Künstliche Intelligenz (KI) bestimmt zunehmend den Arbeitsalltag vieler Unternehmen, Behörden, Verbände und NGOs. Die KI-Verordnung der EU, welche am 2. August 2024 in Kraft getreten ist, bringt eine Vielzahl von neuen Regelungen mit sich, die Unternehmen, Behörden, Verbände und NGOs ab sofort kennen müssen. Scheja & Partners erbringt neben der datenschutzrechtlichen Beratung beim Einsatz von KI-Systemen auch anwaltliche Beratungen zu allen Fragen rund um die KI-Verordnung. Unsere Rechtsanwältinnen und Rechtsanwälte verfügen über langjährige Erfahrung und helfen Ihnen – auch mit Hilfe von eigens entwickelten Tools und Software-Lösungen wie dem PrivacyPilot– dabei, Ihre KI-Systeme rechtsicher einzusetzen – schnell, kompetent und zu attraktiven Konditionen. Dabei stehen pragmatische und risikoorientierte Lösungen, im Vordergrund.
Oder rufen Sie uns an: 0228-227 226-0
- KI Einführungsprojekt: lösungsorientierte, toolgestützte Umsetzung der KI-Verordnung
- Entwickeln einer KI-Strategie
- Unterstützung bei der systematischen Auswahl geeigneter und rechtskonformer KI-Systeme
- Beratung zum datenschutzkonformen Einsatz von KI-Systemen
- KI-Kompetenz / E-Learning zur Vermittlung gesetzlich geforderter Kenntnisse für Mitarbeitende
- Einführung von modernen KI-Management Systemen gem. ISO/IEC 42001:2023 insbesondere zur Steuerung interner Prozesse
- Vertragsgestaltung mit Anbietern und Dienstleistern
- Erfüllung von Transparenzpflichten, z.B. Betriebsanleitung und Informationen für Betroffene
- Dokumentation eingesetzter KI-Systeme und ergriffener Maßnahmen in unserem KI-Register (Privacy Pilot)
Mit unserem Beratungsansatz unterstützen wir Sie dabei ressourcenschonend alle relevanten Anforderungen der KI-Verordnung umzusetzen. Unser Leistungsspektrum umfasst dabei:
Wir helfen beim Aufbau von „KI-Kompetenz“
Die KI-Verordnung verpflichtet Unternehmen, Behörden, Verbände und NGOs, bei ihren Mitarbeitenden für ein „ausreichendes Maß an KI-Kompetenz“ zu sorgen. „KI-Kompetenz“ beinhaltet die Kenntnis der Chancen und Risiken von KI, der Rechte und Pflichten aus der KI-Verordnung sowie die Fähigkeit, KI-Systeme sachkundig einzusetzen. Da dies für alle KI-Systeme, unabhängig von deren Risikoeinstufung, gilt, sind hiervon alle Stellen betroffen, die KI-Systeme einsetzen. Aufgrund der kurzen Übergangsfrist von sechs Monaten gilt die Pflicht zu Gewährleistung von KI-Kompetenz schon ab dem 2. Februar 2025. Somit sollten Stellen, die KI-Systeme einsetzen, möglichst schnell handeln.
Unternehmen und Behörden sollten also bereits jetzt tätig werden und für KI-Kompetenz bei ihren Mitarbeitenden sorgen. Scheja & Partners bietet Schulungen und E-Learnings rund um das Thema „KI-Kompetenz“ an. Diese vermitteln nicht nur theoretische Hintergründe, sondern auch praxisnahe Kenntnisse für das „Daily Business“ mit lebensnahen Beispielen aus der Beratungspraxis.
Analyse Ihrer KI-Systeme und Unterstützung bei der Umsetzung Ihrer Pflichten
Kernelement der KI-Verordnung ist die Ermittlung der konkret für Sie geltenden Pflichten. Hierbei muss zunächst geprüft werden, ob überhaupt ein „KI-System“ im Sinne der KI-Verordnung vorliegt. Kann dies bejaht werden, muss ermittelt werden, welche „Rolle“ die Unternehmen, Behörden, Verbände und NGOs jeweils einnehmen und welches Risiko von dem jeweiligen KI-System ausgeht. Hieran knüpfen sich spezielle Pflichten an, die beim Einsatz der KI beachtet werden müssen.
Aufgrund der Unsicherheiten, Ausnahmen und Abgrenzungsschwierigkeiten bei der rechtlichen Beurteilung von KI-Systemen sollten Sie die Prüfung nicht selbst vornehmen, sondern Fachleuten überlassen. Scheja & Partners berät Sie umfassend zu allen Rechtsfragen zur KI-Verordnung, einschließlich der komplexen Bestimmung von Rolle und Risiko und zeigt Ihnen so Ihre individuellen Pflichten auf. So können Sie sich voll und ganz auf Ihr Kerngeschäft konzentrieren und sichergehen, dass KI-Systeme rechtskonform eingesetzt werden und keine behördlichen Sanktionen (wie Bußgelder) drohen.
Die KI-Verordnung ist die weltweit erste umfassende Regulierung von KI und dient dem Ziel, einen einheitlichen Rechtsrahmen innerhalb der EU für KI zu verwirklichen. Sie bringt eine Vielzahl von neuen regulatorischen Anforderungen für Unternehmen, Behörden, Verbände und NGOs mit sich. Dabei verfolgt die KI-Verordnung einen risikobasierten Ansatz, indem sie versucht, Nutzen und Risiken von KI in einen sinnvollen Ausgleich zu bringen. KI-Systeme werden entsprechend den von diesen ausgehenden Risiken eingestuft. An diese Risiko-Einstufung werden dann jeweils unterschiedliche Pflichten für die Akteure geknüpft. Ein übergreifendes Ziel der KI-Verordnung ist dabei die Förderung von „KI-Kompetenz“.
Die Anwendung der KI-Verordnung setzt zunächst das Vorliegen eines KI-Systems voraus. Ein „KI-System“ ist nach der KI-Verordnung „ein maschinengestütztes System, das für einen in unterschiedlichem Grade autonomen Betrieb ausgelegt ist und das nach seiner Betriebsaufnahme anpassungsfähig sein kann und das aus den erhaltenen Eingaben für explizite oder implizite Ziele ableitet, wie Ausgaben wie etwa Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen erstellt werden, die physische oder virtuelle Umgebungen beeinflussen können“.
In persönlicher Hinsicht betrifft die KI-Verordnung unterschiedliche Akteure, die mit KI-Systemen in Berührung kommen. Dazu gehören die folgenden Akteure:
- Anbieter: entwickelt ein KI‑System oder lässt dieses entwickeln
- Betreiber: verwendet ein KI‑System „in eigener Verantwortung“
- Einführer: importiert ein KI‑System in die EU
- Händler: stellt ein KI-System in der EU bereit, ohne dass es sich um einen Anbieter/Einführer handelt
Darüber hinaus trifft die KI-Verordnung auch Regelungen zu KI-Modellen mit allgemeinem Verwendungszweck (z.B. GPT-4).
Da nicht von allen KI-Systemen dasselbe Risiko ausgeht, sieht die KI-Verordnung ein abgestuftes System von Pflichten vor. Im Rahmen der Einstufung ist zunächst zu ermitteln, welches Risiko von dem jeweiligen KI-System ausgeht. Die KI-Verordnung nimmt dabei die folgende Klassifizierung vor:
- verbotene Praktiken: gänzlich untersagte KI-Systeme
- Hochrisiko-KI: KI-Systeme, die genutzt werden dürfen, aber strengen Regeln unterliegen
- bestimmte KI-Systeme (z.B. Chatbots, Deepfakes): KI-Systeme für die besondere Transparenzpflichten gelten
Im Übrigen gelten die allgemeinen Regeln (z.B. Pflicht zur Gewährleistung von KI-Kompetenz).
Die KI-Verordnung verbietet das Inverkehrbringen und die Verwendung von KI-Systemen, von denen ein unannehmbar hohes Risiko ausgeht („verbotene Praktiken“, Art. 5 der KI-Verordnung). Dazu gehören u.a.:
- der Einsatz manipulativer Techniken zur Beeinflussung von Personen
- die Ausnutzung der Schutzbedürftigkeit von Personen
- soziale Bewertungssysteme („social scoring“)
- Ableitung von Emotionen am Arbeitsplatz und in Bildungseinrichtungen
Bei Hochrisiko-KI-Systemen handelt es sich um eine begrenzte Zahl von KI-Systemen, die zwar nicht verboten sind, aber dafür strengen Regelungen unterliegen. Diese KI-Systeme bestimmen sich entweder nach Art. 6 der KI-Verordnung in Verbindung mit Anhang I bzw. Anhang III.
Damit KI-Systeme als Hochrisiko-KI-Systeme nach Anhang I klassifiziert werden, müssen zwei Bedingungen vorliegen:
- das KI-System muss als Sicherheitsbauteil eines Produkts, das unter die in Anhang I genannten EU-Vorschriften (Verordnungen und Richtlinien) fällt, verwendet werden, oder selbst ein solches Produkt sein und; solche Produkte können z.B. Spielzeuge, Medizinprodukte oder Autos sein.
- das Produkt muss gemäß den in Anhang I aufgeführten EU-Vorschriften einer Konformitätsbewertung durch Dritte unterzogen werden
Zudem gelten KI-Systeme als hochriskant, wenn sie unter einen der in Anhang III genannten Bereiche fallen. Hierzu gehören u.a.:
- KI-Systeme im Bereich der kritischen Infrastruktur
- bewertende KI-Systeme in den Bereichen Bildung bzw. Beschäftigung
- bewertende KI-Systeme bei der Inanspruchnahme grundlegender Leistungen (z.B. beim Abschluss von Lebens- und Krankenversicherungen)
Ausnahmsweise gilt ein in Anhang III genanntes KI‑System dann nicht als hochriskant, wenn es kein erhebliches Risiko für die Grundrechte der betroffenen Personen mit sich bringt. Von dieser Ausnahme gibt es wiederum eine Rückausnahme. Sofern das KI-System ein Profiling natürlicher Personen vornimmt, gilt es trotz einer etwaigen Ausnahme als hochriskant. Es muss daher stets eine Einzelfallprüfung durchgeführt werden.
Die KI-Verordnung betrifft unterschiedliche Akteure, die mit KI-Systemen in Berührung kommen. Dazu gehören in erster Linie „Anbieter“ (Stellen, die KI‑Systeme entwickeln oder entwickeln lassen) und „Betreiber“ (Stellen, die KI‑Systeme „in eigener Verantwortung“ verwenden), aber auch weitere Akteure wie Einführer und Händler. Die Abgrenzung kann im Einzelfall schwierig sein und bedarf einer eingehenden Prüfung.
Da die KI-Verordnung einen risikobasierten Ansatz verfolgt, variieren die Pflichten je nach Risikoeinstufung des KI-Systems. Zudem unterschieden sich die Risiken auch je nach Rolle des Akteurs. Aus der Kombination von Risiko (z.B. Hochrisiko-KI) und Rolle (z.B. Betreiber) kann jeweils ein konkreter Pflichtenkatalog abgeleitet werden. Daneben gelten in Bezug auf bestimmte KI-Systeme (z.B. Chatbots, Deepfakes) bestimmte Transparenzpflichten.
Die KI-Verordnung sieht ein gestuftes System von Sanktionen vor. Dabei wird auch die Risiko-Einstufung des KI-Systems berücksichtigt. Im Einzelnen sieht die KI-Verordnung folgende Bußgeldhöhen vor:
- Verstöße gegen das Verbot bestimmter KI-Systeme werden mit Bußgeldern von 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes im Vorjahr geahndet, je nachdem, welcher Betrag höher ist
- weitere Verstöße (z.B. Verstöße gegen die Anbieter- oder Betreiberpflichten zu Hochrisiko-KI und gegen Transparenzpflichten) werden mit Bußgeldern von 15 Millionen Euro oder 3 Prozent des weltweiten Jahresumsatzes im Vorjahr geahndet, je nachdem, welcher Betrag höher ist
- falsche oder unvollständige Übermittlung an Behörden werden mit Bußgeldern von 7,5 Millionen Euro oder 1 Prozent des weltweiten Jahresumsatzes im Vorjahr geahndet, je nachdem, welcher Betrag höher ist
Für KMU gilt hingegen der jeweils niedrigere Betrag aus den in den genannten Prozentsätzen oder Summen.
Die KI-Verordnung tritt am 2. August 2024 in Kraft und ist zwei Jahre danach, also am 2. August 2026, vollständig anwendbar. Hiervon gibt es allerdings einige wichtige Abweichungen: So gelten z.B. das Verbot bestimmter KI-Systeme mit unannehmbaren Risiko sowie die Pflicht zur Gewährleistung von KI-Kompetenz bereits ab dem 2. Februar 2025. Bereits ab dem 2. August 2025 gelten Regelungen in bestimmten Bereichen (z.B. zu KI-Modellen mit allgemeinem Verwendungszweck, notifizierenden Behörden und Sanktionen). Erst drei Jahre nach Inkrafttreten der KI-Verordnung, also ab dem 2. August 2027, gelten dann bestimmte Regelungen zur Hochrisiko-KI (Hochrisiko-KI-Systeme, die unter Anhang I der KI-Verordnung fallen).
Für Betreiber von Hochrisiko-KI-Systemen, die bereits Verkehr gebracht oder in Betrieb genommen wurden oder dies bis zum 2. August 2026 noch werden, besteht zunächst Bestandsschutz. Dieser Bestandsschutz endet allerdings, wenn die entsprechenden KI-Systeme nachträglich in ihrer Konzeption „erheblich“ verändert werden. Nicht betroffen von dieser Regelung sind die „verbotenen Praktiken“ (KI-Systeme, die generell untersagt sind): Für diese bleibt es bei dem umfassenden Verbot ab dem 2. Februar 2025.
Ein KI-Managementsystem regelt den organisatorischen Rahmen, in dem KI-Systeme innerhalb einer Organisation eingesetzt werden. Es umfasst Richtlinien für die Auswahl, Bereitstellung, und Nutzung von KI-Systemen. Bestandteil eines KI-Managementsystems ist außerdem eine kontinuierlicher Evaluations- und Verbesserungsprozess. KI-Managementsysteme sollen sicherstellen, dass KI in der Organisation im Rahmen der KI-Strategie eingesetzt werden. Mögliches Vorgehen zur Implementierung eine KI-Managementsystems:
- Risikobasierter Ansatz zur Gewährleistung eines angemessenen Schutzniveaus für die relevanten KI-Use Cases
- Integration in bestehende Organisationsprozesse und Managementstruktur
- Entscheidung über die bei der Wahl der Ziele und Festlegung der KI-Strategie zu berücksichtigenden Anforderungen
- Definition des Rahmens z.B. orientiert am Compliance Management System (CMS-Standard IDW PS 980)
- Umsetzungsmaßnahmen in Anlehnung am ISO Standard für KI-Managementsysteme (ISO 42001:2023)