Am 2. Februar 2025 tritt die zweite Stufe der EU-KI-Verordnung (KI-VO) in Kraft. Diese soll den Einsatz von künstlicher Intelligenz in der EU sicherer, transparenter und verantwortungsvoller machen. Dabei werden nicht nur Anbieter und Entwickler von KI-Systemen in die Pflicht genommen, sondern auch Unternehmen und weitere Organisationen, die KI-Technologien in ihrem Alltag einsetzen, gehören zu den Betroffenen. 

Konkret bedeutet das: Ob Sie einen Onlineshop mit KI-generierten Texten und Bildern betreiben, wertvolle Inhalte für Universitäts- und Hochschulwebseiten erstellen oder KI-basierte Tools zur Analyse von Spendendaten im Fundraising einsetzen - die neuen Regeln können erhebliche Auswirkungen auf Ihre Arbeitsweise haben. Im Fokus stehen vor allem Transparenzanforderungen, verpflichtende Risikobewertungen und die Schulung von Mitarbeitenden in so genannter „KI-Kompetenz“.

Künstliche Intelligenz wird immer mehr zum zentralen Element von IT-Systemen

Hintergrund: Gründe für die KI-VO

Die EU-KI-Verordnung wurde geschaffen, um die einerseits die Chancen der künstlichen Intelligenz zu fördern und gleichzeitig die Risiken für Mensch und Gesellschaft zu minimieren. Künstliche Intelligenz revolutioniert bereits heute viele Bereiche des Lebens europäischer Bürger, von Medizin und Bildung bis hin zu Marketing und Verwaltung. Mit den neuen Chancen gehen aber auch neue Risiken einher, wie Diskriminierung durch Algorithmen, Verletzungen der Privatsphäre oder automatisierte Fehlentscheidungen.  

Die EU-KI-Verordnung verfolgt daher einen risikobasierten Ansatz: Je nach Gefährdungspotenzial wird KI in verschiedene Kategorien eingeteilt – von risikoarm bis verboten. Damit sollen Innovationen ermöglicht und zugleich Grundrechte, Datenschutz und Sicherheit gewährleistet werden. Die Transparenzanforderungen, verpflichtende Schulungen für Mitarbeitende und die Dokumentation von KI-Anwendungen betreffen so gut wie alle Unternehmen und Organisationen in der EU.

Die 5 Risiko-Kategorien der KI-VO 

  1. Allgemeine Verwendungszwecke: Betrieb von KI-Systemen wie  GTP oder LLama
  2. Minimales Risiko: Einsatz von Spamfiltern, Content in Videospielen
  3. Begrenztes Risiko: Chatbots, KI-Content oder Deepfakes auf Social Media
  4. Hochrisiko: Biometrische Erkennung, Arbeitnehmerbewertungen, Immatrikulationen
  5. Verboten: Manipulationen, Social Scoring, vorhersagende Polizeiarbeit

Wer ist betroffen?

Die KI-Verordnung betrifft ein breites Spektrum an Akteuren, von Entwicklern und Anbietern von KI-Systemen bis hin zu Unternehmen, die KI-basierte Tools lediglich nutzen. Besonders für Betreiber und Nutzer, etwa im E-Commerce, Bildungsbereich oder in der Non-Profit-Organisation, sind die neuen Regeln von hoher Relevanz.

Die Verordnung unterscheidet zwischen:

  • Anbietern von KI-Systemen (z. B. Entwickler von Software wie Chatbots oder HR-Tools),
  • Betreibern (z. B. Unternehmen, die diese Tools einsetzen),
  • sowie Einführern und Händlern, die KI-Technologien in die EU bringen.

Auch Organisationen, die KI in der Kundenkommunikation, im Fundraising oder für administrative Aufgaben wie personalisierte Marketingkampagnen einsetzen, fallen unter die Verordnung. Nutzer müssen beispielsweise sicherstellen, dass ihre KI-Systeme den Transparenzanforderungen entsprechen und Mitarbeitende ausreichend geschult sind.

Nicht betroffen sind Privatpersonen, die KI zu rein privaten Zwecken nutzen, sowie anderweitig organisierte Bereiche wie nationale Sicherheit und Militär. Open-Source-Software ist grundsätzlich ausgenommen – außer sie wird in verbotenen oder hochriskanten Kontexten eingesetzt. 

Praktische Anforderungen

Die KI-Verordnung bringt für Unternehmen und Organisationen, die KI nutzen, klare Pflichten mit sich. Auch wenn Sie keine KI-Systeme entwickeln, sondern nur fertige Tools wie Chatbots, HR-Systeme oder KI-gestützte Marketinglösungen einsetzen, müssen Sie sicherstellen, dass die neuen Anforderungen eingehalten werden.

  • Transparenzpflichten: Nutzer von KI-Anwendungen müssen darüber informiert werden, dass sie mit KI interagieren. KI-generierte Inhalte, wie Texte oder Bilder, müssen entsprechend gekennzeichnet werden, insbesondere wenn es sich um Deepfakes handelt.
  • Dokumentation: Unternehmen sollten den Einsatz von KI-Systemen lückenlos dokumentieren. Dazu gehören technische Details, Transparenzhinweise und Protokolle über die Nutzung der KI. Wichtig ist außerdem, dass auch langfristig alle KI-bezogenen Prozesse bei möglichen Prüfungen nachvollziehbar bleiben.
  • KI-Kompetenz: Mitarbeitende, die mit KI-Systemen arbeiten, müssen geschult werden. Dies umfasst technisches Know-how, ein Bewusstsein für Risiken und klare Richtlinien für den Umgang mit KI, beispielsweise bei der Kennzeichnung KI-erstellter Inhalte.
  • Risikomanagement: Für Hochrisiko-KI-Systeme (z. B. HR-Tools oder KI in der Medizin) ist eine umfassende Risikobewertung erforderlich, die auch datenschutzrechtliche Aspekte einschließt.
Eine menschliche Hand hält die mechanische Hand eines Roboters. Dieses Bild symbolisiert die Interaktion zwischen Mensch und Technologie sowie die Zusammenarbeit zwischen Mensch und künstlicher Intelligenz.
So gut wie jeder Einsatz von künstlicher Intelligenz in der EU wird von der neuen Verordnung betroffen sein.

Was Unternehmen jetzt tun sollten

Um die Anforderungen der KI-Verordnung fristgerecht umzusetzen, sollten Unternehmen jetzt aktiv werden und die folgenden Maßnahmen einleiten. 

  1. KI-Inventur: Erfassen Sie alle in Ihrem Unternehmen eingesetzten oder geplanten KI-Systeme. Dokumentieren Sie deren Funktionen, Einsatzgebiete und mögliche Risiken. Das schafft Transparenz und dient als Grundlage für weitere Schritte.  
  2. Einführung von KI-Richtlinien: Legen Sie interne Richtlinien für den Umgang mit KI fest. Dazu gehören beispielsweise die Kennzeichnungspflicht von KI-generierten Inhalten oder der Umgang mit personenbezogenen Daten in KI-Anwendungen.  
  3. Mitarbeiterschulung: Stellen Sie sicher, dass Mitarbeitende, die mit KI arbeiten, über ein ausreichendes Maß an „KI-Kompetenz“ verfügen. Dazu gehören technische Kenntnisse ebenso wie rechtliche Grundlagen und ein Bewusstsein für ethische Risiken.  
  4. Risikoabschätzung: Führen Sie bei risikoreichen Anwendungen eine gründliche Risikoabschätzung durch. Dabei sollten auch Datenschutz- und Sicherheitsaspekte berücksichtigt werden.  
  5. Dokumentation und Transparenz: Führen Sie eine lückenlose Dokumentation Ihrer KI-Systeme. Diese sollte nicht nur internen Anforderungen genügen, sondern auch externen Prüfungen standhalten.  

Hohe Bußgelder bei Verstößen

Ein Richterhammer wird auf eine hölzerne Unterlage geschlagen, im Hintergrund ist eine Person in einem Anzug erkennbar. Das Bild symbolisiert Rechtsprechung, Gesetzgebung und die Durchsetzung rechtlicher Vorschriften.
Achtung: Die Strafen bei der KI-VO sind wesentlich höher als bei der DSGVO!

Die KI-Verordnung wird durch ein vielschichtiges Aufsichtsnetzwerk überwacht, an dem sowohl EU-weite als auch nationale Behörden beteiligt sind. In Deutschland ist die Aufsicht nach Branchen aufgeteilt: Für risikobehaftete KI-Systeme in speziellen Bereichen wie Strafverfolgung oder Grenzkontrolle sind die Datenschutzaufsichtsbehörden zuständig. Systeme in anderen Bereichen wie kritische Infrastrukturen oder Bildung werden voraussichtlich von den Marktüberwachungsbehörden reguliert werden.

Die EU-Kommission hat angekündigt, ein Europäisches Büro für KI einzurichten. Das neue Büro soll z.B. für KI-Systeme mit allgemeiner Anwendung zuständig sein wird. In Deutschland ist aufgrund des föderalen Systems mit einer Vielzahl beteiligter Behörden zu rechnen. Um diese Komplexität zu bewältigen, soll ein sogenannter "Single-Point-of-Contact" eingerichtet werden. Diese zentrale Stelle soll als Anlaufstelle für Unternehmen und Bürger dienen, um Verstöße zu melden und Beschwerden einzureichen. 

Die KI-Verordnung sieht bei Verstößen empfindliche Strafen vor, die teils höher ausfallen als bei der DSGVO. Unternehmen drohen Bußgelder von bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Besonders im Fokus stehen Verstöße gegen Transparenzpflichten, unzureichende Risikobewertungen oder die Nutzung verbotener KI-Praktiken.

Jetzt handeln und vorbereitet sein

Die EU-KI-Verordnung stellt Unternehmen und Organisationen vor neue Herausforderungen, bietet aber auch Chancen, interne Prozesse zu optimieren und Vertrauen aufzubauen. Wer frühzeitig Transparenz schafft, Mitarbeiterinnen und Mitarbeiter schult und KI-Richtlinien einführt, kann rechtliche Risiken vermeiden und langfristig Wettbewerbsvorteile erzielen.  

Wir begleiten Sie bei jedem Schritt: Von der Risikobewertung Ihrer KI-Systeme bis zur Erstellung rechtssicherer Dokumentationen unterstützen wir Sie dabei, die Anforderungen der KI-Verordnung zu erfüllen. Gemeinsam entwickeln wir geeignete Maßnahmen, die nicht nur rechtskonform, sondern auch effizient und zukunftsorientiert sind. So stellen wir sicher, dass Sie die Chancen der KI-Verordnung optimal und sicher nutzen können.

Sicher in die KI-Zukunft

Mit +Pluswerk fit für die EU-KI-Verordnung: Wir machen Ihre KI-Prozesse transparent und zukunftssicher. Kontaktieren Sie uns noch heute!

Jetzt Gespräch vereinbaren

Hinweis: Dieser Beitrag dient ausschließlich der allgemeinen Information und stellt keine Rechtsberatung dar. Die hier dargestellten Inhalte wurden nicht von einem Rechtsanwalt verfasst und können eine individuelle Rechtsberatung nicht ersetzen. Es wird keine Gewähr für die Richtigkeit, Vollständigkeit und Aktualität der Informationen übernommen. Der Autor übernimmt keine Haftung für Schäden, die sich aus der Verwendung der bereitgestellten Informationen ergeben.

Ein Ausschnitt unserer Leistungen

AI Erweiterung für Pimcore
Mit dem LemonHub.AI von +Pluswerk werden Produktbeschreibungen in Pimcore revolutioniert.
Corporate Websites
Etablierte Technologien und bewährte Strategien für individuelle und anspruchsvolle Websites.
Close-up of a person's hand drawing on a smartphone wireframe layout with a pencil, surrounded by color swatches and design elements. The person is also holding a smartphone, suggesting a focus on mobile app design or user interface development.
Barrierefreiheit
Digitale Barrierefreiheit stellt sicher, dass alle Menschen mit und ohne Behinderungen Zugang zu den Inhalten und Funktionen des Internets haben.
TYPO3
Enterprise Websites und Content Management auf einer etablierten Open-Source-Basis mit einer starken Community.
Suchmaschinenoptimierung
Bei Google langfristig für die richtigen Themen dank nachhaltiger SEO-Strategien dauerhaft ganz oben stehen.
Drupal
Drupal ist das moderne und zukunftssichere Content-Management-System auf Open-Source-Basis.