KI-Verordnung: Was bedeutet die politische Einigung in den Trilog-Verhandlungen für den Einsatz von KI im Unternehmen?

Die gesetzgebenden Organe der EU einigten sich am 9. Dezember 2023 auf eine KI-Verordnung (KI-VO). Die KI-VO wird das erste umfassende Gesetz zur Regulierung von KI weltweit. Um sich rechtzeitig und erfolgreich auf die KI-VO einzustellen, sollten sich Unternehmen mit den Anforderungen der KI-VO beschäftigen. Wann und wie wird die KI-VO ihre Wirkung für Unternehmen entfalten?

Die Rechtsanwälte Alina Moers und Dr. Michael Rath erklären in diesem Beitrag, was die KI-Verordnung ist und welche Pflichten Unternehmen zukünftig einhalten müssen.

Nach der aktuell bekannten Definition ist ein „System der künstlichen Intelligenz“ (KI-System) ein maschinengestütztes System, das so konzipiert ist, dass es mit unterschiedlichen Autonomiegraden arbeitet und das zu expliziten oder impliziten Zwecken Ergebnisse wie Vorhersagen, Empfehlungen oder Entscheidungen erzeugen kann, die physische oder virtuelle Umgebungen beeinflussen. Es ist zu erwarten, dass der finale Text der KI-VO eine gleichlautende Definition enthalten wird.

Der Einsatz von KI bietet enorme Chancen für Effizienzsteigerung und Innovation, ist aber auch geeignet, um gesellschaftlichen Schaden anzurichten. Die EU arbeitet an der KI-VO, um die Entwicklung und Verbreitung sicherer und vertrauenswürdiger KI durch private und öffentliche Akteure im gesamten EU-Binnenmarkt zu fördern. Die EU-Kommission hat im April 2021 den Entwurf für eine KI-VO vorgelegt. Seitdem dauert das Gesetzgebungsverfahren an. Mit der politischen Einigung in der letzten Trilog-Verhandlung zur KI-VO scheint es nunmehr möglich, dass die KI-Verordnung noch bis zu den nächsten Europawahlen im Juni 2024 in Kraft treten wird.

Obwohl die Verhandlungen zuletzt noch zu scheitern drohten, haben sich die Europäische Kommission, Rat der EU und das EU-Parlament in der letzten Trilog Verhandlung auf die KI-Verordnung geeinigt. Der finale Text liegt allerdings noch nicht vor. In sog. technischen Meetings soll der endgültige Text der KI-VO nun beschlossen werden. Dieser wird Ende Januar bzw. Anfang Februar erwartet. Der vollständige Text muss dann noch vom Rat und Parlament bestätigt und von den gesetzgebenden Organen förmlich angenommen werden. Erst dann kann die KI-VO im Amtsblatt der EU veröffentlicht werden.

Die KI-VO gilt für „Anbieter“ von KI-Systemen, die ein KI-System entwickeln oder entwickeln lassen, um es unter ihrem eigenen Namen oder ihrer eigenen Marke – entgeltlich oder unentgeltlich – in Verkehr zu bringen oder in Betrieb zu nehmen. Sie gilt außerdem für „Nutzer“, die KI-Systeme in eigener Verantwortung im Rahmen ihrer beruflichen Tätigkeit einsetzen. Der durchaus weite Anwendungsbereich erfasst zudem auch Importeure, die KI-Systeme aus dem Ausland in Europa betreiben oder einführen.

Die KI-VO sieht Pflichten für Anbieter und Nutzer von KI-Systemen vor, welche sich nach dem Risiko, das von einem KI-System ausgeht, bemessen. Dabei gibt es vier Kategorien von KI-Systemen: Die KI-Verordnung sieht verbotene KI-Systeme vor, die ein unannehmbares Risiko für die Grundrechte und die Gesellschaft darstellen. Hierunter fallen bspw. KI-Systeme, die dazu eingesetzt werden, Personen zu bewerten oder ihre Vertrauenswürdigkeit zu klassifizieren (sog. Social-Scoring). Zu den Hochrisiko-Systemen zählen KI-Systeme, die im Bereich „Beschäftigung, Personalmanagement und Zugang zur Selbstständigkeit“ liegen. Für Hochrisiko-Systeme regelt die KI-VO ein umfangreiches Pflichtenprogramm. Für KI-Systeme mit „beschränktem“ und „minimalen Risiko“ (darunter fallen z.B. Chatbots, die den Anschein erwecken, dass eine menschliche Kommunikation stattfindet) gelten dagegen bloß Transparenzpflichten.

Auch sog. Basismodelle wie GPT-4 von OpenAI und Gemini von Google sollen von der KI-VO reguliert werden. Ein Basismodell ist ein KI-System, das in einem breiten Spektrum von Anwendungen eingesetzt und an diese angepasst werden kann, für die es nicht absichtlich und speziell entwickelt wurde. Entwickler und Anbieter von Basismodellen müssen demnächst konkrete Pflichten erfüllen, die die KI-VO statuieren wird.

Die KI-VO wird nach ihrem Inkrafttreten unmittelbar in den Mitgliedsstaaten wirksam, ohne dass es eines Umsetzungsaktes bedarf. Die in der KI-Verordnung geregelten Verbote sollen dabei bereits nach sechs Monaten gelten, die Vorschriften für KI mit allgemeinem Verwendungszweck nach 12 Monaten. Eine vollständige Anwendbarkeit der KI-VO wird im Jahr 2026 erwartet. Unternehmen müssen zeitnah mit den Vorbereitungen beginnen, um sich auf die KI-VO vorzubereiten. Bei Nichtbeachtung der Regelungen und Verpflichtungen drohen nach der KI-Verordnung hohe Bußgelder von bis zu 35 Mio. € bzw. 7 % des weltweiten Jahresumsatzes des zuwiderhandelnden Unternehmens. Für KMU und Start-ups sollen verhältnismäßigere Obergrenzen vorgesehen werden.

Unternehmen sollten beginnen, sich auf die Anforderungen der KI-VO vorzubereiten und eine KI-Governance im Unternehmen zu etablieren. Hierzu gehört insbesondere:

1. Halten Sie sich über die finalen Regelungen der KI-VO auf dem Laufenden.
2. Sollten Sie planen KI-Systeme für wesentliche Unternehmensfunktionen einzusetzen, prüfen Sie vorab, ob es sich bei dem geplanten Einsatzzweck um ein verbotenes oder Hochrisiko-KI-System handelt. Nur so können Sie feststellen, ob und welches Pflichtenprogramm nach der KI-VO auf Sie zukommt.    
3. Prüfen Sie bereits heute die Vorgaben der KI-VO bei der Entwicklung neuer Produkte. Berücksichtigen Sie auch die Vorgaben hinsichtlich der Datenqualität für alle Trainings-, Validierungs- und Testdaten und zwar unabhängig davon, ob es sich bei den Daten um personenbezogene Daten handelt. Die Daten müssen insbesondere nachweisbar relevant, repräsentativ, fehlerfrei und vollständig sein.
4. Bei der Produktentwicklung sind die Vorgaben zur Zertifizierung von KI-Produkten zu beachten; dies gilt auch für den „Zukauf“ von KI-Lösungen.
5. Sensibilisieren Sie Ihre Mitarbeiter im Einsatz von KI und den damit einhergehenden Risiken (z.B. Datenschutz, Urheberrechte, Geschäftsgeheimnisse). Dies kann z.B. durch Mitarbeiterrichtlinien und interne Schulungen Workshops erfolgen. 
6. Führen Sie eine Risikoanalyse vor dem Einsatz von KI im Unternehmen durch, um Compliance-Pflichten festzulegen. Bauen Sie hierfür auf bereits bestehenden Compliance-Strukturen auf.
7. Etablieren Sie ein Dokumentations- und Risikomanagement-System, das bei Bedarf an Dokumentations- und Transparenzpflichten aus der KI-VO angepasst ist.
8. Bestimmen Sie verantwortliche Personen, die sich im Unternehmen mit KI-Compliance beschäftigen.
9. Erarbeiten Sie eine interne KI-Policy für den Umgang mit KI-Anwendungen: Die Policy sollte aufzeigen, welche KI-Tools erlaubt bzw. freigegeben sind und welche organisatorischen Anforderungen an die Nutzung erlaubter KI-Tools gelten.

Sind Sie bereits für die neue KI-Verordnung gewappnet?