Datenschutz / Künstliche Intelligenz

EU AI Act: 20 Fragen zur KI Verordnung

- by Marion
KI Verordnung

Nach und nach treten die Regelungen des EU AI Act in Kraft und werfen damit viele Fragen auf. Wer hat welche Rechte und Pflichten, was passiert bei Verstößen  gegen die KI Verordnung und ab wann gelten welche Regelungen. Hier findest du die wichtigsten Fragen und Antworten. Falls nicht – frag gerne auch unseren Chatbot Data-Cat!

1. Sind der EU AI Act und die KI Verordnung dasselbe?

Ja. Die KI-Verordnung und der EU AI Act (Artificial Intelligence Act) sind dasselbe. KI-Verordnung ist die deutsche Bezeichnung, EU AI Act die internationale. Beide beziehen sich auf das Gesetz der Europäischen Union zur Regulierung von Künstlicher Intelligenz¹.

2. Ab wann gilt die KI Verordnung / ist der EU AI Act in Kraft getreten?

Die Verordnung über Künstliche Intelligenz (KI-VO) der Europäischen Union ist am 1. August 2024 in Kraft getreten. Die Anwendung der Bestimmungen erfolgt jedoch wie bei der DSVGO auch gestaffelt. Du kannst dir die Einführung der KI Verordnung wie den Bau einer mehrstöckigen Brücke vorstellen – die Grundpfeiler stehen bereits, aber einzelne Abschnitte werden erst nach und nach für den Verkehr freigegeben.

Ab dem 2. Februar 2025 gelten die Regelungen zu verbotenen Praktiken. Außerdem das Kapitel 1 der Verordnung mit den folgenden Artikeln:

Art. 1 KI-VO Gegenstand
Art. 2 KI-VO Anwendungsbereich
Art. 3 KI-VO Begriffsbestimmungen
Art. 4 KI-VO KI-Kompetenz

Ab dem 2. August 2025 treten Regelungen zu den Themen Governance, Sanktionen und Vertraulichkeit in Kraft. Das Kapitel zu Strafen für Verstöße gegen die KI-Verordnung greift dann grundsätzlich – insbesondere bei Hochrisiko-KI-Systemen (z. B. KI in der Medizin, Justiz oder kritischer Infrastruktur). Davon ausgenommen bleiben zunächst Anbieter von allgemeinen KI-Modellen (z. B. OpenAI, Google, Meta).  Diese erhalten noch eine Schonfrist: Artikel 101, der speziell Geldbußen für Anbieter von allgemeinen KI-Modellen regelt, tritt erst später in Kraft. Ebenso greifen die Kapitel zu Governance, also zur Überwachung und Steuerung von KI-Anwendungen auf EU- und nationaler Ebene sowie die Kapitel zur Errichtung der Kontrollstellen und Behörden.

Ab dem 2. August 2026 gelten dann fast alle Bestimmungen der Verordnung und sind vollständig anwendbar.

Ab dem 2. August 2027 gilt außerdem Artikel 6 Absatz 1 (Einstufungsvorschriften für Hochrisiko-KI-Systeme) und die entsprechenden Pflichten gemäß der Verordnung gelten.

3. Was ist das Ziel der KI Verordnung?

Das Ziel der KI-VO ist ein einheitlicher Rechtsrahmen für die Nutzung von KI in der EU. Dabei verfolgt sie mehrere, teils konkurrierende Ziele:

  1. Sie strebt den Schutz der Grundrechte und Grundfreiheiten der Bürgerinnen und Bürger an, um sicherzustellen, dass KI-Modelle und KI-Systeme die Würde, Privatsphäre und andere fundamentale Rechte der Einzelpersonen respektieren. Sie soll gewährleisten, dass KI nicht diskriminierend, manipulativ oder in anderer Weise schädlich agiert.
  2. Sie zielt darauf ab, das Vertrauen der Bürgerinnen und Bürger in KI-Modelle und KI-Systeme zu stärken. Hierzu sollen Transparenz, Rechenschaftspflicht und Verständlichkeit gefördert werden. Dies bedeutet, dass KI-Systeme nachvollziehbar und erklärbar sein sollten.
  3. Sie will Innovationen und die Wettbewerbsfähigkeit der europäischen Wirtschaft fördern. Indem ein einheitlicher Rechtsrahmen für den Einsatz von KI in der EU geschaffen wird, sollen Unternehmen dazu ermutigt werden, KI-Technologien zu entwickeln und zu nutzen.

Ein Kernelement der KI VO ist der risikobasierte Ansatz und das Verbot von schädlichen KI Praktiken. Um Bürgerinnen und Bürger zu schützen, enthält die Verordnung strenge Anforderungen insbesondere für Hochrisiko-Anwendungen und verbietet den Missbrauch von KI-Systemen. Zum Beispiel dürfen KI-Systeme in der EU nicht dazu eingesetzt werden, das Verhalten von Menschen zu manipluieren und deren freie Entscheidungsmöglichkeit zu untergraben. Dies gilt insbesondere für vulnerable Gruppen wie Kinder oder Menschen mit psychischen Erkrankungen.

4. Was ist überhaupt KI im Sinne der Verordnung?

Nach Definition der KI Verordnung ist KI eine besondere, insbesondere autonome und deshalb unbeherrschbare Technick, die sich ohne menschliches Zutun verändern kann. Beispiele für solche Technologien sind Machine Learning (ML) oder Deep Learning, bei denen KI-Systeme durch das Training mit Daten Muster erkennen und ihre Entscheidungen anpassen können. Solche Systeme können in einem gewissen Rahmen selbstständig handeln, was sie potenziell schwer kontrollierbar macht. Daher legt die KI-Verordnung großen Wert auf den verantwortungsvollen Umgang mit dieser Technologie, um Risiken wie Diskriminierung oder falsche Entscheidungen zu minimieren.

Demgegenüber stehen beispielsweise „Expertensysteme“, die sich nicht autonom verändern. Sie basieren auf statischen Regeln und einer festen Wissensbasis. Diese Regeln werden von Menschen erstellt und bleiben unverändert, es sei denn, sie werden manuell angepasst. Expertensysteme haben keine Fähigkeit, eigenständig Neues zu lernen oder sich zu verändern. Sie arbeiten immer innerhalb der festgelegten Parameter.

KI-Modelle können die Entscheidungsfindung automatisieren, aber nur Modelle, die maschinelles Lernen (ML) beherrschen, sind in der Lage, ihre Leistung im Zeitverlauf autonom zu optimieren.

5. Was ist der Unterschied zwischen KI-Systemen und KI-Modellen?

Heutige KI-Modelle reichen von fortgeschrittenen neuronalen Netzwerken, die in der Lage sind, komplexe Aufgaben wie Sprach- und Bilderkennung zu bewältigen, bis hin zu spezialisierten Modellen für spezifische Anwendungen wie automatisiertes Fahren oder medizinische Diagnostik. Es sind dies die grundlegenden Modelle wie zum Beispiel GPT4 von OpenAI, die von den anwendungsbezogenen KI-Systemen wie etwa ChatGPT, Sora oder Dall-E unterschieden werden. Aus Sicht der KI-Nutzer sind primär die KI-Systeme interessant, da die Nutzer – im Gegensatz zu den Anbietern – keinen Einfluss auf auf die Modelle haben und in aller Regel „nur“ die KI-Systeme anwenden.

6. Was bedeutet „risikobasierter Ansatz“ im Zusammenhang mit der KI Verordnung?

Damit ist gemeint, dass die Regulierung von Künstlicher Intelligenz (KI) abhängig vom Risiko erfolgt, das sie für die Gesellschaft und die Grundrechte der Bürgerinnen und Bürger darstellt. Systeme mit inakzeptablem Risiko – also solche, die fundamentale EU-Werte verletzen – sind verboten. Dazu gehören beispielsweise Social Scoring, bei dem Menschen basierend auf ihrem Verhalten bewertet werden, manipulative Systeme oder das unkontrollierte Sammeln von Gesichtsdaten aus dem Internet für Datenbanken.

KI-Systeme mit hohem Risiko, etwa in der Medizin oder Justiz, sind erlaubt, aber strengen Anforderungen wie Transparenz, menschlicher Kontrolle und Sicherheit unterworfen. Anwendungen mit geringem Risiko, wie Chatbots, unterliegen lediglich der Pflicht, Nutzer über die Interaktion mit einer KI zu informieren. Dieser Ansatz stellt sicher, dass risikoreiche Technologien stark reguliert werden, während sicherere Anwendungen Innovation fördern.

7. Wer ist Anbieter und wer ist Betreiber im Sinne der KI Verordnung?

Wann ist man Anbieter?

Im Juristen-Deutsch ist ein Anbieter: „eine natürliche oder juristische Person, Behörde, Einrichtung oder sonstige Stelle, die ein KI-System oder ein KI-Modell mit allgemeinem Verwendungszweck entwickelt oder entwickeln lässt und es unter ihrem eigenen Namen oder ihrer Handelsmarke in Verkehr bringt oder das KI-System unter ihrem eigenen Namen oder ihrer Handelsmarke in Betrieb nimmt, sei es entgeltlich oder unentgeltlich.“ (Art. 3 Nr. 3 KI-VO)

➡️ Das bedeutet, dass ein Unternehmen als Anbieter gilt, wenn es aktiv an der Entwicklung beteiligt ist oder ein bereits bestehendes KI-Modell in ein eigenes Produkt integriert und dieses unter seiner Marke vertreibt. Ob die bloße Einbettung des KI-Systems eines fremden Unternehmens in die Umgebung (z.B. Website) ausreicht, um als Anbieter eingestuft zu werden, ist noch nicht abschließend geklärt. Es spricht jedoch vieles insbesondere aber der Wortlaut der Norm dafür, dass das nicht der Fall ist.

Wann ist man KI-Betreiber?

Ein „Betreiber“ ist eine natürliche oder juristische Person, Behörde, Einrichtung oder sonstige Stelle, die ein KI-System in eigener Verantwortung verwendet, es sei denn, das KI-System wird im Rahmen einer persönlichen und nicht beruflichen Tätigkeit verwendet“ (Art. 3 Nr. 4 KI-VO)

➡️ Das bedeutet, dass ein Unternehmen als Betreiber eingestuft wird, wenn es ein KI-System für interne Zwecke einsetzt, ohne es weiterzuentwickeln oder als eigenes Produkt anzubieten. Beispiele hierfür sind die Nutzung eines externen KI-Tools zur Unterstützung des Kundenservice oder die interne Anwendung eines KI-Modells zur Optimierung von Geschäftsprozessen. Als Betreiber tragen Unternehmen die Verantwortung dafür, das KI-System regelkonform zu nutzen, ohne jedoch die umfassenden Pflichten eines Anbieters zu übernehmen.

BEIDE Gruppen – sowohl Anbieter als auch Betreiber, sind dazu verpflichtet, KI-Kompetenzen bei ihren Mitarbeitenden aufzubauen, damit diese sicher im Umgang mit KI-Systemen sind.

8. Was sind KI-Kompetenzen und wer muss die haben?

Der Fachverlag C.H. Beck („Erste Hilfe zur KI-Verordnung“) schreibt hierzu:

Unter den Begriff KI-Kompetenz fallen das allgemeine Verständnis sowie alle Fähigkeiten und Kenntnisse, die es ermöglichen, KI-Systeme sachkundig einzusetzen. Betreiber müssen also insbesondere dafür sorgen, dass ihren Mitarbeitenden die Risiken und Chancen von KI sowie mögliche Schäden bewusst werden.

Mitarbeiterschulungen zu KI sollten insbesondere folgende Themen behandeln:

  • Was ist KI?
  • Welche Software im Arbeitsalltag enthalten KI?
  • Wie nutze ich KI richtig?
  • Wie funktioniert prompten?
  • Welche Risiken und Chancen bestehen beim Einsatz von KI?
Neben technischen und ethischen Aspekten umfasst die KI-Kompetenz auch ein grundlegendes Verständnis der geltenden Regulierungsmaßnahmen. Bei der Entwicklung entsprechender Lehrmaßnahmen haben die Betreiber die technischen Kenntnisse, die Erfahrung, die Ausbildung und die Schulung ihrer Mitarbeitenden sowie die konkrete Form des KI Einsatzes zu berücksichtigen.

9. Was passiert bei einem Verstoß gegen die KI-Verordnung?

Die KI-Verordnung sieht empfindliche Geldstrafen für Verstöße vor, die je nach Schwere gestaffelt sind:

  • Verstöße gegen grundlegende Vorschriften (z. B. Einsatz verbotener KI-Praktiken) können mit Geldbußen von bis zu 40 Millionen Euro oder 7 % des weltweiten Jahresumsatzes eines Unternehmens geahndet werden, je nachdem, welcher Betrag höher ist.
  • Für weniger schwerwiegende Verstöße können Bußgelder bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes verhängt werden.
  • Fehlende Einhaltung der Transparenzanforderungen oder mangelhafte Dokumentation können ebenfalls zu Strafen führen.

10. Sind auch kleine Unternehmen betroffen?

Ja, die KI-Verordnung gilt für alle Unternehmen, die KI-Systeme nutzen oder entwickeln. Allerdings sind die Anforderungen je nach Unternehmensgröße und Risiko der KI-Anwendung gestaffelt. Kleine und mittlere Unternehmen (KMU) müssen oft weniger bürokratische Hürden erfüllen als große Konzerne, insbesondere wenn sie keine Hochrisiko-KI entwickeln oder einsetzen.

11. Welche Rolle spielen Datenschutzgesetze wie die DSGVO?

Die KI-Verordnung ergänzt bestehende Datenschutzregelungen, insbesondere die Datenschutz-Grundverordnung (DSGVO). Während die DSGVO sich primär auf den Schutz personenbezogener Daten konzentriert, regelt die KI-Verordnung spezifisch den Einsatz und die Transparenz von KI-Systemen.

Unternehmen müssen also beide Vorschriften beachten und sicherstellen, dass KI-Anwendungen den Datenschutzbestimmungen entsprechen.

12. Müssen KI-Systeme immer als solche erkennbar sein?

Ja, insbesondere wenn sie Texte, Bilder oder Videos generieren. Nutzer müssen informiert werden, wenn sie mit einer KI interagieren oder wenn Inhalte nicht von Menschen erstellt wurden. Dies soll verhindern, dass KI-generierte Inhalte täuschend echt wirken und Desinformation verbreiten.

13. Gibt es Ausnahmen für Forschungsprojekte?

Ja, Forschungs- und Open-Source-Projekte unterliegen weniger strengen Auflagen, um Innovationen nicht unnötig zu bremsen. Sie sind aber nicht komplett ausgenommen: Falls ein Forschungsprojekt KI-Systeme entwickelt, die später kommerziell genutzt werden, gelten die Vorschriften in vollem Umfang.

14. Wie schützt die Verordnung Verbraucher?

Die Verordnung schreibt Transparenzpflichten und klare Beschwerdemechanismen vor. Verbraucher müssen wissen, wann sie mit KI interagieren, und sie haben das Recht, sich über fehlerhafte oder diskriminierende KI-Entscheidungen zu beschweren. Hochrisiko-KI unterliegt zudem strengeren Prüfungen, bevor sie auf den Markt kommt.

15. Gibt es spezielle Regeln für KI in der Medizin?

Ja, medizinische KI gilt als Hochrisiko-Anwendung und unterliegt besonders strengen Auflagen. Bevor eine KI in medizinischen Diagnosen oder Behandlungen eingesetzt wird, müssen umfassende Tests, Sicherheitsüberprüfungen und Zertifizierungen erfolgen. Das Ziel ist, Fehldiagnosen oder gesundheitliche Schäden zu vermeiden.

16. Kann die Verordnung noch geändert werden?

Ja, der EU AI Act ist ein lebendes Gesetz, das regelmäßig überprüft und angepasst wird. Je nach technologischem Fortschritt oder neuen Erkenntnissen können ergänzende Vorschriften oder Änderungen vorgenommen werden. Das ermöglicht eine flexible Regulierung, die mit der Entwicklung von KI Schritt hält.

17. Welche Strafen drohen für fehlerhafte KI-Entscheidungen?

Unternehmen müssen Verantwortung für ihre KI-Systeme übernehmen. Falls eine KI fehlerhafte oder diskriminierende Entscheidungen trifft, können hohe Strafen und Schadensersatzforderungen drohen. Besonders bei Hochrisiko-KI besteht eine Pflicht zur genauen Dokumentation und menschlichen Kontrolle, um Fehlentscheidungen zu vermeiden.

18. Wird KI durch die Verordnung ausgebremst?

Nein, die Verordnung soll Innovation nicht verhindern, sondern sicherstellen, dass KI verantwortungsvoll eingesetzt wird. Sie schafft klare Rahmenbedingungen, die Unternehmen Planungssicherheit geben. Gut regulierte KI stärkt das Vertrauen der Nutzer und erleichtert die Markteinführung neuer Anwendungen.

19. Wer kontrolliert die Einhaltung?

Die nationalen Behörden der EU-Mitgliedstaaten sind für die Überwachung der KI-Verordnung zuständig. In Deutschland wird derzeit diskutiert, ob die Bundesnetzagentur oder eine neue Institution diese Aufgabe übernimmt. Zusätzlich kann die EU-Kommission bei grenzüberschreitenden Fällen eingreifen.

20. Welche Chancen ergeben sich durch die Verordnung?

Die Verordnung sorgt für klare Regeln und mehr Vertrauen in KI-Technologien. Unternehmen, die sich an die Vorschriften halten, können sich als verantwortungsbewusste Marktführer positionieren. Zudem wird durch transparente KI-Systeme die Akzeptanz bei Verbrauchern und Unternehmen erhöht, was langfristig die Innovationskraft und Wettbewerbsfähigkeit Europas stärkt.

 

Du hast noch weitere Fragen?

Dann chatte gern mit Data-Cat!

Aber Achtung: Sie ist ein Chatbot und keine Katze und kann dir nichts über ihre Rasse, ihr Lieblingskatzenfutter oder das Leben als Katze erzählen!

Das muss ich erst noch programmieren 🙂

Quellen:

1) Datenschutzexperte: AI Act: Was die KI-Verordnung für Unternehmen bedeutet
2) intersoft consultung:  Art. 113 KI-VO: Inkrafttreten und Geltungsbeginn
3) IBM: Was ist ein KI-Modell?
4) BFID (Bundesbeauftragte für Datenschutz und Informationsfreiheit): Die KI-Verordnung der EU
5) Hewlett Packard Enterprise: KI Modelle

Verwandte Beiträge

Datenschutzgrundverordnung

DSGVO einfach erklärt: Was ist die Datenschutzgrundverordnung?

Über Marion

Online Redakteurin, Schwerpunkt Datenjournalismus

Zeige alle Beiträge von Marion →