Berlin | Düsseldorf | Frankfurt  | Hamburg | Köln | München | Stuttgart
MTR Legal Rechtsanwälte Logo
Kontakt
Berlin | Düsseldorf | Frankfurt  | Hamburg | Köln | München | Stuttgart | Paris |London | Amsterdam
Header-Anwalt-Rechtsanwalt-Kanzlei-MTR Legal Rechtsanwälte
Kontakt
Berlin | Düsseldorf | Frankfurt  | Hamburg | Köln | München | Stuttgart
Kontakt

Legal Lexikon

Wiki»Legal Lexikon»KI-VO

KI-VO

Begriff und Einordnung der KI-VO

Die KI-VO ist die Verordnung der Europäischen Union über Künstliche Intelligenz, im internationalen Sprachgebrauch oft als „AI Act“ bezeichnet. Als Verordnung gilt sie unmittelbar in allen Mitgliedstaaten, ohne dass es nationaler Umsetzungsakte bedarf. Ziel ist ein unionsweit einheitlicher Rechtsrahmen für Entwicklung, Bereitstellung und Nutzung von KI-Systemen. Die KI-VO verfolgt einen risikobasierten Ansatz: Je höher das Risiko für Gesundheit, Sicherheit, Grundrechte oder den Binnenmarkt, desto strenger die Anforderungen. Zugleich soll sie Innovation und verantwortungsvolle Nutzung von KI fördern.

Anwendungsbereich und räumliche Geltung

Persönlicher Anwendungsbereich

Die KI-VO erfasst verschiedene Rollen entlang der Wertschöpfungskette: Anbieter (die ein KI-System entwickeln und in Verkehr bringen), Einführer und Händler (Importeure und Vertreiber), Integratoren (die KI in Produkte oder Dienste einbauen) sowie Nutzer (Deployers), die ein KI-System anwenden. Auch Anbieter allgemeiner KI (Basismodelle) fallen in den Anwendungsbereich, selbst wenn sie die Technologie nicht als konkretes Endprodukt bereitstellen.

Räumliche Geltung

Die Verordnung entfaltet eine weitreichende Geltung. Sie erfasst KI-Systeme, die im EU-Binnenmarkt bereitgestellt oder eingesetzt werden, sowie Situationen, in denen die Ergebnisse eines KI-Systems Auswirkungen in der EU haben, auch wenn Anbieter oder Nutzer außerhalb der EU ansässig sind.

Ausnahmen

Bereiche der nationalen Sicherheit und Verteidigung sind ausgenommen. Für Forschung, Erprobung und Entwicklung bestehen Erleichterungen, ohne dass grundlegende Schutzprinzipien aufgegeben werden. Private, rein persönliche Nutzung ohne Marktbezug wird nicht in gleicher Weise reguliert wie industrielle oder behördliche Anwendungen.

Zentrale Definitionen

KI-System

Ein KI-System ist ein maschinengestütztes System, das darauf ausgelegt ist, mit unterschiedlichem Autonomiegrad Inhalte, Vorhersagen, Empfehlungen oder Entscheidungen zu erzeugen, die die Umwelt beeinflussen. Die Definition ist technikneutral und umfasst klassische Verfahren, statistische Methoden sowie lernbasierte Ansätze.

Allgemeine KI (Basismodelle)

Basismodelle, auch als allgemeine KI bezeichnet, werden mit umfangreichen Daten trainiert und können für vielfältige Zwecke eingesetzt werden. Sie bilden die Grundlage für zahlreiche Anwendungen und unterliegen eigenen Transparenz- und Sicherheitsanforderungen, unabhängig davon, in welchem konkreten Produkt sie später genutzt werden.

Hochrisiko-KI

Hochrisiko-KI sind Systeme, deren Einsatz erhebliche Auswirkungen auf Sicherheit oder Grundrechte haben kann, etwa in sensiblen Infrastrukturen, im Gesundheitswesen, in der Bildung, bei Beschäftigung, im Zugang zu wesentlichen Diensten, in der Strafverfolgung oder bei bestimmten Komponenten von Produkten mit Sicherheitsfunktionen.

Rollenbezeichnungen

„Anbieter“ entwickeln oder bezeichnen ein KI-System als ihr eigenes und bringen es auf den Markt. „Nutzer“ setzen ein System im eigenen Tätigkeitsbereich ein. „Importeure“ und „Händler“ sind für die Marktbereitstellung aus Drittstaaten bzw. die Vertriebskette verantwortlich. „Integratoren“ kombinieren KI-Komponenten mit anderen Produkten oder Diensten.

Regulierung nach Risikostufen

Verbotene Praktiken

Bestimmte KI-Praktiken sind untersagt, weil sie die Würde des Menschen, Grundrechte oder demokratische Prozesse in besonderem Maße gefährden. Dazu zählen etwa manipulative Vorgehensweisen, die gezielt Verletzlichkeiten ausnutzen, allgemeine soziale Bewertung von Personen durch öffentliche Stellen sowie bestimmte Formen biometrischer Fernidentifikation im öffentlichen Raum, soweit sie nicht unter eng umschriebene Ausnahmen fallen.

Hochrisiko-Systeme: Anforderungen

Hochrisiko-Systeme unterliegen strengen Vorgaben. Dazu gehören ein dokumentiertes Risikomanagement, Datenqualitäts- und Governance-Vorgaben, technische Dokumentation, Protokollierung, menschliche Aufsicht sowie Anforderungen an Genauigkeit, Robustheit und Cybersicherheit. Vor dem Inverkehrbringen ist eine Konformitätsbewertung durchzuführen; anschlussfähig ist eine CE-Kennzeichnung. Zudem sind Marktbeobachtung und Meldungen zu schwerwiegenden Vorkommnissen vorgesehen.

Transparenzpflichtige Systeme

Für bestimmte KI-Systeme gelten besondere Transparenzvorgaben, beispielsweise bei Systemen, die mit Menschen interagieren (etwa dialogbasierte Assistenten) oder synthetische Inhalte erzeugen oder manipulieren (etwa sogenannte Deepfakes). Es bestehen Kennzeichnungs- und Offenlegungspflichten, die eine informierte Einordnung durch Betroffene ermöglichen.

Minimales Risiko

Für Anwendungen mit geringem Risiko bestehen keine zwingenden Anforderungen, es werden jedoch freiwillige Verhaltenskodizes gefördert, um bewährte Verfahren zu etablieren.

Pflichten nach Rollen

Anbieter

Anbieter sind für das Design, die Entwicklung und die Konformität ihres KI-Systems verantwortlich. Sie erstellen technische Unterlagen, gewährleisten Daten- und Modellgovernance, führen Konformitätsbewertungen durch, versehen das Produkt mit Kennzeichen, betreiben ein System zur Marktbeobachtung und reagieren auf Vorkommnisse. Änderungen am System können erneute Bewertungen erforderlich machen.

Nutzer (Deployers)

Nutzer wenden das KI-System in ihrem Tätigkeitsbereich an. Sie müssen die bestimmungsgemäße Verwendung beachten, die Systemleistung überwachen und relevante Protokolle aufbewahren. Für bestimmte Hochrisiko-Anwendungen ist vor der Nutzung eine Folgenabschätzung in Bezug auf Grundrechte vorgesehen, insbesondere wenn erhebliche Auswirkungen auf betroffene Personen möglich sind.

Importeure, Händler, Integratoren

Importeure und Händler prüfen vor der Bereitstellung, ob die Anforderungen eingehalten werden, und stellen sicher, dass Kennzeichnungen und Unterlagen vorliegen. Integratoren, die KI in andere Produkte einbetten, tragen Verantwortung für die Gesamtkonformität des Endprodukts.

Basismodelle und allgemeine KI

Für Basismodelle gelten eigenständige Pflichten, unter anderem zur technischen Dokumentation, zum Bereitstellen von Informationen für nachgelagerte Entwickler und zur Veröffentlichung einer hinreichend aussagekräftigen Zusammenfassung der verwendeten Trainingsdaten. Modelle mit systemischer Relevanz unterliegen zusätzlichen Anforderungen wie Prüf- und Berichtspflichten, Risikobewertungen und verstärkten Vorgaben zur Cybersicherheit. Zudem ist die Beachtung des Urheberrechts bei der Nutzung von Trainingsdaten vorgesehen.

Konformitätsbewertung und Marktüberwachung

Konformitätsbewertung

Die Konformitätsbewertung dient dem Nachweis, dass ein KI-System die einschlägigen Anforderungen erfüllt. Je nach Risiko- und Systemkategorie kommen interne Verfahren oder die Einschaltung benannter Stellen in Betracht. Harmonisierte Normen und Spezifikationen unterstützen die Nachweisführung. Nach erfolgreicher Bewertung erfolgt die Kennzeichnung und Erstellung der Erklärung zur Konformität.

Post-Market-Monitoring und Meldungen

Nach dem Inverkehrbringen sind Leistung, Sicherheit und Nebenwirkungen fortlaufend zu beobachten. Schwere Zwischenfälle und Fehlfunktionen sind gegenüber den zuständigen Behörden zu melden. Nutzer und Anbieter arbeiten dabei zusammen, um Risiken zu identifizieren und zu mindern.

Register und Datenbanken

Für bestimmte KI-Kategorien besteht eine Registrierungspflicht in zentralen Datenbanken der EU. Diese erhöhen Transparenz und erleichtern die Marktaufsicht.

Aufsicht, Governance und Durchsetzung

EU-Ebene

Auf EU-Ebene koordiniert ein Amt innerhalb der Kommission (AI Office) die Umsetzung, entwickelt Leitlinien, fördert Kohärenz und überwacht insbesondere Basismodelle mit systemischer Relevanz. Beratungs- und Fachgremien unterstützen bei technischen und ethischen Fragen.

Nationale Behörden und Sandboxes

Mitgliedstaaten benennen zuständige Aufsichts- und Marktüberwachungsbehörden. Regulatorische Sandboxes ermöglichen erprobte Entwicklung und Testläufe unter behördlicher Begleitung, auch im realen Einsatzumfeld unter kontrollierten Bedingungen.

Sanktionen

Verstöße gegen die KI-VO können mit erheblichen, umsatzbasierten Geldbußen geahndet werden. Die Höhe richtet sich nach Art und Schwere der Zuwiderhandlung; für verbotene Praktiken gelten höhere Obergrenzen. Erleichterungen und reduzierte Höchstbeträge sind für kleinere Unternehmen vorgesehen.

Verhältnis zu anderem Recht

Grundrechte

Die KI-VO schützt Menschenwürde, Nichtdiskriminierung, Transparenz und Rechenschaft. Einschlägige Grundrechtskataloge bilden den Maßstab für Risikobewertung und Anforderungen.

Datenschutz

Die Vorgaben zum Schutz personenbezogener Daten bleiben unberührt. Die KI-VO ergänzt die bestehenden Datenschutzregelungen, etwa durch Anforderungen an Datenqualität, Protokollierung und Transparenz.

Produkt- und IT-Sicherheit, Verbraucher- und Urheberrecht

Die Verordnung steht neben sektoralen Sicherheits- und Produkthaftungsregimen sowie Verbraucherschutz- und Urheberrechtsvorschriften. KI-bezogene Inhalte und Trainingsdaten müssen mit bestehenden Schutzrechten vereinbar sein.

Vertrag und Haftung

Zivilrechtliche Haftung bleibt in einschlägigen Regelwerken geregelt. Die KI-VO adressiert in erster Linie Markt- und Sicherheitsanforderungen; Fragen der Schadenersatzpflicht folgen ergänzenden Rechtsakten und nationalen Regelungen.

Zeitliche Anwendung und Übergänge

Gestaffelte Anwendbarkeit

Die KI-VO tritt nach ihrer Veröffentlichung in Kraft und gilt in mehreren Stufen. Verbote greifen frühzeitig, Pflichten für Basismodelle und Hochrisiko-Systeme folgen mit längeren Übergangsfristen. Leitlinien, Standards und Sandboxes werden schrittweise etabliert.

Bestands- und Übergangsregelungen

Für bereits im Markt befindliche Systeme bestehen Übergangsregelungen. Wesentliche Änderungen an Systemen nach Beginn der Anwendung können neue Bewertungen auslösen. Harmonisierung mit bestehenden Produktregimen erfolgt über Anpassungs- und Verweisungsmechanismen.

Bedeutung in der Praxis

Die KI-VO setzt europaweit Maßstäbe für vertrauenswürdige KI. Sie verbindet Schutz von Menschen und Binnenmarkt mit fördernden Elementen wie Sandboxes und Normung. Der Rahmen schafft klare Rollen und Verantwortlichkeiten, setzt Anreize für Transparenz und Qualität und stärkt die Nachvollziehbarkeit von KI-gestützten Entscheidungen.

Häufig gestellte Fragen (FAQ)

Was bedeutet KI-VO und worin unterscheidet sie sich von einer Richtlinie?

Die KI-VO ist eine unmittelbar geltende EU-Verordnung über Künstliche Intelligenz. Im Unterschied zu einer Richtlinie bedarf sie keiner nationalen Umsetzung, sondern gilt in allen Mitgliedstaaten direkt und einheitlich.

Gilt die KI-VO auch für Unternehmen außerhalb der EU?

Ja. Die KI-VO erfasst auch Anbieter und Nutzer außerhalb der EU, wenn KI-Systeme im EU-Binnenmarkt bereitgestellt werden oder deren Ergebnisse Auswirkungen in der EU entfalten.

Welche KI-Anwendungen sind nach der KI-VO verboten?

Untersagt sind Praktiken, die Grundrechte und demokratische Prozesse in besonderem Maße gefährden, darunter manipulative Anwendungen, soziale Bewertung von Personen durch öffentliche Stellen sowie bestimmte Formen biometrischer Fernidentifikation im öffentlichen Raum, soweit keine eng begrenzten Ausnahmen greifen.

Was zählt als Hochrisiko-KI?

Hochrisiko-KI umfasst Systeme mit erheblichem Gefährdungspotenzial, etwa in kritischen Infrastrukturen, Medizin, Bildung, Beschäftigung, Zugang zu zentralen Diensten oder bei sicherheitsrelevanten Komponenten von Produkten. Diese Systeme unterliegen strengen Anforderungen und Konformitätsbewertungen.

Welche Pflichten haben Anbieter im Vergleich zu Nutzern?

Anbieter sind für Entwicklung, Dokumentation, Konformitätsbewertung, Kennzeichnung und Marktüberwachung verantwortlich. Nutzer wenden Systeme zweckentsprechend an, überwachen die Verwendung, bewahren Protokolle auf und führen in bestimmten Fällen eine Folgenabschätzung zu Grundrechten durch.

Welche Regeln gelten für Basismodelle und allgemeine KI?

Basismodelle müssen technische Unterlagen bereitstellen, Informationen für nachgelagerte Entwickler liefern und eine aussagekräftige Zusammenfassung der Trainingsdaten veröffentlichen. Modelle mit systemischer Relevanz unterliegen erweiterten Prüf-, Sicherheits- und Berichtspflichten sowie Vorgaben zur Beachtung urheberrechtlicher Anforderungen.

Welche Sanktionen drohen bei Verstößen?

Bei Verstößen sind empfindliche, umsatzbezogene Geldbußen vorgesehen. Die Obergrenzen variieren nach Schwere der Zuwiderhandlung; für verbotene Praktiken sind höhere Höchstbeträge vorgesehen. Für kleinere Unternehmen gelten reduzierte Obergrenzen.

Auf dieser Seite

Tags dieses Rechtsbegriffs

Weitere Begriffserklärungen