Zum Inhalt springen
Haufe Akademie
Kategorien: Data & KI

KI-Verordnung

Was ist die KI-Verordnung?

Die KI-Verordnung (englisch: AI Act) oder auch KI-VO ist das weltweit erste umfassende Gesetz zur Regulierung Künstlicher Intelligenz. Mit diesem Rechtsrahmen schafft die EU klare Regeln für die Entwicklung und den Einsatz von KI-Systemen. Das Ziel ist es, Vertrauen in die Technologie zu schaffen, Grundrechte zu schützen und gleichzeitig Innovation zu fördern.

Wen betrifft die KI-Verordnung?

Die KI-VO betrifft praktisch alle Unternehmen, die mit Künstlicher Intelligenz arbeiten. Ein KI-System im Sinne der Verordnung ist eine Software, die mit einem gewissen Grad an Autonomie aus vorgegebenen Daten Outputs wie Vorhersagen, Empfehlungen oder Entscheidungen generiert.

Die KI-Verordnung unterscheidet drei Akteurstypen:

  • Die Anbieter (Provider) entwickeln KI-Systeme oder machen diese unter eigenem Namen zugänglich.
  • Die Nutzer (Deployer) setzen KI-Systeme im eigenen Unternehmen oder für eigene Zwecke ein.
  • Die Importeure und Händler bringen KI-Systeme aus Drittstaaten auf den EU-Markt.

Die Verordnung gilt unmittelbar in allen EU-Mitgliedstaaten und reguliert den gesamten EU-Binnenmarkt einheitlich. Unternehmen außerhalb der EU sind ebenfalls betroffen, wenn sie KI-Systeme im europäischen Markt anbieten oder deren Outputs hier genutzt werden.

Das Kernprinzip der KI-Verordnung: Der risikobasierte Ansatz

Die KI-VO kategorisiert KI-Systeme nach ihrem Risikopotenzial. Je höher das Risiko für Menschen und die Gesellschaft, desto strenger sind die Auflagen. Dieser risikobasierte Ansatz bildet das Herzstück der Regulierung und teilt KI-Anwendungen in vier Stufen ein.

Risikoklassen von KI-Systemen nach dem AI Act

Stufe 1: Inakzeptables Risiko – verbotene Systeme

Bestimmte KI-Anwendungen sind in der EU komplett untersagt, weil sie die Grundrechte fundamental gefährden. Dazu zählen:

  • Social Scoring durch staatliche Stellen zur Bewertung von Bürger:innen
  • manipulative Techniken, die das Verhalten von Personen unterbewusst beeinflussen
  • biometrische Echtzeit-Fernidentifikation im öffentlichen Raum (mit eng definierten Ausnahmen für Strafverfolgung)

Stufe 2: Hochrisiko-KI

Hochrisiko-KI-Systeme kommen in kritischen Bereichen zum Einsatz und unterliegen den weitreichendsten Dokumentations- und Aufsichtspflichten der Verordnung. Die konkreten Pflichten für Hochrisiko-KI werden im weiteren Verlauf des Artikels noch detailliert erläutert.

In folgenden typischen Anwendungsbereiche gilt die KI als Hochrisiko:

  • Kritische Infrastrukturen (Verkehr, Energie, Wasser)
  • Personalwesen (Bewerbermanagement, Leistungsbewertung)
  • Medizinprodukte und Gesundheitsversorgung
  • Bildung und Berufsbildung
  • Strafverfolgung und Rechtspflege
  • Grenzkontrollen und Migrationsmanagement

Stufe 3: Begrenztes Risiko

KI-Systeme mit begrenztem Risiko sind beispielsweise Chatbots oder Deepfake-Tools. Hier gilt die Kennzeichnungspflicht für alle KI-generierten Inhalte, ob Text, Bild, Audio oder Video.

Stufe 4: Minimales Risiko

Die meisten KI-Anwendungen fallen in diese Kategorie. Spamfilter, Empfehlungssysteme oder einfache Bilderkennungstools bergen kaum Risiken. Für sie gelten keine verpflichtenden Regelungen, freiwillige Verhaltenskodizes sind jedoch möglich.

Sonderfall: Allzweck-KI und Basis-Modelle

Große Sprachmodelle wie GPT, LLaMA oder Claude unterliegen besonderen Regelungen. Diese sogenannten General Purpose AI Systems (GPAI) können Unternehmen für vielfältige Zwecke einsetzen und benötigen daher spezifische Transparenz- und Dokumentationspflichten.

Modelle mit systemischem Risiko – definiert durch mehr als 10²⁵ Rechenoperationen beim Training – müssen zusätzliche Sicherheitsbewertungen durchlaufen und robuste Governance-Strukturen nachweisen.

Die Pflichten der KI-Verordnung: Was müssen Unternehmen tun?

Die KI-VO definiert gestaffelte Anforderungen je nach Risikoklasse der KI-Systeme. Grundlegende Pflichten treffen alle Anbieter beziehungsweise nutzende Unternehmen, während Hochrisiko-Systeme nochmal deutlich strengeren Auflagen unterliegen.

Allgemeine Pflichten für alle KI-Systeme:

  • Transparenzpflichten gegenüber Nutzenden und Beschäftigten: Betroffene müssen erkennen können, dass und in welchem Kontext ein KI-System eingesetzt wird.
  • Kennzeichnung von KI-generierten Inhalten: KI-erzeugte oder manipulierte Inhalte (Deepfakes, synthetische Medien) sind klar als solche zu markieren, um Täuschung und Desinformation zu vermeiden.
  • Grundlegende Anforderungen an Daten- und Trainingsqualität: Verwendete Daten müssen relevant, möglichst fehlerfrei und für den jeweiligen Zweck geeignet sein.
  • Maßnahmen zur Bias-Vermeidung in KI-Systemen: Unternehmen müssen prüfen, ob das System systematisch bestimmte Personengruppen benachteiligt.
  • Schulung und Kompetenzaufbau der Mitarbeitenden im Umgang mit KI: Mitarbeitende sollen die Funktionsweise, Grenzen und Risiken der eingesetzten KI verstehen.
  • Dokumentation aller eingesetzten KI-Systeme: Unternehmen müssen Einsatzbereiche, Funktionsweise und Verantwortlichkeiten nachvollziehbar festhalten.
  • Mitwirkung bei Konformitätsbewertung und Marktüberwachung: Unternehmen müssen die Behörden durch die Bereitstellung von Informationen oder Unterlagen unterstützen.

Zusätzliche Pflichten für Hochrisiko-Systeme:

  • Umfassendes Risikomanagement über den gesamten Lebenszyklus: Risiken sind von der Entwicklung bis zum laufenden Betrieb systematisch zu identifizieren und zu überwachen.
  • Strenge technische Dokumentation mit lückenlosen Nachweisen: Unternehmen müssen den Aufbau, die Funktionslogik, die Trainingsdaten und das Prüfverfahren detailliert dokumentieren.
  • Verpflichtende menschliche Aufsicht bei kritischen Entscheidungen: Menschen müssen KI-Ergebnisse prüfen, korrigieren oder im Bedarfsfall übersteuern können.
  • Erhöhte Anforderungen an Robustheit und Cybersicherheit: Systeme müssen stabil funktionieren und vor Manipulation, Missbrauch und Ausfällen geschützt sein.
  • Formale Konformitätsbewertung vor der Einführung des KI-Systems: Die Hochrisiko-KI darf erst eingesetzt werden, nachdem sie ein vorgeschriebenes Prüfverfahren erfolgreich durchlaufen hat.

Governance, Sanktionen und Zeitplan der KI-Verordnung

Die Überwachung der KI-VO erfolgt auf zwei Ebenen: Das neu geschaffene AI Office koordiniert auf EU-Ebene, während nationale Marktaufsichtsbehörden die Einhaltung in den Mitgliedstaaten kontrollieren.

Bei Verstößen drohen empfindliche Bußgelder, die sich am weltweiten Jahresumsatz orientieren:

  • verbotene KI-Systeme: bis zu 35 Millionen Euro oder 7 % des Jahresumsatzes
  • Verletzung von Hochrisiko-Pflichten: bis zu 15 Millionen Euro oder 3 % des Jahresumsatzes
  • falsche Angaben gegenüber den Behörden: bis zu 7,5 Millionen Euro oder 1,5 % des Jahresumsatzes

Der Zeitplan im Überblick, ab wann welche Regel gilt:

  • Februar 2025: Verbote für Systeme mit inakzeptablem Risiko sind in Kraft getreten
  • August 2025: Regelungen für Allzweck-KI-Modelle wurden wirksam
  • August 2026: vollständige Anwendbarkeit aller Vorschriften für Hochrisiko-Systeme tritt in Kraft

Handlungsempfehlungen für die KI-VO: So bereiten Sie sich vor

Unternehmen sollten jetzt mit der Vorbereitung beginnen. Eine systematische Vorgehensweise hilft, Compliance-Risiken zu minimieren.

Checkliste für die Umsetzung:

  • KI-Inventur durchführen: Erfassen Sie alle KI-Systeme, die Sie entwickeln oder nutzen – von offensichtlichen Anwendungen bis zu versteckten KI-Komponenten in Software.
  • Risikobewertung vornehmen: Prüfen Sie für jedes System, in welche Risikoklasse es fällt. Besondere Aufmerksamkeit verdienen Anwendungen in Personalwesen, Kritischer Infrastruktur oder im Bereich Gesundheit sowie Bildung.
  • Compliance-Strukturen schaffen: Benennen Sie Verantwortliche für die KI-Governance, etablieren Sie Prozesse für das Risikomanagement und die Dokumentation.
  • Mitarbeitende systematisch schulen: Qualifizieren Sie Ihre Teams im Umgang mit KI-Systemen – die KI-VO verpflichtet dazu. Mitarbeitende müssen verstehen, wie eingesetzte Systeme funktionieren, welche Risiken bestehen und wie sie verantwortungsvoll damit arbeiten.

KI-Lernreise: Praxisnahes Wissen für die KI-Verordnung

Die Haufe Akademie unterstützt Sie dabei, KI-Kompetenzen strukturiert aufzubauen und die Schulungspflichten der KI-VO umzusetzen. In unserem Whitepaper zur KI-Lernreise erfahren Sie, wie Sie Ihre Teams praxisnah qualifizieren und gleichzeitig Compliance-Anforderungen erfüllen.

Zum Download

FAQ

Was ist die KI-Verordnung der EU?

Die KI-Verordnung regelt als rechtsverbindliches EU-Gesetz den Einsatz Künstlicher Intelligenz im europäischen Binnenmarkt. Anders als Richtlinien gilt sie unmittelbar in allen Mitgliedstaaten ohne nationale Umsetzung. Sie legt fest, welche KI-Anwendungen verboten sind, welche Systeme als besonders risikoreich gelten und welche konkreten Anforderungen Unternehmen erfüllen müssen – von Dokumentationspflichten über Transparenzanforderungen bis zu Konformitätsbewertungen.

Wann tritt die KI-Verordnung der EU in Kraft?

Die KI-VO tritt gestaffelt in Kraft: Verbote gelten ab Februar 2025, Regelungen für Allzweck-KI ab August 2025 und die vollständigen Vorschriften für Hochrisiko-Systeme ab August 2026. Unternehmen sollten bereits jetzt mit der Umsetzung beginnen, um rechtzeitig compliant zu sein.

Welche Unternehmen sind von der KI-Verordnung betroffen?

Die Verordnung betrifft alle Unternehmen, die KI-Systeme entwickeln, vertreiben oder nutzen – unabhängig vom Unternehmenssitz, sofern das Unternehmen die Systeme in der EU anbietet oder deren Outputs hier genutzt werden. Besonders relevant ist die KI-VO für Unternehmen mit Hochrisiko-Anwendungen in Bereichen wie Personalwesen, Kritische Infrastruktur, Medizin oder Bildung.

Zum Glossar «

Dieser Beitrag hat Ihnen gefallen?
Unsere kostenlosen Newsletter halten Sie rund
um betriebliche Themen auf dem Laufenden.
Einfach anmelden:
www.haufe.de/akademie/newsletter

Wir freuen uns über Feedback und Anregungen unter
service@haufe-akademie.de

Copyright by Haufe Akademie GmbH & Co. KG, Lörracher Str. 9, 79115 Freiburg. Abdruck nur mit Genehmigung der Haufe Akademie.