Von unserem Partner INTERIM EXECUTIVE Dr. Marcus Kind
Im August 2024 traten mit der europäischen KI-Verordnung (KI-VO) regulatorische Anforderungen zum Einsatz Künstlicher Intelligenz in Kraft. Die Verordnung zielt darauf ab, Grundrechte, Demokratie, Rechtsstaatlichkeit, Gesundheit und ökologische Nachhaltigkeit vor risikoreichen KI-Anwendungen zu schützen. Mit besonderem Augenmerk auf KMUs und Startups sollen zugleich Innovationen gefördert werden.
Die KI-VO betrifft unabhängig von der Branche verschiedene Regulierungsadressaten, die in bestimmten Situationen auch mehrere Rollen gleichzeitig einnehmen können: Anbieter, Betreiber, Einführer, Händler, Produkthersteller, Bevollmächtigte von Anbietern sowie Betroffene Personen.
In Abhängigkeit vom Risikopotenzial einer Anwendung unterscheidet die KI-VO vier Kategorien: verbotene KI-Praktiken (z.B. Systeme zur biometrischen Kategorisierung, die auf sensiblen Merkmalen wie politischer Meinung, religiöser Weltanschauung, sexueller Ausrichtung oder ethnischer Herkunft basieren; Emotionserkennung am Arbeitsplatz, Social Scoring), Hochrisiko-Systeme (z.B. KI-Systeme zur biometrischen Fremdidentifizierung in Echtzeit), Technologien mit begrenztem Risiko, Anwendungen mit minimalem Risiko.
Da es sich um eine Verordnung handelt, wäre sie eigentlich unmittelbar anwendbar. Allerdings ist für die meisten Bestimmungen eine Übergangsfrist von 24 Monaten vorgesehen. Einige Regelungen wie das Verbot von KI-Systemen mit unannehmbaren Risiken sind jedoch bereits seit Februar 2025 wirksam. In anderen Fällen bleibt Betroffenen noch etwas Zeit, um sich auf die Auswirkungen der Verordnung vorzubereiten und die regulatorischen Anforderungen umzusetzen. Für bestimmte bereits auf dem Markt befindliche KI-Systeme besteht Bestandsschutz und sie unterliegen der Verordnung nur, wenn sie in ihrer Konzeption bzw. Architektur erheblich verändert werden. Dies gilt jedoch nicht für verbotene KI-Praktiken. Zudem formuliert die KI-VO Ausnahmen beispielsweise für die Anwendungsfelder Nationale Sicherheit, Strafverfolgung, Forschung und Entwicklung.
Blick hinter die Kulissen – um die KI-Verordnung wurde hart gerungen
Eine aufschlussreiche Quelle in diesem Kontext ist die Veröffentlichung der NGO Corporate Europe Observatory (CEO) vom November 2023 mit dem Titel „How Big Tech undermined the AI Act“. CEO kommt in ihrer Analyse zu dem Ergebnis, dass allein 86 Prozent der durch die EU-Kommission mit externen Stakeholdern organisierten Meetings zur KI-Verordnung hinter verschlossenen Türen mit Corporate Lobbying Groups führender Big Tech-Unternehmen wie Google, Microsoft, Meta und OpenAI stattgefunden haben.
Abgesehen von dieser Ressourcenüberlegenheit gegenüber zivilgesellschaftlichen Organisationen können sich die erreichten Kompromisse trotz einiger Schwächen sehen lassen. Bei genauerer Lektüre fällt jedoch auf, dass die Regelungen teilweise bewusst unscharf formuliert sind und so ihre Auslegung bzw. die rechtliche Einordnung des betroffenen KI-Systems erschweren. Dies geschieht auch deshalb, um die Anpassungsfähigkeit der Verordnung an zukünftige technologische Entwicklungen zu gewährleisten.
Die Umsetzung der KI-VO und vor allem die damit verbundenen Sanktionierungen werden voraussichtlich noch das ein oder andere Gericht beschäftigen. Und dennoch, mit der KI-VO werden bereits in vielen Bereichen wichtige Mechanismen zur Erhöhung von Cybersicherheit, zum Schutz von Grundrechten und zur Förderung von Innovationen eingeführt.
Compliance und Risikomanagement – schnelles und bedachtes Handeln erforderlich
KI-Systeme werden regelmäßig in IT-Umgebungen bzw. -anwendungen oder in digitale Produkte eingebettet. Für die Gewährleistung der Compliance können neben der KI-VO zahlreiche ergänzende regulatorische (Cyber-)Sicherheitsvorgaben zu beachten sein. Die Verzahnung der KI-VO mit weiteren EU-Rechtsakten birgt ein großes Potential für Abgrenzungsrisiken. So dürfte es häufiger vorkommen, dass KI-Systeme auch unter die Regelungen zur Cybersicherheit des Cyber Resilience Act (CRA), des Cyber Security Act (CSA), der NIS-2, der DSGVO oder sektorspezifischer Vorgaben wie die europäische Medizinprodukteverordnung fallen. Überschneidungen der umfangreichen Regelungsinhalte können bei Nichtbeachtung zu unangenehmen Überraschungen führen. So etwa, wenn der Hersteller eines KI-Systems nach der KI-VO lediglich den beschränkten Anforderungen an ein unkritisches KI-System unterliegt, die Anwendbarkeit des CRA jedoch zusätzliche Pflichten für das Unternehmen bedeutet.
Unsicherheiten können sich in der Praxis auch aus der Unterscheidung zwischen KI-System und KI-Modell ergeben. Ein Beispiel:
Für Unternehmen wird die Nutzung von KI-Chatbots auf ihren Webseiten oder Apps zur Durchführung komplexerer, kontextbezogener Kommunikation im Servicebereich immer relevanter. Ein IT-Dienstleister könnte etwa einen KI-Chatbot entwickeln, der zur Beantwortung von Anfragen große Sprachmodelle nutzt, die von Microsoft im Rahmen ihrer Azure OpenAI Services bereitgestellt werden. Über das Chatinterface wird bei einer Anfrage eine API-Abfrage an ein OpenAI-Modell in der Azure Cloud gesendet, das die Antwort generiert und zurück liefert. Bei Azure OpenAI-Modellen handelt es sich um sogenannte GPAI-Modelle (General Purpose AI). Mit dem KI-Chatbot auf der Website des Kunden entsteht ein KI-System gemäß der KI-VO. Gleiches gilt für die Integration intelligenter Systeme die nicht nur Daten analysieren, sondern auch eigenständig Entscheidungen treffen, Geschäftsprozesse optimieren und automatisieren oder auf externe Systeme zugreifen – KI-Agenten. Für Anbieter und/oder Betreiber stellt sich die grundsätzliche Frage nach ihrer Rolle bezüglich des regulatorischen Bezugsobjekts (KI-System, KI-Modell). Die jeweiligen Anforderungen müssen gründlich geprüft werden.
In Abhängigkeit vom Geschäftsmodell und vom Umfang der KI-Nutzung kann die Bewertung und Umsetzung der komplexen Anforderungen für viele Unternehmen einen erheblichen Aufwand bedeuten. In zahlreichen Unternehmen steigt bereits heute der Druck zur Definition eines einheitlichen KI-Ordnungsrahmens bzw. zum Aufbau und zur Operationalisierung eines KI-Managementsystems, das den ethischen, den rechtlichen und den qualitativen Anforderungen gerecht wird. Hier bestehen oft beträchtliche fachliche und organisatorische Defizite. Sollen KI-Systeme zur Unterstützung wesentlicher Unternehmensfunktionen eingesetzt werden oder sind mit deren Einführung hohe Investitionskosten verbunden, sollte bereits im Rahmen der Strategieentwicklung geprüft werden, ob der Einsatzzweck ein Hochrisiko darstellt oder sogar ein verbotener Anwendungsfall vorliegt.
Ziel muss es sein, die inhaltlichen Dimensionen existierender KI-Systeme sowie geplanter KI-Projekte systematisch zu erfassen, eine Risikobeurteilung vorzunehmen und in den Anwendungs- bzw. Entwicklungsprozessen die Anforderungen der KI-VO und verzahnter Rechtsakte zu berücksichtigen. Nicht zuletzt aufgrund der bei Verstößen drohenden hohen Strafen ist ein ebenso schnelles wie ganzheitliches Handeln erforderlich.
Künstliche Intelligenz – keine Option, sondern Notwendigkeit
Zur Förderung der großen Innovationsmöglichkeiten von KI und der verantwortungsvollen Steuerung ihres Einflusses ist es erforderlich, auf internationaler Ebene Regeln zu definieren. Die KI-Verordnung und deren kontinuierliche Weiterentwicklung ist ein wichtiger Schritt in die richtige Richtung. Ihre Kenntnis sowie die weiterer relevanter EU-Rechtsakte sollte daher nicht nur Teil des Kompetenzprofils von Digital-, Produkt-, Rechts-, oder Compliance-Verantwortlichen sein, sondern auch zu den Qualifikationen von Geschäftsführungen und Aufsichtsgremien gehören.
Über den Autor
Dr. Marcus Kind hat am Institut für Software-Technik und Interaktive Systeme der TU Wien promoviert. Er verfügt über umfangreiche Erfahrungen mit Informations- und Kommunikationstechnologien sowie in der Regulierung.
Weitere Leseempfehlungen:
