Die EU-KI-Verordnung: Was Startups und mittelständische Unternehmen wissen sollten

Autoren: Rechtsanwalt Dr. Marc Laukemann und Rechtsanwalt Babak Tabeshian

Einführung

Die europäische Regulierung von Künstlicher Intelligenz (KI) steht kurz vor ihrer Einführung. Diese Verordnung, die dieses Jahr noch in Kraft treten wird, wird einen einheitlichen Umgang mit KI in der EU regeln und betrifft nicht nur Anbieter, sondern auch Betreiber von KI-Systemen. Unternehmen müssen sich daher intensiv mit KI und den entsprechenden Compliance-Maßnahmen auseinandersetzen. Hier ein Überblick, was Sie als Unternehmer wissen müssen.

Hintergrund der EU-Regulierung

KI wird immer wichtiger in unserem Alltag, was die Forderung nach rechtlicher Regulierung verstärkt. Mit der Einführung von ChatGPT ist die Diskussion um KI-Regulierung noch intensiver geworden. Am 2. Februar 2024 gab das Bundesministerium für Wirtschaft und Klimaschutz bekannt, dass die KI-Verordnung einstimmig gebilligt wurde. Diese Verordnung wird bald verbindlich und Unternehmen sollten sich jetzt mit ihren Inhalten vertraut machen.

Worum geht es in der KI-Verordnung?

Die Verordnung zielt darauf ab, einen einheitlichen Rechtsrahmen für die Entwicklung, den Vertrieb und die Nutzung von KI-Systemen in der EU zu schaffen. Sie gilt für Unternehmen jeder Größe und wird direkt in Deutschland wirksam. Wesentliche Punkte der Verordnung sind die Definition von KI und die regulatorischen Anforderungen.

Definition von KI-Systemen

Verordnung definiert ein KI-System als ein maschinengestütztes System, das autonom und anpassungsfähig ist. Wesentliche Kriterien sind:

  1. Autonomie: Systeme, die unabhängig von menschlichem Zutun agieren können.
  2. Anpassungsfähigkeit: Systeme, die selbstlernend sind und sich während der Nutzung verändern können.

Ein System muss außerdem Ziele verfolgen, Ergebnisse produzieren und diese Ergebnisse müssen die Umgebung des Systems beeinflussen können.

Wer ist betroffen?

Die Verordnung richtet sich an:

  1. Anbieter von KI-Systemen: Unternehmen, die KI-Systeme in der EU vertreiben oder betreiben, unabhängig davon, ob sie in der EU oder in einem Drittland ansässig sind.
  2. Betreiber von KI-Systemen: Unternehmen, die KI-Systeme eigenverantwortlich verwenden.

Risikokategorien

Produktcompliance für KI

Die KI-Verordnung unterscheidet zwischen verbotenen KI-Praktiken, Hochrisiko-KI-Systemen und allgemeinen KI-Modellen. Die folgende Tabelle gibt einen Überblick über die wesentlichen Anforderungen:

KI-KategorieAnforderungen
Verbotene PraktikenKeine manipulativen Techniken, keine biometrische Echtzeit-Fernidentifizierung, keine emotionale Auswertung.
Hochrisiko-KI-SystemeStrenge Dokumentationspflichten, Transparenzanforderungen, Konformitätsbewertung, CE-Kennzeichnung.
Allgemeine KI-ModelleTechnische Dokumentation, Transparenz über die Nutzung, Einhaltung der Urheberrechte.
Spezielle Regeln für KMUVereinfachte Dokumentation, Zugang zu Reallaboren, reduzierte Gebühren für Konformitätsbewertung.

Geltungsbereich für Start-ups und Einzelpersonen

Die KI-Verordnung enthält spezifische Regelungen und Ausnahmen für Start-ups, Einzelpersonen und andere spezielle Gruppen. Die folgende Tabelle zeigt, wer unter die Verordnung fällt und welche Privilegien gelten:

Person/ZielgruppeVoraussetzungenRechtsfolge/Privilegierung
Natürliche Person, persönliche VerwendungVerwendung ausschließlich persönlich, nicht beruflichKI-VO gilt nicht
Open SourceKI-Systeme unter freier und quelloffener Lizenz, außer Hochrisiko-KI-SystemeKI-VO gilt nicht
KMU, inkl. Start-upsKleine und mittlere UnternehmenErleichterungen wie vereinfachte Dokumentation, Zugang zu Reallaboren
Forschung und EntwicklungVor Inverkehrbringen/InbetriebnahmeKI-VO gilt nicht
KunstTransparenzpflichten gelten nichtErwägungsgrund 134
TestTestzweckeErleichterungen gemäß Art. 57 KI-VO

Checkliste für Start-ups

Start-ups müssen bestimmte Schritte befolgen, um KI-Produkte konform mit der Verordnung zu verwenden. Hier eine Checkliste:

  1. Prüfen der KI-Definition: Vergewissern Sie sich, dass Ihr System als KI gemäß der Verordnung definiert ist.
  2. Risikoanalyse: Bestimmen Sie, ob Ihr System in eine der Risikokategorien fällt (z.B. Hochrisiko-KI-System).
  3. Dokumentation erstellen: Erstellen Sie technische Dokumentation und Nachweise für die Einhaltung der Verordnung.
  4. Konformitätsbewertung: Führen Sie eine Konformitätsbewertung durch und erhalten Sie ggf. die CE-Kennzeichnung.
  5. Transparenz sicherstellen: Implementieren Sie Transparenzanforderungen für Benutzer und stellen Sie sicher, dass alle Interaktionen und Datenverarbeitungen transparent sind.
  6. Gebrauchsanweisungen bereitstellen: Stellen Sie Gebrauchsanweisungen und alle notwendigen Informationen zur Verfügung.
  7. Beobachtungssystem einrichten: Richten Sie ein System zur Überwachung und Dokumentation von Vorfällen ein.
  8. Schulungen und Sensibilisierung: Schulen Sie Ihre Mitarbeiter und sensibilisieren Sie Ihre Organisation für die Einhaltung der KI-Verordnung.

Durch die Einhaltung dieser Schritte können Start-ups sicherstellen, dass ihre KI-Produkte den neuen gesetzlichen Anforderungen entsprechen und rechtliche Risiken minimiert werden.

Fazit

Die KI-Verordnung bleibt ein Bürokratiemonster, schafft aber höhere Klarheit und Sicherheit im Umgang mit KI in der EU. Durch die richtige Vorbereitung können Unternehmen die Herausforderungen der Verordnung meistern und sich rechtzeitig an die neuen Regelungen anpassen.

Über die Autoren

Rechtsanwalt Dr. Marc Laukemann ist Gründungspartner von LFR Wirtschaftsanwälte und unter anderem Fachanwalt für gewerblichen Rechtsschutz. Er beschäftigt sich seit Jahren mit digitalen Geschäftsmodellen. Rechtsanwalt Babak Tabeshian, LL.M., ist Fachanwalt für IT-Recht, Partner und spezialisiert auf internationales IT-Vertriebsrecht. Weitere Informationen finden Sie auf LFR Wirtschaftsanwälte.