KI-VO

Begriff und Rechtsnatur der KI-VO

Die KI-VO (Künstliche Intelligenz Verordnung) ist eine Verordnung der Europäischen Union, die einen umfassenden Rechtsrahmen für den Einsatz von Künstlicher Intelligenz (KI) innerhalb des Binnenmarkts der EU schafft. Die offizielle Bezeichnung lautet Verordnung des Europäischen Parlaments und des Rates zur Festlegung harmonisierter Vorschriften für Künstliche Intelligenz und zur Änderung bestimmter Rechtsakte der Union (oft auch als AI Act bezeichnet).

Die KI-VO verfolgt das Ziel, die Entwicklung, das Inverkehrbringen und den Einsatz von KI-Systemen zu regulieren, Risiken zu adressieren, das Vertrauen zu stärken und gleichzeitig Innovation sowie den freien Wettbewerb zu fördern. Die KI-VO gilt unmittelbar in allen Mitgliedstaaten der Europäischen Union und ist ohne weitere nationale Umsetzungsakte verbindlich.

Anwendungsbereich der KI-VO

Sachlicher Anwendungsbereich

Die KI-VO ist anwendbar auf Anbieter, Inverkehrbringer, Betreiber und Nutzer von KI-Systemen, sofern diese in der Union angeboten, eingesetzt oder bereitgestellt werden. Sie erfasst sowohl in der EU ansässige als auch aus Drittstaaten stammende Akteure, sofern die jeweiligen KI-Systeme Auswirkungen auf den europäischen Binnenmarkt haben.

Persönlicher Anwendungsbereich

Adressaten sind sowohl natürliche als auch juristische Personen, unabhängig von der Größe oder dem Sektor sowie öffentliche Stellen und Behörden, soweit sie mit KI-Systemen arbeiten. Bestimmte Ausnahmen betreffen Systeme, die ausschließlich zur Forschung und zu rein privaten, nicht gewerblichen Zwecken entwickelt und eingesetzt werden.

Definitionen und Begriffsbestimmungen

Die KI-VO enthält eine präzise Definition von Künstlicher Intelligenz. Unter „KI-Systemen“ versteht die Verordnung Software, die mit Techniken wie maschinellem Lernen, logik- oder wissensbasierten Ansätzen oder statistischen Verfahren gestaltet ist und Daten verarbeitet, um Outputs wie Inhalte, Prognosen oder Entscheidungen zu generieren.

Darüber hinaus werden Begriffe wie „Anbieter“, „Nutzer“, „Inverkehrbringen“, „Bereitstellung auf dem Markt“ und „Konformitätsbewertung“ definiert, um eine einheitliche Anwendung sicherzustellen.

Risikobasierter Ansatz

Klassifizierung von KI-Systemen

Die KI-VO verfolgt einen risikobasierten Ansatz und unterscheidet vier Risikoebenen:

• Unacceptable Risk („unannehmbares Risiko“): KI-Systeme mit unannehmbarem Risiko, wie z. B. Systeme zur sozialen Bewertung (Social Scoring) oder manipulative Anwendungen, werden grundsätzlich verboten.
• High Risk („hohes Risiko“): Hochrisiko-KI-Systeme (z. B. in kritischen Infrastrukturen, Bildung, Beschäftigung, biometrische Identifizierung) unterliegen strengen Anforderungen hinsichtlich Transparenz, Datenqualität, technischer Robustheit und menschlicher Aufsicht.
• Limited Risk („begrenztes Risiko“): KI-Anwendungen mit geringem Risiko müssen spezifische Transparenzpflichten erfüllen, etwa Chatbots oder Deepfakes, bei denen offengelegt werden muss, dass eine Interaktion mit KI erfolgt.
• Minimal Risk („minimales Risiko“): Anwendungen mit minimalem Risiko, wie Spam-Filter oder Spiele, unterliegen keinen spezifischen Verpflichtungen.

Anforderungen an Hochrisiko-KI-Systeme

Für Hochrisiko-KI-Systeme bestehen umfangreiche Vorgaben wie:

• Einrichtung und Pflege eines Risikomanagementsystems
• Sicherstellung der Datenqualität und Datenverarbeitung
• Dokumentation, Protokollierung und Nachvollziehbarkeit der Systemfunktionen
• Transparenz- und Informationspflichten gegenüber Nutzern
• Sicherstellung der menschlichen Aufsicht
• Maßnahmen zur Cybersecurity und IT-Sicherheit

Konformitätsbewertung und Marktaufsicht

Konformitätsbewertung

Vor dem Inverkehrbringen oder der Inbetriebnahme eines Hochrisiko-KI-Systems muss dessen Konformität mit den Bestimmungen der KI-VO geprüft werden. Dies erfolgt entweder durch eine interne Kontrolle des Anbieters oder in bestimmten Fällen durch Benannte Stellen im Rahmen eines Zertifizierungsverfahrens.

CE-Kennzeichnung

Hochrisiko-KI-Systeme dürfen nur mit einer gültigen CE-Kennzeichnung in Verkehr gebracht werden, wenn die Einhaltung der Anforderungen nachgewiesen wurde.

Marktüberwachung

Die Mitgliedstaaten sind verpflichtet, Marktüberwachungsbehörden einzurichten beziehungsweise bestehende Behörden zu betrauen. Diese überwachen die Einhaltung der KI-VO, können Produkte vom Markt nehmen lassen und Sanktionen verhängen.

Transparenz- und Informationspflichten

Die KI-VO fordert von Anbietern und Betreibern Transparenz hinsichtlich Funktionsweise, Leistungsfähigkeit und Einschränkungen von KI-Systemen. Nutzer sind über die Interaktion mit KI, etwa bei biometrischer Identifizierung oder automatisierten Entscheidungssystemen, in geeigneter Weise zu informieren. Darüber hinaus gelten Dokumentationspflichten, um Rückverfolgbarkeit und Überprüfung zu ermöglichen.

Datenschutz und Grundrechte

Die KI-VO verweist auf die Einhaltung bestehender Datenschutzgesetze, insbesondere der Datenschutz-Grundverordnung (DSGVO). Sie legt besonderen Wert auf den Schutz von Grundrechten, insbesondere die Achtung des Privatlebens, den Schutz personenbezogener Daten sowie Nichtdiskriminierung und Transparenz.

Spezielle Anforderungen bestehen bei der Verarbeitung sensibler Daten, wie biometrischer oder gesundheitsbezogener Informationen.

Innovation, Governance und Sanktionen

Sandboxes und Innovationsförderung

Die KI-VO sieht die Einrichtung von „KI-Reallaboren“ (regulatorische Sandboxes) vor, in denen innovative KI-Anwendungen unter Aufsicht zeitlich begrenzt erprobt werden können.

Governance-Strukturen

Die Verordnung etabliert nationale Aufsichtsbehörden und einen „Europäischen Ausschuss für Künstliche Intelligenz“ als zentrales Koordinierungsorgan sowie für den Austausch bewährter Praktiken und die Unterstützung bei der einheitlichen Anwendung der Vorschriften.

Sanktionen

Bei Verstößen gegen die KI-VO drohen Bußgelder, die sich an der Schwere des Verstoßes sowie am weltweiten Jahresumsatz des betroffenen Unternehmens orientieren. Das Sanktionsspektrum reicht von Verwarnungen über behördliche Anordnungen bis hin zu empfindlichen Geldbußen vergleichbar mit denen nach der DSGVO.

Verhältnis zu weiteren Rechtsvorschriften

Die KI-VO ergänzt und konkretisiert bestehende Regelungen, etwa die DSGVO, die Produktsicherheitsrichtlinie, die Maschinenverordnung und sektorspezifische Normen. Gleichzeitig kann sie durch Verweisvorschriften (sog. Öffnungsklauseln) ergänzt bzw. präzisiert werden, um Überschneidungen mit anderen Rechtsakten zu vermeiden.

Inkrafttreten und Übergangsfristen

Die KI-VO tritt nach ihrer Veröffentlichung im Amtsblatt der EU in Kraft. Nach einer Übergangsfrist (in der Regel 24 Monate) werden weite Teile der Verordnung anwendbar. Für bestimmte Bereiche wie das Verbot unannehmbarer KI-Systeme können kürzere Fristen gelten.

Quellen und Weiterführendes

• EUR-Lex: Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zur Festlegung harmonisierter Vorschriften für Künstliche Intelligenz (KI-Verordnung)
• Europäische Kommission – Fragen und Antworten zur KI-Verordnung
• Datenschutz-Grundverordnung (DSGVO)

Die KI-VO ist ein zentraler Baustein des europäischen Rechtsrahmens für moderne Technologien und adressiert umfassend die Regulierung, Steuerung und Überwachung von Künstlicher Intelligenz mit dem Ziel, Innovation und Schutz von Grundrechten in Einklang zu bringen.

Häufig gestellte Fragen

Wer ist von der KI-Verordnung (KI-VO) der EU betroffen?

Die KI-Verordnung (KI-VO) der EU richtet sich grundsätzlich an eine Vielzahl von Akteuren, die in den Lebenszyklus von KI-Systemen eingebunden sind. Hierzu zählen Anbieter und Inverkehrbringer von KI-Systemen, Nutzer und Nutzerinnen (sowohl private als auch öffentliche Stellen), Importeure, Händler sowie autorisierte Vertreter von KI-Systemen, die auf dem EU-Binnenmarkt bereitgestellt, in Verkehr gebracht oder in Betrieb genommen werden. Die KI-VO entfaltet ihre Wirkung sowohl auf europäische Unternehmen als auch auf Akteure aus Drittstaaten, sofern die von diesen angebotenen KI-Systeme im Unionsgebiet genutzt werden oder Auswirkungen entfalten. Durch die extraterritoriale Wirkung soll sichergestellt werden, dass auch außerhalb der EU entwickelte und betriebene KI-Systeme, die innerhalb der EU etwa auf den Markt gelangen oder deren Ergebnisse in der EU verwendet werden, den rechtlichen Anforderungen der Verordnung unterliegen. Ebenso adressiert die KI-VO verschiedene Rollen (wie Hersteller, Nutzer, Anbieter, und Dritte), um eine lückenlose Regulierung zu erreichen und Umgehungen zu verhindern.

Welche Pflichten ergeben sich für Anbieter von Hochrisiko-KI-Systemen?

Anbieter von als „hochrisikoreich“ klassifizierten KI-Systemen stehen im Zentrum der regulatorischen Anforderungen der KI-VO. Sie müssen umfangreiche Konformitätsbewertungen durchführen, bevor sie ein System auf den Markt bringen oder in Betrieb nehmen dürfen. Zu den zentralen Pflichten gehören unter anderem die Implementierung eines Qualitätsmanagementsystems, das die Einhaltung der Vorgaben zur Datenqualität, Risiko-, und Sicherheitsmanagement sicherstellt. Anbieter müssen zudem detaillierte technische Dokumentationen und Protokolle führen, die Maßnahmen zur Nachvollziehbarkeit, Transparenz und Nachweisbarkeit aller Funktionsweisen enthalten. Weiterhin besteht die Pflicht, Mechanismen zur menschlichen Aufsicht zu integrieren sowie ein System zur kontinuierlichen Überwachung und Meldung von schwerwiegenden Vorfällen zu etablieren. Darüber hinaus müssen Anbieter sicherstellen, dass ihre Systeme die EU-Vorgaben hinsichtlich Datenschutz, IT-Sicherheit, Diskriminierungsfreiheit und Nachvollziehbarkeit erfüllen. Spezielle Vorgaben gelten zudem für die ständige Information der zuständigen Behörden und die Kooperation bei behördlichen Prüfungen und Audits.

Wie gestaltet sich die Haftung bei Verstößen gegen die KI-VO?

Im Falle eines Verstoßes gegen die KI-VO greifen haftungsrechtliche Bestimmungen, die sowohl auf verwaltungsrechtlicher als auch auf zivilrechtlicher Ebene angesiedelt sind. Wird die KI-VO missachtet, können Verwaltungsbehörden empfindliche Bußgelder verhängen, die – abhängig von Art, Schwere und Dauer des Verstoßes – bis zu 35 Millionen Euro oder bis zu sieben Prozent des weltweiten Jahresumsatzes eines Unternehmens betragen können (je nachdem, welcher Wert höher ist). Neben der verwaltungsrechtlichen Sanktionierung besteht auch eine mögliche zivilrechtliche Haftung gegenüber betroffenen Dritten, etwa wenn durch ein nicht-konformes KI-System Schäden entstehen. In solchen Fällen können Betroffene Schadensersatzansprüche geltend machen. Privilegien zur Enthaftung bestehen dabei nur, wenn die entsprechenden Pflichten ordnungsgemäß beachtet wurden. Darüber hinaus urteilen Gerichte im Rahmen nationaler Vorschriften darüber, ob eine schuldhafte Pflichtverletzung vorliegt. Die Rechenschaftspflicht kann auch Führungskräfte persönlich betreffen, wenn diese vorsätzlich oder fahrlässig gegen die Pflichten verstoßen.

Welche Rolle spielt der Datenschutz im Rahmen der KI-VO?

Der Datenschutz nimmt bei der rechtlichen Ausgestaltung der KI-VO eine herausragende Stellung ein, da KI-Systeme häufig große Mengen personenbezogener Daten verarbeiten. Die KI-VO verweist ausdrücklich auf die gleichzeitige Anwendung der Datenschutz-Grundverordnung (DSGVO) sowie weiterer einschlägiger europäischer und nationaler Datenschutzvorschriften, sodass sämtliche Pflichten kumulativ eingehalten werden müssen. Anbieter und Nutzer müssen sicherstellen, dass ihre KI-Systeme auf datenschutzkonforme Weise konzipiert, trainiert und betrieben werden. Dies umfasst u.a. Privacy-by-Design und Privacy-by-Default, also die Einbettung des Datenschutzes bereits in die technischen und organisatorischen Abläufe. Zudem sind Maßnahmen zur Anonymisierung und Pseudonymisierung sowie Impact Assessments verpflichtend, wenn ein erhöhtes Risiko für die Rechte und Freiheiten natürlicher Personen besteht. Eine strukturierte Dokumentation der Datenverarbeitung sowie detaillierte Nutzerinformationen sind ebenso Bestandteil der Pflichten nach der KI-VO.

Wie erfolgt die Einteilung und Klassifizierung von KI-Systemen unter der KI-VO?

Die KI-VO sieht ein risikobasiertes Klassifikationssystem vor, das KI-Systeme zunächst einer von vier Risiko-Kategorien zuordnet: (1) verbotene KI-Praktiken, (2) Hochrisiko-KI-Systeme, (3) KI-Systeme mit Transparenzanforderungen und (4) alle übrigen, niedrigriskanten KI-Systeme. Der Gesetzgeber definiert Hochrisiko-KI-Systeme in unterschiedlichen Sektoren, etwa im Bereich der kritischen Infrastrukturen, Bildung, Beschäftigung, Strafverfolgung oder biometrischen Identifizierung. Die Zuordnung erfolgt mittels eines Kriterienkatalogs, welcher die potenziellen Auswirkungen auf grundlegende Rechte, Sicherheit und Gesundheit analysiert. Die Klassifizierung bedingt unterschiedliche regulatorische Anforderungen: Während verbotene Praktiken, wie etwa manipulative KI oder soziale Bewertungssysteme (Social Scoring), gänzlich untersagt sind, müssen Hochrisiko-Systeme strenge Konformitäts- und Überwachungspflichten erfüllen. Für Systeme mit Transparenzpflicht besteht insbesondere die Anforderung, die KI-Natur für Nutzer ersichtlich zu machen. Die verbleibenden niedrig-riskanten Anwendungen unterliegen lediglich allgemeinen Grundsätzen und Empfehlungen.

Welche Informations- und Transparenzpflichten sieht die KI-VO vor?

Die KI-VO verpflichtet Anbieter und unter bestimmten Voraussetzungen auch Nutzer dazu, umfangreiche Informationen über Funktionsweise, Leistungsfähigkeit und Einsatzbereich des KI-Systems bereitzuhalten und den zuständigen Behörden wie auch den Endnutzern zugänglich zu machen. Dafür müssen umfassende technische Unterlagen, Erklärungen zur Nachvollziehbarkeit und zur Funktionsweise sowie klare Anweisungen zur sicheren Nutzung erstellt werden. Hochrisiko-KI-Systeme müssen zudem ein Protokollsystem einrichten, das sämtliche relevante Systeminteraktionen dokumentiert und einer möglichen Prüfung durch Behörden standhält. Ergänzend existieren Anforderungen an die Bereitstellung von Nutzerinformationen, beispielsweise Hinweise zur KI-Eigenschaft des Systems, zu den Einsatzgrenzen, zu etwaigen Trainingsdaten und zur Möglichkeit zur menschlichen Kontrolle. Im Bereich der Transparenzpflichten ist ebenfalls eine Kennzeichnung von Deepfakes oder von KI-generierten Inhalten verpflichtend, um Täuschungen und Missbrauch vorzubeugen.

Wie wird die Überwachung und Durchsetzung der KI-VO gewährleistet?

Die Durchsetzung der KI-VO erfolgt durch ein mehrstufiges Aufsichts- und Kontrollsystem: Zentrale Rolle nehmen zunächst die nationalen Aufsichtsbehörden in den EU-Mitgliedstaaten ein, die für die Marktüberwachung, Prüfung der Konformität und Sanktionierung bei Verstößen zuständig sind. Die Europäische Kommission wird durch die Einrichtung eines Europäischen Ausschusses für Künstliche Intelligenz (European Artificial Intelligence Board, EAIB) zusätzlich in die Überwachung eingebunden und sorgt für die Koordination sowie Vereinheitlichung der Umsetzungspraxis. Im Rahmen ihrer Tätigkeiten dürfen die Behörden umfangreiche Untersuchungs-, Prüfungs- und Informationsrechte wahrnehmen und erforderlichenfalls bindende Anordnungen oder Maßnahmen bis hin zum Marktrückruf erlassen. Darüber hinaus regelt die KI-VO die gegenseitige Kooperation und den Datenaustausch zwischen den nationalen Behörden und der Kommission zur Sicherstellung eines unionsweit kohärenten Vollzugs.