Kundenschutzverordnung (TKV) sowie einige Modifizierungen des Gesetzes beinhaltet das TKG mittlerweile auch mehrere Regelungen hinsichtlich des Datenschutzes. In dieser Hinsicht ist es auch für Unternehmen relevant. Ebenso wie das Telemediengesetz (TMG) ist es im Vergleich zum Bundesdatenschutzgesetz (BDSG) und der Datenschutzgrundverordnung (DSGVO) spezieller. Das bedeutet, dass grundsätzlich das BDSG und DSGVO mit ihren Regelungen anzuwenden sind, solange nicht der Anwendungsbereich des TKG betroffen ist. Zweck des Telekommunikationsgesetzes ist grundsätzlich die Förderung von Wettbewerb und die Stärkung von Infrastruktur in der Telekommunikation.
Was ist Datenschutz?
14
.
10
.
2024
Was ist Datenschutz?
Der Datenschutz stellt sicher, dass personenbezogene Daten eines jeden Einzelnen vor unerlaubter Erhebung, Verarbeitung und Weitergabe geschützt sind. Zum Datenschutz gehören außerdem alle Gesetze, die auf den Schutz dieser Daten abzielen und den Datenmissbrauch durch Dritte verhindern sollen.
Ein Jahr Hinweisgeberschutzgesetz: Herausforderung für den Mittelstand
02
.
07
.
2024
Ein Jahr Hinweisgeberschutzgesetz: Herausforderung für den Mittelstand
Der Name Julian Assange bringt das Thema Whistleblowing regelmäßig in die Schlagzeilen, aber es geht beim Hinweisgeberschutzgesetz (HinSchG) nicht immer nur um hochbrisante Staatsgeheimnisse. Seit einem Jahr ist das HinSchG in Kraft, und viele kleine und mittelständische Unternehmen (KMU) stehen noch vor der Herausforderung, dieses Gesetz vollständig umzusetzen.
DSGVO und BDSG: Unterschiede und Gemeinsamkeiten für den Datenschutz in Unternehmen
24
.
09
.
2024
DSGVO und BDSG: Unterschiede und Gemeinsamkeiten für den Datenschutz in Unternehmen
Datenschutz in Unternehmen ist längst nicht mehr nur eine rechtliche Notwendigkeit, sondern ein entscheidender Faktor für das Vertrauen und die Reputation von Unternehmen. In Europa sind vor allem die Datenschutz-Grundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG) zentrale Regelwerke, die den Umgang mit personenbezogenen Daten regeln.
Neueste Artikel

Brandheiße Themen, die Sie interessieren könnten

Datenschutzaudit: Der Fragenkatalog für die Zertifizierung
30
.
10
.
2024
Datenschutzaudit: Der Fragenkatalog für die Zertifizierung
Der Datenschutzaudit nach DSGVO bietet für Unternehmen die Möglichkeit, die eigene Datenschutzkonformität freiwillig prüfen zu lassen und nach außen hin durch ein Zertifikat unter Beweis zu stellen.
Datenschutz im Gesundheitswesen: Ein Blick auf Gesundheitsdaten und die DSGVO
30
.
10
.
2024
Datenschutz im Gesundheitswesen: Ein Blick auf Gesundheitsdaten und die DSGVO
Egal, ob in der Arztpraxis, in der Pflege oder im Krankenhaus – Datenschutz im Gesundheitswesen ist von großer Bedeutung. Wir werfen einen Blick darauf, welche Regeln gemäß der DSGVO für medizinische Daten gelten und geben praktische Tipps, um den Herausforderungen erfolgreich zu begegnen.
Ab wann ist ein Datenschutzbeauftragter Pflicht?
14
.
10
.
2024
Ab wann ist ein Datenschutzbeauftragter Pflicht?
Die Datenschutzgrundverordnung (DSGVO) weitet den Verantwortungsbereich des Datenschutzbeauftragten aus und droht daneben mit erheblichen Sanktionen bei Nichtbeachtung der datenschutzrechtlichen Vorschriften. Sich mit der Pflicht zur Bestellung eines Datenschutzbeauftragten auseinanderzusetzen, ist für Unternehmen daher unabdingbar.
Aufbewahrungsfristen & Löschfristen nach DSGVO
14
.
10
.
2024
Aufbewahrungsfristen & Löschfristen nach DSGVO
Unternehmen verarbeiten oftmals eine Menge personenbezogener Daten. Für diese Datenverarbeitung und -Speicherung benötigen sie eine entsprechende Rechtsgrundlage. Sollte der Grund oder die Rechtsgrundlage hierfür entfallen, sind Unternehmen grundsätzlich verpflichtet, die Daten zu löschen. Hierzu gibt es die sogenannten Aufbewahrungsfristen. Gesetzliche Aufbewahrungsfristen geben vor, wie lange gewisse Unterlagen aufbewahrt werden müssen und schieben die datenschutzrechtlichen Löschfristen nach hinten. Diese Fristen müssen beachtet werden, da sonst Bußgelder die Folge sein können.
datenschutz-Muster

Kostenlose Materialien zum Thema

Bestellung eines Datenschutz­beauftragten nach DSGVO
Berufen Sie jetzt einfach und schnell einen Datenschutzexperten mit unserer Bestellurkunde.
Home-Office Vereinbarung für Mitarbeiter
Jetzt Datenschutz-Vorlage downloaden und eine Zusatzvereinbarung Home-Office erstellen
Datenschutzerklärung für Bewerber
Unternehmen sind gesetzlich dazu verpflichtet, verschiedene Informationspflichten nach der DSGVO einzuhalten. Dazu zählt auch die Datenschutzinformationspflicht gegenüber Ihren Bewerbern. Dabei können Sie eine PDF-Datei in Ihrer Karriereseite oder in den jeweiligen Stellenausschreibungen für die Bewerber zur Verfügung stellen. Um Ihnen die Arbeit zu erleichtern, haben wir eine DSGVO-konforme Vorlage zur Datenschutzbelehrung für Bewerber erstellt. Damit können Sie die Datenschutzinformationspflicht für Bewerber jetzt mit geringerem Zeitaufwand und mehr Sicherheit umsetzen.
Einwilligungserklärung: Kostenloses Muster
Nutzen Sie unsere kostenlose Vorlage für eine Einwilligungserklärung zur Erhebung personenbezogener Daten.
Newsletter

Nichts mehr verpassen – Jetzt Ihren exklusiven Datenschutz-Newsletter abonnieren!