Mit der am 01. August 2024 in Kraft getretenen KI-Verordnung (KI-VO) hat der Rat der Europäischen Union erstmals ein Regelwerk für die Entwicklung und Nutzung künstlicher Intelligenz geschaffen. Mit dieser unmittelbar in Deutschland geltenden Verordnung werden an Unternehmen und Unternehmer, die im Rahmen ihrer Tätigkeit KI-basierte Anwendungen nutzen, neue Compliance- und Monitoring-Anforderungen gestellt. Dabei ist davon auszugehen, dass KI-Systeme all jene Anwendungen umfassen, die anpassungsfähig sind und auf einen autonomen Betrieb ausgerichtet sind, ohne dabei ausschließlich auf Basis der von Menschen aufgestellten Regeln zu funktionieren.

Sind Sie Anbieter von KI-Anwendungen oder verwenden Sie diese für sich oder Ihre Kunden?

Dann könnte die KI-Verordnung für Sie gelten. Die KI-Verordnung verfolgt einen risikobasierten Ansatz und unterwirft verschiedene Risikokategorien von KI unterschiedlichen Bedingungen und Einschränkungen. So steht insbesondere KI mit Gefährdungspotential für Grundrechte und sensible Rechtsgüter im Focus.

Anders als der Name „Hochrisiko-KI“ vermuten lässt fällt darunter auch eine KI, welche zur Verarbeitung von HR Daten verwendet wird. 

Die sich aus der KI-Verordnung ergebenden Pflichten richten sich in erster Linie an die Anbieter und nachrangig auch an die Anwender der KI. Schwellenwerte hinsichtlich der Kennzahlen des Unternehmens bestehen nicht, allein das Risikopotential der KI ist maßgeblich für die aus der Verordnung folgenden Pflichten. Je nach Intensität des zunächst festzustellenden Risikos sind weitergehende Pflichten einzuhalten. So können, neben der Einrichtung eines allgemeinen Risikomanagementsystems, unter anderem die Etablierung freiwilliger Compliancevorschriften, Transparenzpflichten oder umfangreiche Einzelfallbewertungen, Überwachungs- und Risikobewertungen geboten und in der Unternehmens-Compliance vorzunehmen sein.

Bei Missachtung der sich aus der Verordnung und dem Risiko-Potential der KI ergebenden Pflichten drohen den Unternehmen Geldbußen von bis zu 35 Millionen Euro oder 7% des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem, welcher Betrag höher ist. Auch eine Untersagung der Verwendung der KI ist möglich.

Die KI-Verordnung ist bereits in Kraft, sieht für die Umsetzung der sich daraus ergebenden Pflichten aber eine zeitlich gestaffelte Umsetzung vor. So gilt die Verordnung beispielsweise für Hochrisiko-KI-Systeme erst 36 Monate nach deren Inkrafttreten, dies ist also ab dem 02. August 2027 der Fall.

Die ersten Pflichten der KI-VO sind allerdings bereits ab dem 02. Februar 2025 umzusetzen. Unternehmen, deren Mitarbeiter KI entwickeln, anwenden oder vertreiben sind nunmehr gehalten, ihre KI dahingehend zu überprüfen, ob sogenannte verbotene KI-Praktiken angewendet werden (Art. 5 KI-VO). Weiter sind sie verpflichtet, die KI-Kompetenz ihrer Mitarbeiter, die in ihrem Auftrag mit dem Betrieb und der Nutzung von KI-Systemen befasst sind, individuell, je nach Kenntnissen, Erfahrung, Ausbildung und Schulung, zu stärken (Art. 4 KI-VO).

Gerne unterstützen wir Sie und Ihr Unternehmen bei der Prüfung, welche Anforderungen nach der KI-Verordnung an Ihr Unternehmen gestellt werden und bereiten Sie auf die Einrichtung eines entsprechenden Compliance-Systems vor.