AI Act: Was die KI-Verordnung für Unternehmen bedeutet

Mit dem zunehmenden Einsatz von künstlicher Intelligenz (KI) in Unternehmen wächst auch der Bedarf an klaren gesetzlichen Regeln. Der AI Act der Europäischen Union bietet seit August 2024 einen rechtlichen Rahmen für den regulierten und möglichst sicheren Einsatz von KI-Systemen in der EU. In diesem Artikel erfahren Sie, was die KI-Verordnung für Ihr Unternehmen bedeutet.

  1. Home
  2. Wissenswertes
  3. Datenschutz Blog

2024-08-26

Logo
  • Author: Sabrina Quente
    Mit ihrer Content-Erfahrung unterstützt Sabrina das Team von datenschutzexperte.de dabei, komplexe Themen verständlich zu kommunizieren. Als freie Autorin kennt sie die Datenschutzbedürfnisse unterschiedlicher Branchen und übersetzt selbst anspruchsvolle Informationen in zielgruppengerechte Inhalte.

Was ist die KI-Verordnung?

Die Verordnung über künstliche Intelligenz, kurz KI-Verordnung (KI-VO) oder AI Act, ist ein Rechtsakt der EU, der den Einsatz von Künstlicher Intelligenz in Europa regulieren soll. Es ist weltweit das erste Gesetz dieser Art. Zu den wichtigsten Zielen der Verordnung zählen

  • der Schutz der Grundrechte und der Sicherheit von EU-Bürgern
  • die Überwachung und Regulierung des KI-Einsatzes in Unternehmen
  • das Schaffen eines sicheren Rahmens für Innovationen „made in Europe“
  • das Stärken des Vertrauens von Verbrauchern und Unternehmen in KI

Welche KI-Systeme betrifft die Verordnung?

Laut der KI-VO ist ein KI-System „ein maschinengestütztes System, das für einen in unterschiedlichem Grade autonomen Betrieb ausgelegt ist und das nach seiner Betriebsaufnahme anpassungsfähig sein kann und das aus den erhaltenen Eingaben für explizite oder implizite Ziele ableitet, wie Ausgaben wie etwa Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen erstellt werden, die physische oder virtuelle Umgebungen beeinflussen können“.

Wie streng ein solches System reguliert werden muss, hängt davon ab, welches Risiko mit seinem Einsatz verbunden ist. Die Verordnung nimmt eine Klassifizierung der Technologie vor und unterteilt sie in KI mit

  • inakzeptablem Risiko: Systeme, die zum Beispiel für das Social Scoring oder die biometrische Echtzeit-Fernidentifizierung eingesetzt/verwendet/genutzt werden können, sind in Zukunft verboten
  • hohem Risiko: Hochrisiko-KI-Systeme, die zum Beispiel in kritischen Bereichen wie dem Bildungswesen oder der Strafverfolgung eingesetzt werden, unterliegen strengen Vorschriften
  • begrenztem oder minimalem Risiko: KI-Systeme wie Chatbots dürfen verwendet werden, wenn ihre Betreiber für Transparenz sorgen und die Nutzer zum Beispiel darüber informieren, dass sie mit einer KI interagieren 

AI Act der EU: Hintergrund und Entwicklung

Die Europäische Union beschäftigt sich bereits seit 2018 mit der Frage, wie die Gesellschaft die Chancen von KI nutzen kann und gründete die KI-Allianz. 2021 legten die KI-Experten der EU-Kommission den ersten Entwurf eines AI Acts zur Regulierung von KI vor. Nach mehreren Überarbeitungen und Beratungen verabschiedete das Europäische Parlament den Act schließlich am 21. Mai 2024. Am 12. Juli 2024 wurder er im Amtsblatt der EU verkündet.

Die KI-Verordnung ist in ihrer aktuellen Form eine rechtliche Regelung der EU und gilt seit dem Inkrafttreten im August 2024 unmittelbar und einheitlich in allen Mitgliedstaaten. Das bedeutet: Alle EU-Staaten müssen die Vorgaben der Verordnung direkt anwenden. Eine Umsetzung in ein nationales Gesetz über künstliche Intelligenz ist dafür nicht erforderlich. 

Für viele Bestimmungen der KI-VO gilt eine 24-monatige Übergangsfrist. Das Verbot für KI-Systeme mit inakzeptablem Risiko gilt allerdings schon nach sechs Monaten.

Welche Anforderungen stellt der AI Act an Unternehmen?

Die KI-VO richtet sich vor allem an Anbieter und Betreiber von KI-Systemen, also Unternehmen oder Behörden, die solche Systeme entwickeln, anbieten oder betreiben und deren Systeme in der EU eingesetzt werden. Außerdem sind von der Verordnung gewerbliche Nutzer von KI-Systemen betroffen.
 
Unternehmen, die KI-Systeme entwickeln, einsetzen oder vertreiben, müssen sich an eine Reihe von Anforderungen halten. Dazu gehören:

  • Risikobewertung und -management: Unternehmen müssen eine umfassende Risikobewertung ihrer KI-Systeme durchführen und sicherstellen, dass diese sicher und vertrauenswürdig sind.
  • Transparenzanforderungen: Nutzer müssen darüber informiert werden, dass sie mit einem KI-System interagieren, insbesondere bei Systemen, die Emotionen erkennen oder biometrische Daten verwenden.
  • Dokumentation und Aufzeichnungen: Unternehmen müssen detaillierte Aufzeichnungen über die Entwicklung, das Training und den Einsatz von KI-Systemen führen.

Spezielle Regelungen für Hochrisiko-KI-Systeme

Hochrisiko-KI-Systeme unterliegen besonders strengen Anforderungen. Unternehmen müssen sicherstellen, dass diese Systeme robust und sicher sind und die Grundrechte der Nutzer nicht verletzen. Dazu gehört auch, dass diese Systeme einer strengen Konformitätsbewertung unterzogen werden müssen, bevor sie auf den Markt gebracht werden.

Konformität nach dem AI Act

Mit der Konformitätsbewertung müssen Anbieter oder Betreiber von Hochrisiko-KI-Systemen sicherstellen, dass diese Systeme den Anforderungen der Verordnung entsprechen. Dies erfordert oft eine externe Überprüfung durch benannte Stellen, die die Systeme auf ihre Konformität prüfen.

Wie hängen die KI-Verordnung und der Datenschutz zusammen?

Die KI-Verordnung zielt genau wie die Datenschutzgrundverordnung (DSGVO) darauf ab, die Rechte der Menschen in der EU zu schützen und sicherzustellen, dass ihre Daten sicher und verantwortungsvoll verarbeitet werden.

Beim Einsatz von KI-Systemen müssen Unternehmen deshalb nicht nur die KI-Verordnung, sondern auch die Grundsätze der DSGVO beachten. Das bedeutet zum Beispiel, dass personenbezogene Daten nur in Übereinstimmung mit der DSGVO verarbeitet werden dürfen und dass die Rechte der Betroffenen gewahrt bleiben. 

Durchsetzung der Verordnung und drohende Strafen bei Nichtbeachtung

Für die Überwachung und Durchsetzung der Verordnung muss jeder EU-Mitgliedstaat, darunter auch Deutschland, eine nationale Aufsichtsbehörde einrichten oder benennen. Die Benennung der „KI-Aufsicht“ steht hierzulande noch aus. 

Sie wird im Wesentlichen dafür zuständig sein, Hochrisiko-KI-Systeme zu kontrollieren und den Markt zu überwachen. Diese Aufgaben könnte zum Beispiel die Bundesnetzagentur übernehmen oder bei der Überwachung auf die Unterstützung von Datenschutzbehörden zurückgreifen.

Welche Strafen drohen Unternehmen, die gegen die KI-VO verstoßen?

Unternehmen, die gegen die Bestimmungen der Verordnung verstoßen, müssen mit erheblichen Strafen rechnen: Es drohen Bußgelder in Höhe von bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes – je nachdem, welcher Betrag der höhere ist.

Herausforderungen und Kritik an der KI-Verordnung

Das Ziel der KI-Verordnung ist es, einen Rahmen zu schaffen, damit europäische Unternehmen KI sicher einsetzen können. Allerdings regt sich in der EU Kritik an der praktischen Umsetzbarkeit der Verordnung. Noch sind viele Fragen offen, etwa in Bezug auf die Risikoklassifizierung. Außerdem fürchten viele Unternehmen hohen bürokratischen und finanziellen Aufwand, um den Anforderungen der Verordnung gerecht zu werden. 

Ein weiterer Kritikpunkt betrifft die potenzielle Einschränkung von Innovationen. Einige Experten befürchten, dass die strengen Vorschriften Unternehmen davon abhalten könnten, neue KI-Technologien zu entwickeln und zu implementieren.

Ausblick: So geht es mit KI-VO und KI-Gesetz weiter

Mit dem AI Act hat die Europäische Union einen wichtigen Schritt getan, um den Einsatz von KI sicherer und verantwortungsvoller zu gestalten. Damit die Verordnung für Unternehmen nicht zur Stolperfalle wird und sie nicht den Anschluss verpassen, sollten sie sich frühzeitig mit den Anforderungen der Verordnung vertraut machen.

Um ihren Verpflichtungen sicher nachzukommen, sollten Unternehmen auf Unterstützung von Experten setzen. Gerade in Fragen der sicheren Datenverarbeitung und in Sachen Compliance kann ein externer Datenschutzbeauftragter umfangreiche Unterstützung leisten.

Erste Fragen rund um den neuen AI Act beantwortet unser kostenloses Factsheet zur KI-Verordnung.

Für konkrete Fragen und Strategien zur sicheren KI-Nutzung stehen Ihnen unsere Datenschutzexperten zur Verfügung.

Artikel veröffentlicht am 26.08.2024

Weitere Beiträge zu diesem Thema

Bitte beachten Sie: Allgemeine Beiträge können eine datenschutzrechtliche Beratung im Einzelfall nicht ersetzen. Für die Richtigkeit und Vollständigkeit unsere Blogbeiträge können wir keine Gewähr übernehmen. Inhalte beziehen sich immer auf die Rechts- und Faktenlage zum Zeitpunkt der Veröffentlichung und sind deshalb zum Zeitpunkt des Aufrufs möglicherweise nicht mehr aktuell.

In den von uns erstellten Artikeln, Leitfäden, Checklisten, Whitepaper und anderen Beiträgen wird aus Gründen der besseren Lesbarkeit das generische Maskulinum verwendet. Wir möchten betonen, dass sowohl weibliche als auch anderweitige Geschlechteridentitäten dabei ausdrücklich mitgemeint sind, soweit es für die Aussage erforderlich ist.

Aktuelle Beiträge zum Thema Datenschutz

Wir freuen uns auf Ihre Anfrage!

Telefon:

+49 89 / 250 039 220

Öffnungszeiten:

Mo. - Fr.: 09:00 - 18:00 Uhr