Die neue KI-VO richtet sich nicht nur an Anbieter von künstlicher Intelligenz, sondern auch an Betreiber. Als Betreiber tritt jeder auf, der ein KI-System in eigener Verantwortung nutzt. Das bedeutet für Unternehmen, die Tools oder Software nutzen wollen, die KI i.S.d. Art. 3 Abs. 1 KI-VO enthält, dass eine Auseinandersetzung mit den Rechtspflichten stattfinden muss, die Betreiber in diesem Zusammenhang treffen.
Der Inhalt im Überblick
Anwendungsbereich der KI-VO
Der Anwendungsbereich ergibt sich aus Art. 2 KI-VO. Hauptadressat der KI-VO sind die Anbieter von KI. Der Begriff eines KI-Systems und eines KI-Modells wird in dem Ratgeber KI-VO von Dr. Thomas Schwenke anschaulich erläutert. Rechtspflichten können aber auch denjenigen treffen, der KI einsetzt, sofern sie als Betreiber im Sinne der KI-VO einzustufen sind. In Art. 2 Abs. 1 Nr. b) KI-VO wird eine Geltung für Betreiber von KI-Systemen festgelegt, die ihren Sitz in der Union haben oder sich in der Union befinden. Gem. Art. 3 Nr. 3 KI-VO ist ein Betreiber jede
„natürliche oder juristische Person, Behörde, Einrichtung oder sonstige Stelle, die ein KI‑System in eigener Verantwortung verwendet, es sei denn, das KI‑System wird im Rahmen einer persönlichen und nicht beruflichen Tätigkeit verwendet“.
Unter Umständen ist auch eine Steigerung zum Anbieter zu befürchten, sofern inhaltliche Änderungen an einem KI-System vorgenommen werden. Relevant ist hier z.B. die Einbindung in die eigene Software oder die Anpassung von KI-Modellen auf spezielle Bedürfnisse. Sofern eine KI-System aber standardmäßig eingesetzt wird, ist dies eher nicht zu befürchten.
Für Privatpersonen gilt im Übrigen, dass die KI-VO gem. Art. 2 Abs. 10 keine Geltung entfaltet, sofern jemand als Betreiber auftritt und ein KI-System im Rahmen einer ausschließlich persönlichen und nicht beruflichen Tätigkeit verwendet.
Umsetzungsfrist hat begonnen
Die KI-VO ist August 2024 in Kraft getreten. Es gelten verschiedene Umsetzungsfristen. Grundsätzlich gilt, dass die Regelungen der KI-VO innerhalb von 24 Monaten nach dem in Kraft treten gelten. Einzelne Teile (Kapitel, Abschnitte oder Artikel) der Verordnung können aber auch schon früher relevant werden, vgl. Art. 113 KI-VO.
Für Betreiber von KI ist dabei insbesondere relevant, dass ab dem 02.02.2025 mit KI beschäftigtes Personal die notwendige KI-Kompetenz aufweisen muss, vgl. Art. 4 KI-VO.
Wer doppelte Arbeit vermeiden möchte, bemüht sich insgesamt schon heute um Compliance mit der KI-VO. Dies gilt umso mehr, als dass die KI-VO nicht von den Pflichten nach der DSGVO entbindet. Das bedeutet, die DSGVO muss in jedem Fall bereits jetzt beachtet werden. Insbesondere bei der Planung von neuen Projekten und der Einführung von neuen Tools lohnt es sich daher, auch schon die KI-VO frühzeitig zu beachten. Auch der Einsatz von bereits implementierten Systemen muss rechtskonform gestaltet werden. Es bietet sich insgesamt an, die DSGVO als Ausgangspunkt zu nehmen und dann um die Vorgaben der KI-VO „anzureichern“.
Risikobasierte Regulierung
Insgesamt liegt der KI-VO (ähnlich der DSGVO) ein risikobasierter Ansatz zugrunde. Im Falle der KI-VO bedeutet dies, dass die Verordnung die Rechtspflichten nach dem Risikograd der beabsichtigten bzw. ermöglichten Nutzung von den KI-Systemen differenziert.
Insgesamt gibt es 5 Gruppen:
- Unannehmbares Risiko:
Art. 5 KI-VO zählt Praktiken auf, die verboten sind. - Hochrisiko KI-Systeme:
Hier ergeben sich auch für Betreiber umfangeiche Rechtspflichten (z.B. im Beriech Risikomanagement, Dokumentation und Aufzeichnung) - KI-System mit begrenztem Risiko:
Hier ergeben sich für Betreiber geringe Rechtspflichten - KI-System mit minimalem Risiko:
Hier ergeben sich für Betreiber geringe bis wenig Rechtspflichten - KI-Modell mit allgemeinem Verwendungszweck:
Hauptadressat sind die Anbieter
Da die umzusetzenden Maßnahmen von den Nutzungsrisiken der eingesetzten KI abhängen, muss in einem ersten Schritt im Rahmen einer Risikoanalyse bestimmt werden, wie hoch die Risiken sind, die die geplante KI-Nutzung mit sich bringen kann. Nach der Risikoeinstufung können die erforderlichen Maßnahmen in einem zweiten Schritt abgeleitet werden.
Rechtspflichten beim Einsatz von KI-Modellen mit begrenzten oder geringen Risiken
Sofern keine Hochrisiko-KI (z.B. KI-Systeme im Bereich HR zur Leistungsbewertung) eingesetzt wird, sondern es sich um eine KI mit begrenzten (z.B. Chatbots oder Deepfakes) oder minimalen Risiken (z.B. Spam Filter) handelt sind die Rechtspflichten insgesamt durchaus überschaubar. Insgesamt sind aber auch hier die Nutzungsverbote aus Art. 5 KI-VO zu beachten. Die dort aufgeführten Praktiken (z.B. manipulative Täuschung oder verhaltensändernde Beeinflussung vulnerabler Personen) dürfen in keinem Fall durchgeführt werden.
Relevant werden beim Betrieb von KI-Systemen mit begrenztem und minimalem Risiko insbesondere folgende Pflichten:
- Art. 4 KI-VO:
Sicherstellung der KI-Kompetenz bei Mitarbeitern und sonstigen mit dem Betrieb und der Nutzung von KI-Systemen befassten Personen, vgl. Art. 3 Nr. 56 KI-VO. - Art. 50 KI-VO:
Transparenz, Informations- und Offenlegungspflichten bei bestimmten KI-Systemen (z.B. beim Einsatz von Emotionserkennungssystemen oder Systemen zur biometrischen Kategorisierung oder beim Erzeugen von Deepfakes i.S.d. Art. 3 Nr. 60 KI-VO).
Heißer gekocht als gegessen: Wenig Rechtspflichten bei risikoarmer KI
Der Einsatz von KI sollte im Rahmen einer Compliance-Prüfung bereits jetzt mit der neuen Regulierung abgeglichen werden. Dennoch ergibt eine Betrachtung der KI-VO, dass die nach außen gerichteten Pflichten für den Betrieb von risikoarmer KI eher übersichtlich gestalten. Neben einem Check der Compliance mit der KI-VO sollte bei standardisierten KI-Assistenten insgesamt auch an die Regelung interner Prozesse, wie einer KI-Richtlinie oder eine Schulung der Mitarbeitenden gedacht werden, um einen den Risiken angemessenen Umgang mit personenbezogenen Daten und sonstigen sensiblen Informationen wie Geschäftsgeheimnissen zu gewährleisten. Dies gilt umso mehr, als die KI-VO nicht von der Beachtung anderer kollidierender Rechtsakte wie der DSGVO entbindet.