Im ersten Artikel unserer Serie zur KI-Verordnung sind wir auf die Verordnung selbst eingegangen. Doch was genau müssen Unternehmen nun tun, um die KI-Verordnung umzusetzen?
Hier die wichtigsten Pflichten mit Blick auf Geschäftsleitungen:
- Mitarbeiter schulen (KI-Kompetenz): Art. 4 der KI-VO verpflichtet dazu, in der Organisation KI-Kenntnisse zu vermitteln. Seit Februar 2025 muss ein Schulungskonzept stehen und es müssen regelmäßig geeignete Schulungsmaßnahmen für alle relevanten Mitarbeiter stattfinden. Das gilt unabhängig davon, ob man einfache KI (z.B. ChatGPT für Textentwürfe) oder Hochrisiko-KI einsetzt. Jeder, der mit KI arbeitet, soll deren Chancen und Risiken verstehen.
- KI-Inventar und Risikobewertung: Es empfiehlt sich, eine Bestandsaufnahme aller KI-Systeme zu machen (inklusive geplanter Projekte). Für jedes muss bewertet werden, in welche Risikokategorie es fällt (hoch, begrenzt, gering) und welche Anforderungen damit verbunden sind. Hochrisiko-Systeme erfordern deutlich umfangreichere Maßnahmen (siehe unten). Diese Inventarisierung und Kategorisierung ist der Startpunkt aller weiteren Compliance-Schritte.
- Verbotene KI-Praktiken identifizieren und vermeiden: Prüfen Sie, ob im Unternehmen Anwendungen oder Dienstleister genutzt werden, die unter die verbotenen Praktiken (Art. 5 KI-VO) fallen.
Beispiele: Ein Tool, das Social Scoring von Kunden vornimmt (unzulässig). Oder eine Gesichtserkennungssoftware, die ohne Rechtsgrundlage Personen in Videos identifiziert (im Polizeikontext verboten, für privatwirtschaftliche Anwendungen zumindest hoch problematisch). Solche Einsätze sind seit Februar 2025 bußgeldpflichtig und müssen sofort beendet werden.
- Hochrisiko-KI nur mit Konformität nutzen: Falls Ihr Unternehmen Hochrisiko-KI-Systeme bereitstellt oder verwendet, müssen zusätzliche Pflichten erfüllt werden. Eine Hochrisiko-KI (Definition und Beispiele finden Sie im nächsten Blogartikel) darf nur in Verkehr gebracht oder genutzt werden, wenn die Konformitätsanforderungen der KI-VO erfüllt sind. Für Anbieter heißt das insbesondere: Risikomanagement, Qualitäts- und Datenmanagement, technische Dokumentation, Protokollierung, Transparenz- und Aufsichtskonzepte einrichten. Betreiber/Nutzer von Hochrisiko-KI müssen sicherstellen, dass sie vom Anbieter die nötigen Informationen erhalten und die Systeme korrekt einsetzen. Beispielsweise müssen sie ihre Mitarbeiter zu diesem System spezifisch schulen, die empfohlene menschliche Überwachung umsetzen und schwerwiegende Vorfälle ggf. melden.
Die Geschäftsleitung sollte hier fragen: „Haben wir irgendein System im Einsatz, das z.B. in unsere Produkte eingebettet ist und als Hochrisiko-KI einzustufen wäre? Wenn ja, hat der Hersteller eine CE-Kennzeichnung/Konformitätserklärung und halten wir unsere Pflichten als Nutzer ein?“ Ggf. muss man auf zertifizierte KI-Produkte drängen.
- KI-Policy und Prozesse etablieren: Ähnlich zur Datenschutzrichtlinie, die heute viele Firmen haben, sollte es eine KI-Richtlinie geben. Darin kann festgelegt werden, wofür KI genutzt werden darf, wer Freigaben erteilen muss, wie Ergebnisse zu überprüfen sind und dass Gesetze (KI-VO, DSGVO, Urheberrecht etc.) einzuhalten sind. Das schafft Bewusstsein auf allen Ebenen. Die Geschäftsführung sollte diese Policy verabschieden und kommunizieren, um ihre Due Diligence nachzuweisen.
- Monitoring und Dokumentation: Für bestimmte KI-Systeme (insb. Hochrisiko) schreibt die Verordnung fortlaufende Überwachung vor. Unternehmen sollten Verfahren haben, um die Leistung und Compliance der KI zu überwachen. Außerdem sollten alle relevanten Maßnahmen dokumentiert werden (Schulungskonzepte, Risikoanalysen, Lieferantenauskünfte etc.), um im Zweifel gegenüber der Aufsicht belegen zu können, dass man seinen Pflichten nachgekommen ist.
Häufige Frage: Müssen wir KI-Systeme bei einer Behörde melden?
Nur in besonderen Fällen. Anbieter von Hochrisiko-KI müssen diese in eine EU-Datenbank eintragen, die von den Aufsichtsbehörden verwaltet wird. Nutzer von KI-Systemen müssen ihre Systeme nicht generell melden, aber schwerwiegende Vorfälle und Missbrauch an die Behörden berichten. Außerdem gilt: Wenn Sie z.B. ein KI-System in ein Produkt integrieren, das einer anderen Regulierung unterliegt (z.B. Medizinprodukt), sind ggf. Melde- und Zertifizierungspflichten dort relevant. Im Normalfall reicht es aber, intern den Überblick zu behalten und auf Anfrage der Aufsicht Auskunft geben zu können.
Fazit
Die neue KI-Verordnung bringt klare Verpflichtungen für Unternehmen mit sich. Unternehmen müssen Mitarbeiter schulen, ein KI-Inventar erstellen, Risikobewertungen vornehmen und verbotene KI-Praktiken vermeiden. Der Umgang mit Hochrisiko-KI erfordert besondere Sorgfalt. Zudem sollten Unternehmen eine KI-Policy etablieren und ihre Prozesse dokumentieren, um Compliance nachweisen zu können. Wer frühzeitig handelt, minimiert Risiken und stellt sicher, dass KI verantwortungsvoll und rechtskonform eingesetzt wird.
Haben Sie Fragen zu den neuen Vorschriften? Kontaktieren Sie uns für eine individuelle Beratung.