AI Act verstehen (PDF)

Summary

Dieser Leitfaden bietet einen Überblick über den AI Act (KI-Verordnung). Er erläutert die rechtlichen Rahmenbedingungen für KI-Systeme in der EU, und behandelt Themen wie Pflichten, Risiken und Verantwortung. Der Fokus liegt auf einem Verständnis der Vorschriften für Unternehmen und Akteure im Zusammenhang mit der KI-Nutzung.

Full Transcript

Whitepaper

Den AI Act
verstehen
Rechte und Pflichten kennen
 Management Summary

Die KI-Verordnung, auch bekannt als AI Act, legt seit
dem 1. August 2024 den rechtlichen Rahmen für Künst-
liche Intelligenz auf EU-Ebene fest. Ziel ist ein sicherer
und ethischer Umgang mit KI. Der AI Act gilt für KI-
Systeme, die entwickelt, vertrieben oder genutzt werden.
Je nach Risikoklasse (unannehmbar, hoch, begrenzt
oder minimal) bestehen unterschiedliche Pflichten für
Anbieter, Betreiber und Händler. Bei hohem Risiko ist
ein umfangreicher Pflichtenkatalog zu erfüllen, u.a. ein
Risikomanagementsystem, eine CE-Kennzeichnung,
Transparenzpflichten, Daten-Governance oder auch
Meldung von Sicherheitsvorfällen nötig. Das klingt
komplex? Wir bringen Licht ins Dunkel und klären was
sich hinter dem AI Act verbirgt und welche Pflichten,
Anforderungen, aber auch Chancen die Verordnung mit
sich bringt.

Inhalt

Das ABC des AI Acts 3

Wann ist der AI Act anwendbar? 4

Was ist ein KI-System im Sinne des AI Act? 5

Regeln kennen und die Umsetzung meistern 6

Risikoklassen kennen 7

Pflichten des AI Act 8

Welche Strafen drohen bei Nichteinhaltung des AI Acts? 8

Verantwortung übernehmen 9

Datenschutzrechtliche Anforderungen 10

Fazit: Der AI Act enthält Pflichten, bietet aber auch Chancen 11

Recht und Datenschutz Weitere Informationen →
Das ABC des AI Acts

Die Verordnung (EU) 2024/1689 vom 13. Juni 2024 zur zeug). Allerdings geht es im AI Act nicht um physische
Festlegung harmonisierter Vorschriften für künstliche Produkte, sondern um Compliance in Bezug auf Soft-
Intelligenz, kurz: KI-Verordnung oder AI Act legt den wareanwendungen, die zumeist als Software-as-a-
rechtlichen Rahmen für die Herstellung, den Vertrieb Service-Angebot oder Cloud-Software verfügbar sind.
und die Anwendung von Künstlicher Intelligenz (KI) auf Zudem sind KI-Systeme, wie ChatGPT, Midjourney,
EU-Ebene fest. Ziele dieser Verordnung, die als solche Microsoft Copilot, Stable Diffusion etc. erst seit Herbst
unmittelbar in den einzelnen EU-Mitgliedstaaten 2022 auf dem Markt verfügbar, so dass es sich insoweit
anwendbar ist, sind insbesondere der sichere und noch um eine brandneue Technologie handelt. Inzwi-
ethische Umgang mit KI. Daher liegen dem AI Act schen finden sich solche Anwendungen nahezu in allen
folgende Prinzipien zugrunde: Bereichen sowohl im privaten als auch im beruflichen
Alltag wieder. Der KI-Siegeszug scheint jedoch gerade
menschliches Handeln und menschliche Aufsicht
erst begonnen zu haben, die Flut an ständig neuen
technische Robustheit und Sicherheit KI-Modell-Versionen, neuen KI-Systemen, neuen
Privatsphäre und Daten-Governance Fähigkeiten, neuen Einsatzzwecken sowie verbesserten
Transparenz Ergebnissen ist schier unüberschaubar. Daher ist es also
nicht nur sinnvoll, sondern zumindest im geschäftlichen
Vielfalt, Nichtdiskriminierung und Fairness
Kontext unerlässlich, sich mit diesem Phänomen unserer
soziales und ökologisches Wohlergehen Zeit zu befassen.
Rechenschaftspflicht
Es ist aber natürlich nicht verboten, sich jetzt bereits an
Im Kern handelt es sich hierbei also um Vorgaben zur alle Regelungen des AI Act zu halten. Im Gegenteil:
Produktregulierung, wie sie auch aus anderen Bereichen Je eher man sich mit den gesetzlichen Vorgaben ausein-
bekannt sind (z. B. bei Lebensmitteln oder Kinderspiel- andersetzt und sich auf sie vorbereitet, desto besser.

Inkrafttreten Geltung der übrigen
des AI Acts Vorgaben des AI Act
Geltung der
Vorschriften Geltung der Pflichten
über ver­botene in Bezug auf Hoch­­
KI-Systeme risiko-KI-Systeme

1. August 2024 2. August 2025 2. August 2026 2. August 2027

Recht und Datenschutz Weitere Informationen →   3
Wann ist der AI Act anwendbar?

Allerdings gilt der AI Act nicht automatisch in jedem Fall. Nur dann, wenn ein KI-System sowie ein Akteur im Sinne
Es müssen vielmehr bestimmte Voraussetzungen vor- des AI Act gegeben ist, müssen die gesetzlichen Vor-
liegen, damit man die sich aus dem AI Act ergebenden gaben beachtet werden. Je höher das dabei bestehende
Pflichten erfüllen muss. Die Antworten auf die folgenden Risiko, desto umfangreicher ist der Pflichtenkatalog, der
Fragen geben Auskunft darüber, wer den AI Act in zu beachten ist.
welchem Umfang beachten muss:

CIRCLE-1 Geht es um ein KI-System im Sinne des AI Act?

CIRCLE-2 Wird dieses KI-System entwickelt, vertrieben Hinweis
oder genutzt?

CIRCLE-3 I n welche Risikoklasse ist das KI-System Für manche Konstellationen ist die Anwend­bar­
einzuordnen? keit des AI Act ausgeschlossen, z. B. für Open-
Source-KI oder bei KI-Systemen für militärische
Zwecke.

Recht und Datenschutz Weitere Informationen →   4
Was ist ein KI-System
im Sinne des AI Act?
Um zu verstehen, was genau sich hinter einem solchen sich nicht auf Systeme beziehen, die auf ausschließlich
KI-System verbirgt, hilft ein Blick auf die Definition nach von natürlichen Personen definierten Regeln für das
Art. 3 Abs. 1 AI Act: automatische Ausführen von Operationen beruhen.

„ein maschinengestütztes System, das für einen in un- Die im AI Act enthaltene Definition von „KI-System“
terschiedlichem Grade autonomen Betrieb ausgelegt ist alles andere als simpel, zudem gibt es dazu weder
ist und das nach seiner Betriebsaufnahme anpassungs- ausreichend Praxiserfahrung noch einschlägige Recht-
fähig sein kann und das aus den erhaltenen Eingaben sprechung. Daher ist es derzeit sehr umstritten, was
für explizite oder implizite Ziele ableitet, wie Ausgaben genau unter den Anwendungsbereich des AI Act fällt –
wie etwa Vorhersagen, Inhalte, Empfehlungen oder die Zielrichtung dürfte jedoch klar auf generative
Entscheidungen erstellt werden, die physische oder KI-System zeigen. Wer also beispielsweise ChatGPT,
virtuelle Umgebungen beeinflussen können“. Midjourney oder Microsoft Copilot in irgendeiner Form
nutzen möchte, sollte von der Anwendbarkeit des AI Act
Systeme generativer KI, wie ChatGPT & Co., sind daher
ausgehen.
von einfacheren herkömmlichen Softwaresystemen und
Programmierungsansätzen abzugrenzen. Der AI Act sollte

LIGHTBULB-ON

KI-Modell vs. KI-System
In der Verordnung wird zwischen KI-Modellen und KI-Systemen differenziert. Als sog. großes Sprachmodell
(engl.: large language model, kurz: LLM) stellt z. B. OpenAI GPT 4 bereit. Darauf basieren dann verschiedene
KI-System, wie z. B. ChatGPT oder der Microsoft Copilot. Die Regulierung im AI Act bezieht sich regelmäßig
auf KI-Systeme.

Recht und Datenschutz Weitere Informationen →   5
 Regeln kennen und die
Umsetzung meistern
Der AI Act nennt verschiedene Akteure, die die gesetzlichen Anforderungen
einhalten müssen:

SCHOOL-FLAG Anbieter (Art. 3 Nr. 3 AI Act)

Eine natürliche oder juristische Person, Behörde, Einrichtung oder sonstige
Stelle, die ein KI-System oder ein KI-Modell mit allgemeinem Verwendungs-
zweck entwickelt oder entwickeln lässt und es unter ihrem eigenen Namen
oder ihrer Handelsmarke in Verkehr bringt oder das KI-System unter ihrem
eigenen Namen oder ihrer Handelsmarke in Betrieb nimmt, sei es entgeltlich
oder unentgeltlich. Es geht hier primär also um Hersteller (z. B. OpenAI,
Google, Meta, Anthropic), aber auch um solche Unternehmen, die ein
KI-System eines Anbieters einkaufen und es unter einer eigenen Bezeich-
nung Dritten anbieten. Auch derjenige, der eine KI-Lösung maßgeblich ver-
ändert und dann in Verkehr bringt, kann als Anbieter in diesem Sinne gelten.

BUILDING-FLAG Betreiber (Art. 3 Nr. 4 AI Act)

Eine natürliche oder juristische Person, Behörde, Einrichtung oder sonstige
Stelle, die ein KI-System in eigener Verantwortung verwendet, es sei denn,
das KI-System wird im Rahmen einer persönlichen und nicht beruflichen
Tätigkeit verwendet. Es geht also im weitesten Sinne um KI-Nutzer, wie
z. B. Unternehmen, die ihren Beschäftigten oder ihrer Kundschaft ein (ggf.
individuell angepasstes) KI-System bereitstellen.

CART-CIRCLE-CHECK Händler (Art. 3 Nr. 7 AI Act)

Eine natürliche oder juristische Person in der Lieferkette, die ein KI-System
auf dem Unionsmarkt bereitstellt, mit Ausnahme des Anbieters oder des
Einführers. Dazu zählen etwa KI-Zwischen- oder -Großhändler.

Außerdem tauchen in manchen Vorschriften des AI Act auch „Nutzer“ oder
„Produkthersteller“ auf. Als Produkthersteller in diesem Sinne gilt z. B.
der­jenige, der ein KI-System in ein eigenes Produkt einbindet und dieses
Dritten gegenüber anbietet. Nutzer sind alle diejenigen, die KI einsetzen,
die also beispielsweise mit Hilfe von ChatGPT Marketingtexte erstellen
oder in Midjourney Bilder erzeugen lassen. Darüber hinaus benennt der
AI Act auch noch „Bevollmächtigte“, die auf dem Gebiet der EU bestimmte
Pflichten für KI-Anbieter erfüllen, sowie „Einführer“, also KI-Importeure.

Recht und Datenschutz Weitere Informationen →   6
Risikoklassen kennen

Je nach KI-Risikoklasse und Rolle des Akteurs gelten Als Hochrisiko-KI-System zählen hingegen u.a.:
unterschiedliche Pflichten, hier muss genau in die einzel- Biometrische Identifizierung
nen Normen hineingeschaut werden. Der AI Act verfolgt
Verwaltung und Betrieb kritischer Infrastrukturen
dabei einen risikobasierten Ansatz, d.h. mit steigendem
(KRITIS)
Risiko steigen auch die gesetzlichen Pflichten. Es sind
insgesamt vier Risikoklassen vorgesehen, von unan- Allgemeine und berufliche Bildung
nehmbaren über hohe und begrenzte bis hin zu minima- Beschäftigung, Personalmanagement und Zugang
len Risiken. Bei einem unannehmbaren Risiko sieht der zur Selbstständigkeit
AI Act ein Verbot des entsprechenden KI-Systems vor. Zugänglichkeit und Inanspruchnahme grundlegender
privater und öffentlicher Dienste und Leistungen
(z. B. Wohnen, Strom, Heizung, Internet, Ärzte)
Strafverfolgung
Migration, Asyl und Grenzkontrolle
Rechtspflege und demokratische Prozesse
verbotene
KI-Systeme Beispiele für KI-Systeme mit begrenztem Risiko sind
etwa Chatbots, in die Stufe „minimales Risiko“ fallen
KI-Systeme mit hingegen etwa Suchalgorithmen, Computerspiele oder
hohem Risiko Spam-Filter.

Zusätzlich werden im AI Act auch noch KI-Modelle mit
allgemeinem Verwendungszweck (engl.: general purpo-
KI-Systeme mit
begrenztem Risiko se AI, kurz: GPAI) adressiert. Damit sind große Sprach-
modelle, wie etwa GPT von OpenAI, gemeint. Denn da-
mit wird nicht ein bestimmter Einsatzzweck verfolgt, sie
KI-Systeme mit können vielmehr von Kochrezepten über Schulaufsätze
minimalem Risiko
bis hin zu Programmcode vielen verschiedenen Zwecken
dienen. Aber auch bei GPAI richten sich die gesetzlichen
Pflichten nach dem Risikopotential des jeweiligen kon-
kreten Einsatzzwecks.

Als KI-Systeme mit unannehmbarem Risiko
werden insbesondere die folgenden eingestuft:
unterschwellige Beeinflussung
Ausnutzung der Schwäche oder Schutzbedürftigkeit
von Personen
biometrische Kategorisierung
Bewertung des sozialen Verhaltens
biometrische Echtzeit-Fernidentifizierungssysteme
Risikobeurteilung von natürlichen Personen
Datenbanken zur Gesichtserkennung
Ableitung von Emotionen natürlicher Personen
Analyse von aufgezeichnetem Bildmaterial

Recht und Datenschutz Weitere Informationen →   7
 Pflichten
des AI Act

Die meisten Pflichten müssen bei KI-Systemen Im Wesentlichen werden hier Anbieter von Hochrisiko-
der Hochrisikoklasse erfüllt werden. Dazu gehören KI-Systemen in die Pflicht genommen, teilweise aber
insbesondere: auch deren Betreiber. Manche Pflichten gelten zudem
in Bezug auf GPAI.
Beachtung des Stands der Technik
Beim Einsatz von KI-Systemen mit begrenztem oder
Betrieb eines Risikomanagement- bzw. Qualitäts­
minimalem Risiko bestehen im Wesentlichen Transpa-
managementsystems
renzpflichten. So sieht Art. 50 AI Act beispielsweise vor,
Umsetzung von Maßnahmen zur Resilienz / dass über den Einsatz von KI-Chatbots oder Deepfakes
Cyber-Security informiert werden muss.

Betrieb eines Testverfahrens bzw. regelmäßige
Durchführung von Tests
Welche Strafen drohen bei
EU-Konformitätserklärung und CE-Kennzeichnung
Nichteinhaltung des AI Acts?
Zusammenarbeit mit den zuständigen Behörden Mit den Pflichten geht auch Verantwortung einher
Durchführung von Korrekturmaßnahmen und so sind auch Strafen möglich. Bei Verstößen gegen
die Regelungen des AI Act drohen zum Teil schwere
Bereitstellung von Pflichtinformationen Sanktionen. Diese müssen „wirksam, verhältnismäßig
Erstellung einer technischen Dokumentation und abschreckend“ sein (Art. 99 Abs. 1 S. 2 AI Act).
Die Interessen von Unternehmen im KMU-Bereich
Erfüllung von Transparenzvorgaben sowie von Startups müssen dabei jedoch berücksichtigt
Protokollierung von Funktionsmerkmalen werden. Je nach Verstoß drohen Geldbußen bis zu
35 Mio. Euro oder bis zu 7 Prozent des weltweit erzielten
Beobachtung nach Markteinführung Vorjahresumsatzes – je nachdem, welcher der beiden
Meldung von „schwerwiegenden Vorfällen“ Beträge höher ist.

Durchführung einer Grundrechte-Folgenabschätzung

Durchführung einer Datenschutz-Folgenabschätzung

Entwicklung mit Trainingsdaten, die eine bestimmte
Qualität aufweisen (sog. Daten-Governance)

Einhaltung der Registrierungspflicht

Bereitstellung menschlicher Aufsicht

Ergreifen von Maßnahmen zur Barrierefreiheit

Recht und Datenschutz Weitere Informationen →   8
Verantwortung
übernehmen

Anders als die in der DSGVO vorgeschriebene Benen- sche Kenntnisse, Erfahrungen, Ausbildung und Schulung
nung eines:einer Datenschutz­beauftragten sieht der sowie der Kontext, in dem die KI-Systeme eingesetzt
AI Act keine Pflicht vor, einen „KI-Beauftragten“ bzw. werden sollen, relevant. Zudem sind die Personen oder
einen „KI-Manager“ oder gar ein „KI-Kompetenz-Team“ Personengruppen, bei denen die KI-Systeme eingesetzt
zu benennen. Gleichwohl ist dies in den meisten Fällen werden sollen, zu berücksichtigen. KI-Kompetenz umfasst
sinnvoll. Denn jedenfalls muss ein ausreichendes Maß die Fähig­keiten, Kenntnisse und das Verständnis, die
an KI-Kompetenz vorhanden sein. Dies schreibt Art. 4 es Anbietern, Betreibern und Betroffenen ermöglichen,
AI Act für alle Risikoklassen und Akteure vor. Insbeson- KI-Systeme einzusetzen und sich über die Chancen
dere Anbieter und Betreiber von KI-Systemen müssen und Risiken von KI bewusst zu werden. Insofern wird im
Maßnahmen ergreifen, um nach besten Kräften sicher- AI Act zwar keine „KI-Manager“-Pflicht, sehr wohl aber
zustellen, dass ihr Personal und andere Personen, die eine Fortbildungspflicht geregelt. KI-Richtlinien, ent-
in ihrem Auftrag mit dem Betrieb und der Nutzung von sprechenden Arbeitsanweisungen, Fortbildungsange­
KI-Systemen befasst sind, über ein ausreichendes Maß boten sowie ggf. Betriebsvereinba­rungen sind Wege,
an KI-Kom­petenz verfügen. Dabei sind vor allem techni- um dies möglich zu machen.

Recht und Datenschutz Weitere Informationen →   9
Datenschutzrechtliche
Anforderungen

Werden in einem KI-System Daten mit Personen-
bezug verarbeitet kommt die Datenschutzgrund-
verordnung (DSGVO) zum Tragen. Diese bleibt
von den Regelungen des AI Act unberührt (Art. 2
Abs. 7 AI Act). Es sind dann alle datenschutzrecht-
lichen Pflichten zu erfüllen, wie sie auch für andere
„Werkzeuge“ zur Datenverarbeitung gelten. Dabei Verantwortlichkeit (insbesondere die Frage, ob der
sind insbesondere folgende Aspekte zu berück- Anbieter eines KI-Systems als Auftragsverarbeiter
sichtigen: oder als gemeinsam Verantwortlicher einzustufen ist)

Rechtsgrundlage (in Frage kommen etwa die
Einwilligung, ein Vertrag oder berechtigte Interessen)

Dokumentation (Aufnahme des KI-Systems in das
Verzeichnis von Verarbeitungstätigkeiten bzw.
in die List der technischen und organisatorischen
Maßnahmen)

Informationspflichten (z. B. im Rahmen der Daten-
schutzerklärung beim Einsatz eine KI-Chatbots auf
der eigenen Website)

Reaktion auf Betroffenenrechte (z. B. auf Auskunft
oder Löschung)

Umgang mit Datenpanne (z. B. wenn das KI-System
personenbezogene Daten ungeplant „verrät“)

Durchführung einer Datenschutz-Folgenabschätzung
(beim Einsatz von KI-Systemen regelmäßig erforderlich)

Datenübermittlung an Dritte (insbesondere an den
KI-Anbieter, der ggf. im Nicht-EU-Ausland sitzt)

Recht und Datenschutz Weitere Informationen →   10
10
Fazit

Der AI Act enthält Pflichten,
bietet aber auch Chancen

Der AI Act bringt umfangreiche Pflichten für Unterneh- Pflichten sind zu erfüllen. Auch wenn ein „KI-Beauf­
men mit sich, die KI entwickeln, anbieten oder nutzen. tragter“ gesetzlich nicht vorgeschrieben ist, empfiehlt
Eine frühzeitige Auseinandersetzung mit den Anforde- es sich, KI-Expertise im Unternehmen aufzubauen.
rungen ist ratsam, insbesondere mit Blick auf die Pflicht Insbesondere der Datenschutz darf beim KI-Einsatz
zur Gewährleistung ausreichender KI-Kompetenz. nicht vernachlässigt werden. Mit einer strategischen
Unternehmen sollten prüfen, ob sie KI-Systeme im Sinne Herangehensweise lässt sich der AI Act bewältigen.
des AI Act einsetzen und welcher Risikoklasse diese Er sollte als Chance begriffen werden, KI verantwor-
zuzuordnen sind. Je höher das Risiko, desto mehr tungsvoll und rechtssicher zu nutzen.

Sie möchten heute schon wissen,
was morgen rechtlich wichtig ist?

Michael Rohrlich ist Rechtsanwalt, Fachautor, Die Weiterbildungsangebote der Haufe
Dozent und Video-Trainer (www.ra-rohrlich.de). Akademie aus dem Bereich Recht und
Er hat seinen Kanzleisitz in Würselen (Nähe Datenschutz helfen Ihnen dabei. Von Arbeits-
Aachen). Seine beruflichen Schwerpunkte bis IT-Recht unterstützen unsere erfahrenen
liegen auf den Gebieten IT-, E-Commerce- Referent:innen Sie bei der sicheren und
und Datenschutzrecht. Seit 1997 publiziert zielgerichteten Anwendung der Gesetze.
er regelmäßig, sowohl im Print- als auch im So schaffen Sie die Grundlage für Ihr erfolg-
Online-Bereich. Darüber hinaus ist er Autor reiches Business.
mehrerer Bücher und E-Books. Als Video-Trai-
ner ist er seit 2012 für LinkedIn Learning tätig. Weitere Informationen →

Recht und Datenschutz Weitere Informationen →
 Die Haufe Akademie gehört zu den führenden
Anbietern für die Qualifizierung und Entwicklung
von Menschen und Organisationen im deutsch-
sprachigen Raum. Mit über 2.500 Themen zu
Personal Development sowie einem umfassenden
Paket aus Learning Management System, Learning
Experience Plattform und Content Kits unterstützen
wir unsere Kunden und Kundinnen dabei, ihr volles
Potenzial zu entfalten.

Haufe Akademie GmbH & Co. KG
Munzinger Straße 9, 79111 Freiburg
Telefon +49 761 59 53 39-00
[email protected]
haufe-akademie.de/recht-datenschutz