Künstliche Intelligenz ist längst Teil unternehmerischer Prozesse – vom Recruiting über den Kundenservice bis hin zur Datenanalyse. Mit der neuen KI-Verordnung (KI-VO) setzt die EU erstmals verbindliche rechtliche Rahmenbedingungen für die Entwicklung und Nutzung solcher Systeme. Die Regelung folgt einem risikobasierten Ansatz und soll sowohl Grundrechte schützen als auch Innovation ermöglichen.
In diesem Artikel fassen wir die wichtigsten Punkte der Verordnung übersichtlich zusammen – damit du weißt, was auf dich zukommt und welche konkreten Anforderungen du erfüllen musst.
Ziel und Grundlagen der KI-Verordnung
Die KI-Verordnung soll sicherstellen, dass künstliche Intelligenz im Einklang mit den Werten der EU eingesetzt wird. Ziel ist es, Innovation zu ermöglichen, ohne die Grundrechte der Bürgerinnen und Bürger zu gefährden. Zentrale Grundlage der Verordnung ist ein risikobasierter Ansatz: Je höher das Risiko eines KI-Systems für die Gesellschaft, desto strenger die Anforderungen. Systeme mit inakzeptablem Risiko – etwa solche zur sozialen Bewertung von Personen (Social Scoring) oder zur massenhaften Gesichtserkennung – werden künftig vollständig untersagt. Anwendungen mit hohem Risiko bleiben erlaubt, unterliegen jedoch strengen technischen, dokumentarischen und organisatorischen Anforderungen. Systeme mit niedrigem oder minimalem Risiko sind nicht unmittelbar betroffen, unterliegen jedoch weiterhin bestehenden Regelungen wie der DSGVO.
Risikoklassen, Pflichten und Transparenzanforderungen
Im Mittelpunkt der KI-Verordnung steht die Einteilung von KI-Systemen in vier Risikokategorien: inakzeptabel, hoch, begrenzt und minimal. Verboten sind alle Systeme, die ein erhebliches Risiko für Grundrechte darstellen – darunter etwa Systeme zur Verhaltensüberwachung oder diskriminierenden Profilbildung. Hochrisiko-KI betrifft Anwendungen in sensiblen Bereichen, z. B. in der Justiz, bei Grenzkontrollen oder bei sicherheitsrelevanten Produkten wie Fahrzeugen. Für diese Systeme gelten besondere Pflichten in Bezug auf Datenqualität, Transparenz, technische Dokumentation und Risikomanagement. Auch menschliche Aufsicht und Protokollierung müssen sichergestellt sein. Begrenzte Risiken, etwa bei interaktiven Chatbots oder Emotionserkennung, erfordern eine Kennzeichnung der KI-Nutzung. Systeme mit minimalem Risiko – etwa in der Textverarbeitung – sind zwar von der KI-Verordnung ausgenommen, aber nicht rechtsfrei.
Neue Aufgaben der Datenschutzaufsichtsbehörden
Mit der KI-Verordnung kommen auf Datenschutzaufsichtsbehörden erweiterte Aufgaben und Zuständigkeiten zu. Sie erhalten einen Einblick in technische Unterlagen, die für die Einhaltung der Verordnung erforderlich sind – etwa bei biometrischen Identifikationssystemen oder Hochrisiko-Anwendungen im öffentlichen Sektor. Darüber hinaus können sie technische Untersuchungen bei den zuständigen Marktüberwachungsbehörden anstoßen. Anbieter müssen zudem bestimmte Hochrisiko-Systeme in einer EU-Datenbank registrieren, deren Einträge von den Behörden eingesehen werden können. Auch bei sogenannten Reallaboren – also kontrollierten Testumgebungen für KI – sind die Datenschutzaufsichtsbehörden eingebunden, insbesondere bei der Verarbeitung personenbezogener Daten.
Zuständigkeiten und Herausforderungen in der Aufsicht
Die KI-Verordnung (KI-VO) sieht eine sektorale Aufsichtsstruktur vor – je nach Einsatzbereich eines Systems greifen unterschiedliche Zuständigkeiten. Für allgemeine KI-Modelle mit breitem Anwendungsfeld, etwa große Sprachmodelle, ist die EU-Kommission verantwortlich und richtet dafür ein zentrales Büro für KI ein. In anderen Bereichen – etwa Fahrzeugtechnik oder Funkanlagen – übernehmen nationale Marktüberwachungsbehörden die Einhaltung der Verordnung. Besonders komplex ist die Situation in Deutschland: Das föderale System führt zu einer Vielzahl an zuständigen Stellen. Um den Zugang zu vereinfachen, soll künftig in jedem Mitgliedstaat ein zentraler Ansprechpartner („Single Point of Contact“) benannt werden. Noch nicht abschließend geklärt ist, welche Behörde in Deutschland welche Aufsicht übernimmt – insbesondere bei Systemen zur Emotionserkennung, im Bildungsbereich oder bei kritischer Infrastruktur.
Was Unternehmen konkret betrifft – und was nicht
Nicht jede Anwendung von künstlicher Intelligenz in Unternehmen fällt automatisch unter die KI-Verordnung. Entscheidend ist, welches Risiko mit dem eingesetzten System verbunden ist. Nutzt ein Unternehmen KI-Tools mit geringem Risiko – etwa zur Texterstellung, zur Übersetzung oder als einfache Automatisierungshilfe – greift die Verordnung nicht unmittelbar. Solche Systeme unterliegen weiterhin den allgemeinen Gesetzen, insbesondere der DSGVO. Eine Melde- oder Registrierungspflicht besteht hier nicht. Kommt jedoch ein System zum Einsatz, das z. B. Bewerbungen automatisch sortiert, Mitarbeiterleistungen bewertet oder Entscheidungen im Kundenservice trifft, kann es sich bereits um ein Hochrisiko-System handeln – mit entsprechenden Pflichten. Unternehmen sollten daher ihre eingesetzten KI-Systeme frühzeitig prüfen, dokumentieren und im Zweifel fachlich bewerten lassen.
Jana Blümler
