Jetzt Mitglied werden!
eRecht24.de

Europäische KI-Verordnung

Die KI-Verordnung: Was Unternehmen und Webseitenbetreiber jetzt wissen sollten

Fachlich geprüft von: Rechtsanwalt Sören Siebert Rechtsanwalt Sören Siebert
(15 Bewertungen, 4.40 von 5)

Das Wichtigste in Kürze

  • Vom Unternehmen bis zum selbständigen Webseitenbetreiber - wer Künstliche Intelligenz in seinem Business nutzt, sollte die neue KI-Verordnung im Blick haben.
  • Die KI-Verordnung soll einen klaren Rahmen für den Umgang mit KI schaffen und sieht hohe Geldbußen für die Nichteinhaltung der Regelungen vor.
  • Schauen Sie voraus und bereiten Sie sich bzw. Ihr Unternehmen bereits jetzt auf die voraussichtlich 2024 in Kraft tretende KI-Verordnung vor.
Ich möchte mich umfassend informieren Rechtlich auf dem Laufenden bleiben

Worum geht's?

Die Weiterentwicklung Künstlicher Intelligenz (KI) schreitet in großen Schritten voran, was wir alle 2023 am Beispiel der Künstlichen Intelligenz ChatGPT miterlebt haben. Die Stimmen nach einer Regulierung von KI werden in diesem Zusammenhang immer lauter und so beschäftigt sich auch die EU seit einigen Jahren mit einer möglichen Regulierung von KI. Mit der KI-Verordnung (KI-VO, engl. Artificial Intelligence Act bzw. AI Act) plant die EU, einen einheitlichen rechtlichen Rahmen für die Entwicklung und Verwendung von KI zu schaffen.

Da KI aus dem Unternehmensalltag langfristig nicht mehr wegzudenken sein wird, sollten Sie sich schon jetzt auf die Regelungen der KI-Verordnung vorbereiten, um rechtlich abgesichert zu sein und hohe Bußgelder zu vermeiden. In diesem Artikel werden Pflichten, die sich aus dem Entwurf der KI-Verordnung für Webseitenbetreiber, Online-Shops und kleine Unternehmen ergeben, beleuchtet und wir erklären Ihnen, wie Sie sich schon jetzt in nur 7 Schritten auf die voraussichtlich 2024 in Kraft tretende Verordnung vorbereiten können.

1. KI-Verordnung: Inhalt – kurz und knapp

Die KI-Verordnung der Europäischen Union wird das weltweit erste „KI-Gesetz“ sein, da es erstmals Regelungen für Künstliche Intelligenz schaffen wird. Die KI-Verordnung wird allerdings kein allumfassender Rechtsrahmen für KI sein, vielmehr geht es um die Klassifizierung und Sicherheit von KI-Systemen.

Was sind die Ziele der KI-Verordnung?

Im Großen und Ganzen zielt der Entwurf der KI-Verordnung darauf ab, Probleme und Risiken, die in Zusammenhang mit KI auftreten, zu lösen bzw. zu reduzieren, ohne dabei die Weiterentwicklung von KI übermäßig einzuschränken. Im Fokus stehen dabei folgende Kernziele:

  • Bestehende Grundrechte und Werte sollen gewahrt werden.
  • Rechtssicherheit soll zur Förderung von Investitionen geschaffen werden.
  • Governance und Sicherheitsanforderungen an KI sollen gestärkt werden.
  • Weiterhin soll die Entwicklung von rechtskonformen, sicheren und vertrauenswürdigen KI-Systemen erleichtert werden.

Wie werden KI-Systeme im Rahmen der KI-Verordnung definiert?

Ein KI-System wird im Entwurf der KI-Verordnung als eine Software definiert, die mittels bestimmter Techniken und Konzepte entwickelt wurde und in der Lage ist, Antworten auf von Menschen definierte Ziele zu formulieren (z. B. Erstellung von Inhalten, Formulierung von Empfehlungen, Treffen von Vorhersagen oder Entscheidungen), die das interagierende Umfeld beeinflussen. Die Definition wird sich in der finalen Version der Verordnung voraussichtlich noch ändern.

Betrifft mich die KI Verordnung?

Die KI-Verordnung wird in erster Linie für Anbieter von KI-Systemen relevant sein. Jedoch ergeben sich auch Pflichten für Nutzer von KI-Systemen, die KI im Rahmen ihres Berufs verwenden. Wenn Sie also ChatGPT für’s Marketing, Chatbots im Online-Shop, KI für Qualitätskontrolle, zur Preisoptimierung oder im Human Resources nutzen, sollten Sie die KI-Verordnung auf dem Schirm haben.

2. Was regelt die KI-Verordnung?

Der wesentliche Bestandteil der Verordnung ist die Klassifizierung von KI-Systemen nach damit verbundenen Risiken. Je nachdem, in welche Risikokategorie ein KI-System fällt, sind unterschiedliche Compliance- und Informationspflichten umzusetzen. Dabei werden KI-Systeme nach ihrem Risiko eingeteilt (unannehmbares, hohes, geringes und minimales Risiko). Es gilt: Je riskanter ein KI-System ist, desto strenger sind die Anforderungen.

Geringes und minimales Risiko

Die Mehrheit der KI-Systeme fallen unter die Kategorien „geringes Risiko” (z. B. Chatbots) und “minimales Risiko“ (z. B. Spam-Filter). Bei KI-Systemen mit minimalem Risiko werden künftig Transparenzpflichten zu berücksichtigen sein, sodass z. B. Nutzern beim Chatten mit einem Chatbot klar gemacht werden muss, dass sie mit einer KI und keinem Menschen kommunizieren.

Auch beim Thema Datenschutzrecht und Chatbots gibt es einige rechtliche Stolperfallen, die Sie beachten müssen. Lesen Sie mehr dazu in unserem Beitrag zum Thema “Wie setze ich Chatbots im Unternehmen DSGVO-konform ein?

Hochrisiko-KI-Systeme

Ein besonderes Augenmerk legt die Verordnung auf die Regulierung von Hochrisiko-KI-Systemen. Hochrisiko-KI-Systeme sind solche, die ein hohes Risiko für die Gesundheit, Sicherheit oder Grundrechte von Menschen aufweisen. Daher werden auf Anbieter strenge Pflichten zukommen, wie die Dokumentation und die Einrichtung eines Risiko- und Qualitätsmanagementsystems.

PRAXISBEISPIEL

Ein KI-System mit hohem Risiko wäre beispielsweise der Einsatz von KI im Recruiting für die Auswahl geeigneter Bewerber für eine Stelle sein. Ein hohes Risiko kann hier im sogenannten “Bias” der KI liegen. Wenn die KI beispielsweise mit Daten trainiert wurde, nach denen überwiegend Männer für die konkrete Stelle ausgewählt wurden, kann es passieren, dass Frauen von der KI in der Bewerberauswahl aufgrund Ihres Geschlechts diskriminiert nicht berücksichtigt werden. Eine solche automatische Entscheidungsfindung wäre allerdings ohnehin nach DSGVO-Gesichtspunkten ohne eine Einwilligung nicht zulässig (Art. 22 DSGVO).

Hochrisiko-KI-Systeme können für Webseitenbetreiber, Online-Shops und kleine Unternehmen durchaus praxisrelevant sein. Wenn Sie im Personalmanagement eine KI nutzen, ist die Wahrscheinlichkeit groß, dass diese KI künftig als Hochrisiko-KI-System eingeordnet wird.

Verbot von KI-Systemen

Bestimmte KI-Praktiken, die riskant für Grundrechte und Werte der Europäischen Union sind, sollen durch die KI-Verordnung verboten werden. Darunter fallen z. B. eine KI zur automatisierten Erkennung von Emotionen am Arbeitsplatz oder das Social Scoring, wobei das menschliche Verhalten analysiert und bewertet wird.

Für Webseitenbetreiber, Online-Shops und kleine Unternehmen spielt dieses Verbot eine geringfügige Rolle, da solche KI-Systeme in der Regel nicht verwendet werden.

Sören Siebert
Sören SiebertRechtsanwalt

3. Welche Pflichten ergeben sich für mich als KI-Nutzer?

Webseitenbetreiber, Online-Shops und kleine Unternehmen sind selten Anbieter von KI-Systemen, sondern primär Nutzer. Für Nutzer ergeben sich aus der KI-Verordnung folgende Verpflichtungen:

Pflichten bei der Verwendung von Hochrisiko-KI-Systemen

Wenn Sie ein Hochrisiko-KI-System nutzen, kommen voraussichtlich folgende Pflichten auf Sie zu:

  • Verwenden Sie die Künstliche Intelligenz entsprechend der Gebrauchsanweisung, es sei denn diese Verwendung steht nicht im Einklang mit nationalem Recht oder Unionsrecht.
  • Sie dürfen nur Daten in die KI eingeben, die dem Zweck des Hochrisiko-KI-Systems entsprechen.
  • Wenn Sie bei der Verwendung der KI entsprechend der Gebrauchsanweisung feststellen, dass die KI ein Risiko birgt oder eine Fehlfunktion aufweist, müssen Sie den Anbieter oder Händler der KI informieren und die Verwendung der KI pausieren.
  • Wenn Sie Protokolle des Hochrisiko-KI-Systems erhalten, sind Sie verpflichtet, diese aufzubewahren.
  • Sie müssen bereitgestellte Informationen (z. B. Name und Kontaktangaben des Anbieters) verwenden, um ggf. Ihrer Verpflichtung zur Durchführung einer Datenschutz-Folgenabschätzung nachzukommen.

AUFGEPASST

Auch für Sie als Nutzer würden die umfangreichen Anbieter-Pflichten gelten, sobald Sie die Zweckbestimmung eines Hochrisiko-KI-Systems verändern oder eine wesentliche Änderung vornehmen.

Transparenzpflicht

KI-Systeme, die mit Menschen interagieren (z. B. Chatbots), zur Erkennung von Emotionen oder zur Assoziierung (gesellschaftlicher) Kategorien anhand biometrischer Daten eingesetzt werden oder Inhalte erzeugen oder manipulieren („Deepfakes“), unterliegen einer Transparenzpflicht. Wenn Sie also Texte, Videos oder Fotos mit KI erstellen und auf Ihrer Webseite hochladen, werden Sie zukünftig verpflichtet sein, diese Inhalte als KI-generiert zu kennzeichnen.

4. In 7 Schritten optimal auf die KI-Verordnung vorbereitet sein

Sofern Sie KI in Ihrem Daily Business nutzen, werden die Regeln der neuen KI-Verordnung für Sie relevant sein. Erfahren Sie daher in sieben Schritten, was Sie als gewerblicher KI-Nutzer bereits jetzt tun können, um optimal auf die KI-Verordnung vorbereitet zu sein.

In nur 7 Schritten
Seien Sie auf die KI-Verordnung vorbereitet! 
  • Überblick über KI-Einsatz und KI-Planung: Zunächst sollten Sie prüfen, welche KI-Systeme Sie bereits einsetzen und welche künftig eingesetzt werden sollen. Erst durch diesen Überblick wird Ihnen klar, welche Regelungen der KI-Verordnung Sie überhaupt betreffen.
  • Klassifizierung der KI-Systeme: Ordnen Sie im nächsten Schritt die von Ihnen verwendeten KI-Systeme - soweit möglich - den Kategorien (minimales, geringes, hohes Risiko) der KI-Verordnung zu. Achtung: Wenn Sie die Vermutung haben oder erkennen, dass Sie KI-Systeme verwenden, die zukünftig als Hochrisiko-KI-Systeme eingestuft werden, sollten Sie diese auf eine gesonderte Liste aufnehmen, da hier umfangreiche Pflichten auf Sie zukommen.
  • Bewusstsein schaffen: Nutzen Sie bereits jetzt Schulungen, Workshops, Handbücher und Policies für Ihre Mitarbeiter, um einen sicheren und risikoarmen Einsatz von KI-Systemen in Ihrem Unternehmen zu gewährleisten. Ein einfacher Weg, Mitarbeiter für KI zu sensibilisieren, sind interne Policies. Um Ihre Mitarbeiter für ChatGPT zu sensibilisieren, sollten Sie eine Mitarbeiter-Policy verwenden. Die Kanzlei Siebert Lexow Lang stellt Ihnen kostenlos eine Mitarbeiter-Policy für ChatGPT zu Verfügung.
  • Benennung eines KI-Verantwortlichen: Je nach Umfang des KI-Einsatzes kann es sinnvoll sein, einen Verantwortlichen für die genutzten KI-Systeme zu benennen. Dieser überwacht den Einsatz der KI-Systeme im Unternehmen und damit verbundene Pflichten.
  • Datenschutz: Sie müssen im Rahmen des Einsatzes von KI-Systemen den Datenschutz sicherstellen. Darüber hinaus sollten Sie darauf achten, dass das von Ihnen verwendete KI-System auf zuverlässigen und richtigen Daten beruht.
  • Dokumentation für Transparenzpflichten: Für viele KI-Systeme wird eine Transparenzpflicht gelten und  KI-generierte Ergebnisse und KI-Chatbots müssen als solche gekennzeichnet werden. Es ist wahrscheinlich, dass KI-Systeme künftig eine Kennzeichnungsfunktion haben (z. B. digitales Wasserzeichen) werden. Dennoch sollten Sie sich intern einen Überblick über Ihre KI-generierten Inhalte verschaffen, um in der Lage zu sein, KI-generierte Ergebnisse künftig zu kennzeichnen. Ob hier tatsächlich Handlungsbedarf für Sie bestehen wird, wird sich zeigen. Meta hat beispielsweise bereits im Februar 2024 angekündigt, KI-generierte Inhalte künftig zu kennzeichnen und durch Nutzer kennzeichnen zu lassen. 
  • Bleiben Sie aktuell: Informieren Sie sich über das Inkrafttreten und den aktuellen Stand der KI-Verordnung.

ACHTUNG

Wenn Sie selbst Anbieter von KI-Systemen sind, werden auf Sie wesentlich umfangreichere Pflichten zukommen, die Sie teils im Rahmen des Verarbeitungs-Verzeichnisses umsetzen können. Wenn Sie in diesem Zusammenhang bereits ein Konzept für den Umgang mit Ihrem KI-System erarbeiten möchten, raten wir Ihnen, dieses modular zu gestalten. Da KI erstmals gesetzlich geregelt wird, ist es absehbar, dass die Regelungen verändert oder weiterentwickelt werden.

5. KI-Verordnung & Strafen: Was passiert, wenn ich mich nicht an die Regelungen halte?

Unternehmen, die gegen die Bestimmungen der KI-Verordnung verstoßen, müssen zukünftig mit Geldbußen rechnen. Im Rahmen von Verhandlung zwischen Europäischem Parlament, dem Europäischen Rat und der Europäischen Kommission wurden die Beträge des ursprünglichen Entwurfs bereits erhöht, sodass ein Verstoß sehr teuer werden kann:

  • bis zu 35 Mio. € bzw. 7% des weltweiten Jahresumsatzes für Verstöße in Zusammenhang mit verbotenen KI-Systemen
  • bis zu 15 Mio. € bzw. 3% des weltweiten Jahresumsatzes für Verstöße gegen die Pflichten, die sich aus der KI-Verordnung ergeben
  • bis zu 7,5 Mio. € bzw. 1,5 % des weltweiten Jahresumsatzes für die Bereitstellung von fehlerhaften Informationen

Für kleine und mittelständische Unternehmen sowie Start-ups sollen allerdings geringere Obergrenzen gelten.

Sören Siebert
Sören SiebertRechtsanwalt

6. Aktueller Stand: Wann tritt die KI-Verordnung in Kraft?

Die KI Verordnung tritt voraussichtlich 2024 in Kraft. Nachfolgend erhalten Sie einen Überblick über die bisherige Entwicklung der KI-Verordnung und die nächsten Schritte.

Bisherige Entwicklung der KI-Verordnung

Ausblick 

  • 2024: Der Europäischen Rat muss die Verordnung noch final annehmen und wird 20 Tage nach Veröffentlichung im Amtsblatt der EU in Kraft treten. Bei der KI-Verordnung handelt es sich um eine EU-Verordnung, was bedeutet, dass sie unmittelbar in Deutschland gelten wird, ohne dass sie in ein deutsches Gesetz umgewandelt werden muss. Nach Inkrafttreten der KI-Verordnung folgt zunächst eine Übergangszeit, bevor die Verordnung vollständig anwendbar sein wird.
  • 2026: Bis alle Regelungen der KI-Verordnung gelten, wird es zwei Jahre dauern. Somit wird das Gesetz über künstliche Intelligenz in Deutschland voraussichtlich 2026 anwendbar sein.
  • Über die KI-Verordnung hinaus wird derzeit ein weltweites Abkommen (KI-Konvention des Europarates) verhandelt. 

7. Fazit zur KI-Verordnung

Derzeit ist die KI-Verordnung noch ein Entwurf, der voraussichtlich 2024 in Kraft tritt. Bis die einzelnen Regelungen der KI-Verordnung dann im gesamten Umfang Anwendung finden, wird es weitere zwei Jahre dauern. Um optimal in den Startlöchern zu stehen, raten wir Ihnen, sich bereits jetzt auf die KI-Verordnung vorzubereiten und insbesondere die eigene KI-Nutzung umfangreich zu dokumentieren. Sobald sich neue Entwicklungen zur KI-Verordnung abzeichnen, werden wir Sie in diesem Artikel und im eRecht24 Newsletter darüber informieren.

Immer bestens informiert
Der eRecht24 Newsletter
Bleiben Sie mit unseren regelmäßigen und kostenlosen Updates zum Internetrecht auf dem neuesten Stand. Infos, Urteile, Checklisten & Sonderangebote.

Sie können den Newsletter jederzeit kostenlos abbestellen. Details entnehmen Sie unserer Datenschutzerklärung.

E-Mail-Adresse: Bitte eine korrekte E-Mail-Adresse angeben.

Vielen Dank für Ihr Interesse!
Wir nehmen es mit dem Schutz Ihrer Daten genau und halten uns an die rechtlichen Vorgaben des Double-Opt-In. Bitte schauen Sie nun in Ihr E-Mail-Postfach und bestätigen Sie Ihre E-Mail-Adresse! Schauen Sie auch im Spam-Ordner nach.
Tipp: In unseren Premium Paketen erhalten Sie Experten-News und Knowhow zum Thema Datenschutz und rechtssichere Website. Hier erhalten Sie Zugang zu Live-Webinaren und Praxis Guides zu aktuellen Themen von und mit unseren Rechtsanwälten.

Frauke Krüger
Frauke Krüger, LL.M.
Legal Writerin

Frauke Krüger ist Wirtschaftsjuristin und hat sich im Rahmen ihres Masterstudiums im internationalen Lizenzrecht auf die Rechtsgebiete des Urheber-, Marken- und Vertragsrechts sowie das Zusammenspiel von Recht und Künstlicher Intelligenz spezialisiert. Mit diesen Schwerpunkten verstärkt sie seit 2023 das eRecht24-Redaktionsteam als Legal Writerin. Aufgrund ihrer vorherigen Tätigkeit als Juristin einer Rechtsabteilung, ist sie Expertin in der verständlichen Kommunikation juristischer Inhalte.

Rechtsanwalt Sören Siebert
Sören Siebert
Rechtsanwalt und Gründer von eRecht24

Rechtsanwalt Sören Siebert ist Gründer von eRecht24 und Inhaber der Kanzlei Siebert Lexow. Mit 20 Jahren Erfahrung im Internetrecht, Datenschutz und ECommerce sowie mit mehr als 10.000 veröffentlichten Beiträgen und Artikeln weist Rechtsanwalt Sören Siebert nicht nur hervorragende Fach-Expertise vor, sondern hat auch das richtige Gespür für seine Leser, Mandanten, Kunden und Partner, wenn es um rechtssichere Lösungen im Online-Marketing und B2B / B2C Dienstleistungen sowie Online-Shops geht. Neben den zahlreichen Beiträgen auf eRecht24.de hat Sören Siebert u.a. auch diverse Ebooks und Ratgeber zum Thema Internetrecht publiziert und weiß ganz genau, worauf es Unternehmern, Agenturen und Webdesignern im täglichen Business mit Kunden ankommt: Komplexe rechtliche Vorgaben leicht verständlich und mit praktischer Handlungsanleitung für rechtssichere Webseiten umsetzen.

Ich möchte mit eRecht24 chatten!
Datenschutzhinweis: Ihre Daten und Ihre Chateingaben werden in unserem Chat-Tool Brevo verarbeitet, sobald Sie zustimmen, den Chat mit uns zu beginnen. Sie können Ihre Zustimmung jederzeit zurücknehmen. Details hierzu entnehmen Sie unserer Datenschutzerklärung.
eRecht24 - Unsere praktischen Tools und hilfreichen Tutorials

mitgliederbereich teaser

Exklusiv für unsere Mitglieder

Alles was Webseitenbetreiber, Agenturen und Selbständige wirklich brauchen: Tools, Wissen, Musterverträge, Erstberatung und Live-Webinare.

Mehr Informationen

dsgvo teaser

Jetzt eRecht24 Premium Affiliate werden

Als eRecht24 Premium Affiliate Partner empfehlen Sie eine Lösung, mit der bereits mehr als 370.000 Webseiten erfolgreich rechtlich abgesichert wurden und erhalten dafür eine 25% Lifetime Provision!

Jetzt Affiliate werden

webinar teaser

Online Schulung mit RA Siebert

Die 7 häufigsten Abmahnfallen auf Webseiten und wie Sie diese einfach und ohne teuren Anwalt vermeiden. So haben Abmahner keine Chance!

Mehr Details