Pflichten bei KI-Systemen mit begrenztem Risiko
Nicht nur für Hochrisiko-KI-Systeme gelten gesetzliche Anforderungen. Auch bei KI-Systemen mit begrenztem Risiko müssen bestimmte Pflichten eingehalten werden.
Im Mittelpunkt stehen dabei insbesondere Transparenz, Datenschutz, IT-Sicherheit und der Schutz von Verbrauchern.
Pflichten im Überblick
Section titled “Pflichten im Überblick”| Pflicht | Erklärung |
|---|---|
| Transparenz | Nutzer müssen erkennen können, wenn sie mit einer KI interagieren oder KI-generierte Inhalte nutzen. Beispielsweise muss kenntlich gemacht werden, wenn ein Chatbot antwortet oder Bilder, Videos oder Audiodateien mit KI erstellt wurden. |
| Datenschutz | Die Datenschutz-Grundverordnung (DSGVO) gilt auch beim Einsatz von KI-Systemen. Unternehmen müssen personenbezogene Daten rechtmäßig verarbeiten und angemessene Sicherheitsmaßnahmen umsetzen. |
| Verbraucherschutz | Nutzer dürfen nicht durch täuschende, irreführende oder unzulässig manipulative KI-Systeme benachteiligt werden. |
| KI-Kompetenz (Art. 4 AI Act) | Anbieter und Betreiber müssen sicherstellen, dass Mitarbeitende über ausreichende KI-Kompetenz verfügen. Dazu gehören Kenntnisse über Chancen, Risiken, Grenzen und den verantwortungsvollen Einsatz von KI-Systemen. |
General Purpose AI (GPAI) und große Sprachmodelle
Section titled “General Purpose AI (GPAI) und große Sprachmodelle”Große KI-Modelle wie sogenannte Large Language Models (LLMs) unterliegen zusätzlichen Anforderungen der KI-Verordnung. Dazu gehören beispielsweise die Modelle hinter Systemen wie ChatGPT, Gemini oder Claude.
Anbieter solcher Modelle müssen umfangreiche technische Dokumentationen bereitstellen und Informationen über Fähigkeiten, Grenzen und Risiken der Systeme offenlegen. Außerdem sind sie verpflichtet, Risiken systematisch zu analysieren und geeignete Schutzmaßnahmen umzusetzen.
Dazu gehören unter anderem Maßnahmen zur IT-Sicherheit, Prozesse zur Meldung schwerwiegender Vorfälle sowie die Einhaltung urheberrechtlicher Vorgaben. Zusätzlich müssen Risiken wie mögliche Verzerrungen (Bias) bewertet und durch geeignete Maßnahmen reduziert werden.
Betreiber solcher Systeme müssen diese Informationen wiederum nutzen, um ihren eigenen gesetzlichen Pflichten nachkommen zu können und KI-Systeme verantwortungsvoll einzusetzen.
Zeitplan der KI-Verordnung
Section titled “Zeitplan der KI-Verordnung”Die Anforderungen der KI-Verordnung werden schrittweise eingeführt.
| Datum ab | Regelung |
|---|---|
| 2. Februar 2025 | Verbotene KI-Praktiken sind untersagt |
| 2. August 2025 | Regeln für General Purpose AI (GPAI) und Foundation Models treten in Kraft |
| 2. August 2026 | Große Teile der KI-Verordnung gelten verbindlich |
| 2. August 2027 | Weitere Übergangsfristen enden, insbesondere für bestimmte bestehende Hochrisiko-Systeme |
Was kosten Verstöße?
Section titled “Was kosten Verstöße?”Verstöße gegen die KI-Verordnung können zu erheblichen Geldbußen führen.
Dabei gilt grundsätzlich: Entscheidend ist jeweils der höhere Betrag aus fixer Geldstrafe oder prozentualem Jahresumsatz.
| Strafe | Verstoß |
|---|---|
| Bis zu 7,5 Millionen € oder 1 % des weltweiten Jahresumsatzes | Falsche, irreführende oder unvollständige Angaben gegenüber Behörden |
| Bis zu 15 Millionen € oder 3 % des weltweiten Jahresumsatzes | Verstöße gegen Pflichten der KI-Verordnung, z. B. bei Hochrisiko-KI-Systemen |
| Bis zu 35 Millionen € oder 7 % des weltweiten Jahresumsatzes | Einsatz verbotener KI-Praktiken |
Was Unternehmen jetzt schon machen sollten
Section titled “Was Unternehmen jetzt schon machen sollten”Auch wenn abhängig vom Zeitpunkt noch nicht alle Regelungen vollständig gelten, sollten Unternehmen frühzeitig mit der Umsetzung beginnen. Dadurch können Prozesse rechtzeitig angepasst und spätere rechtliche oder organisatorische Probleme vermieden werden.
Unternehmen sollten bereits jetzt den Einsatz von KI-Systemen nachvollziehbar dokumentieren, klare interne Richtlinien definieren und Verantwortlichkeiten festlegen. Ebenso wichtig ist es, Transparenz gegenüber Nutzern und betroffenen Personen sicherzustellen.
Darüber hinaus empfiehlt es sich, Mitarbeitende frühzeitig im Bereich KI-Kompetenz (AI Literacy) zu schulen und bestehende Datenschutz- sowie Sicherheitsmaßnahmen auf den Einsatz von KI-Systemen zu überprüfen.
Grundsätzlich gilt: KI sollte nicht wie gewöhnliche Software behandelt werden. Der verantwortungsvolle Einsatz erfordert klare Prozesse, technische Kontrolle und ausreichendes Fachwissen innerhalb des Unternehmens.