8 Min

Das EU-KI-Gesetz: Was sind die Pflichten für Betreiber?

Das EU-KI-Gesetz ist am 1. August 2024 in Kraft getreten und stellt die weltweit erste umfassende gesetzliche Regelung für künstliche Intelligenz dar. Wenn Sie sich oder Ihr Unternehmen zu Personen oder Einrichtungen zählen, „die ein KI-System unter ihrer Befugnis verwenden”, sind Sie gemäß dem EU-KI-Gesetz ein Betreiber. Ausgenommen sind Tätigkeiten im persönlichen Rahmen, die nicht im beruflichen Kontext stattfinden. 

Das EU-KI-Gesetz bringt bestimmte Regeln und Pflichten für Betreiber von KI-Systemen mit sich. Informieren Sie sich über verbotene KI-Systeme, Regeln für Systeme mit hohem Risiko und was von Betreibern erwartet wird. Legen wir los. 

In diesem Beitrag:

 

Wie wird KI im EU-KI-Gesetz definiert?  

Bevor wir tiefer einsteigen, lassen Sie uns einen kurzen Blick darauf werfen, wie das EU-KI-Gesetz künstliche Intelligenz definiert. KI-Systeme beinhalten vier Hauptkomponenten: 

  • Systeme, die mit unterschiedlichen Autonomiestufen arbeiten 
  • Systeme, die nach der Bereitstellung Adaptivität zeigen können 
  • Systeme, die lernen und Ausgaben generieren 
  • Generieren Ausgaben, die physische oder virtuelle Umgebungen beeinflussen können 

Die letzte Komponente ist entscheidend, da ein System, das unsere Umwelt beeinflussen kann, Risiken für die Gesellschaft birgt. Das unterstreicht die Notwendigkeit einer gesetzlichen Regulierung, um negative Folgen für Einzelpersonen zu vermeiden. 

Welche Risikoklassifizierungsstufen sind im EU AI-Gesetz definiert? 

KI-Systeme können die Grundrechte von Menschen bedrohen, aber nicht von allen Systemen gehen gleichermaßen schwerwiegende Risiken aus. Im Folgenden erfahren Sie, welche Risikoklassifizierungsstufen das EU-KI-Gesetz definiert und wie sie sich auf die Nutzung von KI-Systemen auswirken.

1. Unannehmbare Risiken: verboten

An der Spitze der Risikopyramide stehen Systeme, die unannehmbare Risiken für die Sicherheit und Rechte des Einzelnen darstellen. Diese Systeme werden deshalb nach dem EU-KI-Gesetz verboten. 

Dazu gehören Systeme, die Personen manipulieren oder täuschen, Verletzlichkeiten ausnutzen, Emotionen ableiten, Gesichtserkennungsdatenbanken auswerten und Personen auf der Grundlage ihrer biometrischen Daten kategorisieren (z. B. Sozialkredit-System).

2. Hohes Risiko: erlaubt

Für Systeme, von denen ein hohes Risiko ausgeht, gelten nach dem EU-KI-Gesetz die meisten Anforderungen und Verpflichtungen. Sie werden häufig im Zusammenhang mit Sicherheitskomponenten, biometrischen Daten, kritischen Infrastrukturen, dem Arbeitsmarkt und wichtigen privaten und öffentlichen Dienstleistungen genannt. 

Typische Einsatzbereiche für KI-Systeme mit hohem Risiko sind Personaleinstellung, Bonitätsprüfungen und Zulassungsverfahren. Bei unsachgemäßer Anwendung wären die Auswirkungen auf den Einzelnen in diesen Bereichen erheblich. Aus diesem Grund konzentriert sich das EU-KI-Gesetz auf die Regulierung dieser Systeme.

3. Begrenztes Risiko: erlaubt

Systeme mit begrenzten Risiken sind größtenteils unreguliert und unterliegen nur einigen Transparenzanforderungen. Sofern kein systemisches Risiko besteht, wie z. B. nachteilige Auswirkungen auf die öffentliche Gesundheit, die Sicherheit, die Grundrechte oder die Gesellschaft, fällt allgemeine KI (GPAI) unter diese Kategorie.  

4. Minimales Risiko: erlaubt

Bei KI-Systemen mit minimalen Risiken, wie z. B. Spam-Filtern, wird davon ausgegangen, dass sie nur geringe oder gar keine Auswirkungen auf die Rechte des Einzelnen haben. Sie müssen deshalb nur einige Transparenzanforderungen erfüllen, wenn sie direkt mit Personen interagieren.    

Wer ist ein Betreiber im Sinne des EU-KI-Gesetzes?  

An der Wertschöpfungskette von KI-Systemen sind viele verschiedene Parteien beteiligt, darunter Anbieter, Betreiber, Importeure und Distributoren, Hersteller, Autorisierte Vertreter von Anbietern und betroffene Personen. 

Wenn Sie Ihren Mitarbeitenden oder Kunden die Nutzung eines bestimmten KI-Systems gewähren, setzen Sie dieses System in Ihrem Angebot ein – intern oder extern. In diesem Fall müssen Sie das Risiko und die damit verbundenen Verpflichtungen abwägen. 

Sehen Sie sich dieses Webinar (EN) für noch mehr Informationen an: Video | The EU AI Act I: the rise of the deployers (dataguard.uk) 

 

Welche Pflichten haben Betreiber von KI-Systemen mit hohem Risiko? 

Für KI-Systeme, von denen ein hohes Risiko ausgeht, gelten nach dem EU-KI-Gesetz die meisten Anforderungen. Werfen wir einen genaueren Blick auf die Verpflichtungen, die Organisationen beim Einsatz dieser Systeme haben.

1. Technische und organisatorische Maßnahmen (Artikel 26)

In Anbetracht der DSGVO sind Sie wahrscheinlich vertraut mit der Verpflichtung, TOMs in Ihrer Organisation umzusetzen. Ebenso müssen Betreiber geeignete technische und organisatorische Maßnahmen ergreifen, um sicherzustellen, dass KI-Systeme bestimmungsgemäß verwendet werden, indem sie die Anweisungen des Anbieters befolgen und das ordnungsgemäße Funktionieren gewährleisten.   

Sehen Sie sich dieses Video (EN) an: Video | What are TOMs (youtube.com)  

 

2. Menschliche Aufsicht (Artikel 26)

Viele der Bedenken bezüglich KI-Systemen mit hohem Risiko beziehen sich auf die negativen Auswirkungen auf die Rechte von Personen in Bezug auf mögliche Diskriminierungen. Nur weil ein System mit vielen Daten trainiert wurde, bedeutet das nicht unbedingt, dass es unverzerrt ist.  

Aus diesem Grund müssen Betreiber kompetente Personen damit beauftragen, KI-Systeme mit hohem Risiko zu überwachen und die notwendigen Ressourcen und Schulungen für eine wirksame Überwachung bereitstellen. Die Implementierung dieses menschlichen Elements hilft dabei, die Systeme unter Kontrolle zu halten und Fehler zu erkennen, um negative Auswirkungen zu vermeiden, was besonders bei KI-Systemen mit hohem Risiko erforderlich ist.

3. Datenmanagement (Artikel 26)

Die Betreiber müssen sicherstellen, dass die Eingabedaten relevant, repräsentativ, fehlerfrei und so vollständig wie möglich sind. Die Umsetzung von TOMs liefert Ihnen bereits eine gute Struktur und wird Ihnen auch helfen, dieser Verpflichtung nachzukommen. 

Ein solides Datenmanagement ist für jedes Unternehmen wichtig. Unabhängig davon, ob Sie das EU-KI-Gesetz einhalten müssen oder nicht, sollten Sie sicherstellen, dass Ihre Daten korrekt und auf dem neuesten Stand sind. Die Bemühungen, die Sie bereits in Ihr Datenmanagement investiert haben, können dann für die Erfüllung Ihrer Verpflichtungen als Betreiber von KI-Systemen genutzt werden.

4. Kontinuierliche Überwachung (Artikel 26, 72 und 73)

Als Betreiber müssen Sie den Einsatz des KI-Systems regelmäßig überwachen, um Störungen oder Risiken zu erkennen, die Anweisungen des Betreibers befolgen und dem Anbieter und den zuständigen Behörden alle schwerwiegenden Vorfälle oder Risiken unverzüglich melden. 

Sehen Sie sich an, was sie bereits in Bezug auf das Incident-Management und die Überwachung der Effektivität aller Prozesse in Ihrer Organisation tun und überlegen Sie, wie Sie die notwendigen KI-Elemente einbauen können. 

Sie sollten all diese Verpflichtungen als einen großen Governance-Rahmen betrachten und sie nach Möglichkeit kombinieren. Die Überwachung der Dateneingabe in KI-Systeme ist beispielsweise auch mit Ihrem Datenmanagement verbunden.  

Das könnte Sie auch interessieren: Entdecken Sie den ultimativen Leitfaden zum EU-KI-Gesetz 

 

 5. Korrekturmaßnahmen (Artikel 20) 

Als Betreiber eines KI-Systems müssen Sie die Informationen der Anbieter über die notwendigen Korrekturmaßnahmen in Bezug auf das System befolgen, wozu auch die Deaktivierung oder der Rückruf des Systems gehören kann.

6. Protokollierung und Dokumentation (Artikel 26 und 12)

Betreiber müssen die vom KI-System erstellten Protokolle mindestens sechs Monate lang aufbewahren. Im Falle eines Fehlers können Sie die Ursache zurückverfolgen und Vorfälle transparent an die Anbieter und Behörden melden, um Korrekturmaßnahmen zu ergreifen. Diese Verpflichtungen ist also sehr eng mit der vorherigen verknüpft.

7. Folgenabschätzung im Hinblick auf die Grundrechte (Artikel 27)

Führen Sie Bewertungen durch, um die Auswirkungen von KI-Systemen auf die Grundrechte, wie z. B. das Diskriminierungsverbot, zu beurteilen. Sie müssen die Grundrechte und die Auswirkungen des Einsatzes von KI-Systemen auf diese in einem breiteren Kontext kennen, da sie über die Rechte auf Privatsphäre und Datenschutz hinausgehen.

8. Information der Arbeitnehmer und der Öffentlichkeit (Artikel 26) 

Ähnlich wie bei einer Datenschutzerklärung für Mitarbeiter gemäß der DSGVO müssen Betreiber die Beschäftigten und ihre Vertreter über den Einsatz und die Nutzung von KI-Systemen mit hohem Risiko am Arbeitsplatz informieren.

9. Registrierungs- und Informationspflichten (Artikel 49 und 71) 

Die Betreiber müssen außerdem ihre Daten und die ihrer Systeme in der EU-Datenbank registrieren und die erforderlichen Informationen bereitstellen. Es liegt ein stärkerer Fokus darauf, dass die Betreiber eine aktive Rolle Gewährleistung der Sicherheit spielen, da sie Verantwortung dafür übernehmen, wie die Systeme genutzt werden. 

Allgemeine Verpflichtungen für Betreibe von KI-Systemen 

Neben den spezifischen Anforderungen für KI-Systeme mit hohem Risiko haben Betreiber auch einige allgemeine Verpflichtungen wie die Vermittlung von KI-Kompetenz und Transparenz. 

Unabhängig davon, ob die eingesetzten KI-Systeme ein hohes Risiko aufweisen oder nicht, ist ein gewisses Bewusstsein für die potenziellen Auswirkungen auf Einzelpersonen notwendig – auch wenn das Risiko geringer scheint. Dementsprechend müssen die Betreibe Schulungen anbieten und Maßnahmen ergreifen, um die KI-Kompetenz der Nutzer zu fördern.  

Darüber hinaus ist es die Aufgabe der Betreiber, transparent über den Einsatz von KI-Systemen zu sein und die Funktionsweise bestimmter Systeme wie Emotionserkennung,  

 

Was sind die nächsten Schritte beim EU-KI-Gesetz? 

Wissen Sie, wie es nach dem Inkrafttreten des EU-KI-Gesetzes am 1. August 2024 weitergehen wird? Lassen Sie uns herausfinden, was die nächsten Schritte sind und wie Sie Ihre Organisation auf die bevorstehenden Regulierungen vorbereiten können. 

So geht es weiter 

Die Bestimmungen über verbotene KI-Systeme treten am 2. Februar 2025 in Kraft. Somit muss die Verwendung dieser verbotenen Systeme bis dahin eingestellt werden. Ab dem 2. August 2025 ist die Vorschrift für allgemeine KI (GPAI) gültig. Die allgemeine Anwendung des Gesetzes erfolgt ein Jahr später am 2. August 2026. Im Jahr darauf treten schließlich die Sicherheits- und Produktvorschriften für Systeme mit hohem Risiko in Kraft.  

Auch wenn noch etwas Zeit verbleibt, ist es wichtig, mit den Vorbereitungen so früh wie möglich zu beginnen. Auf diese Weise können Sie sicherstellen, dass Ihre Organisation das EU AI-Gesetz einhält, sobald die Verordnung in Kraft tritt. 

Welche Parallelen gibt es zwischen Ihrer KI- und DSGVO-Compliance? 

Das EU-KI-Gesetz bietet einen ergänzenden Ansatz für die KI-Governance aus der Perspektive des Datenschutzes. Dennoch lohnt es sich, Ihr Wissen über die DSGVO aufzufrischen, wenn Sie Ihre Organisation auf die zukünftigen Verpflichtungen in Bezug auf KI-Systeme vorbereiten, da es deutliche Überschneidungen zwischen Datenschutz und KI gibt. 

Einer der Hauptgründe hierfür ist, dass ein Großteil der von KI-Systemen verarbeiteten Daten personenbezogene Daten sind und sich die DSGVO zudem mit den datenschutzbezogenen Risiken dieser Systeme befasst. Die folgenden Datenschutzanforderungen gelten auch für den Einsatz von KI-Systemen: 

Datenschutzgrundsätze 

Stellen Sie sicher, dass bei der Verarbeitung personenbezogener Daten die Grundsätze der DSGVO wie Datenminimierung und Zweckbindung eingehalten werden.   

Rechte der betroffenen Personen 

Informieren Sie die Nutzer über die Verwendung von KI-Systemen und gewährleisten Sie, dass jede automatisierte Entscheidungsfindung mit der DSGVO übereinstimmt, die Rechte der betroffenen Personen schützt und ihnen die Möglichkeit gibt, Entscheidungen anzufechten und menschliches Eingreifen zu fordern.  

Sicherheit und Integrität von Daten 

Nutzen Sie TOMs wie Anonymisierung und Verschlüsselung, um personenbezogene Daten zu schützen und die Einhaltung der DSGVO zu gewährleisten. 

Schnittstellen zwischen dem KI-Gesetz und der DSGVO  

Koordinieren Sie die Anforderungen des KI-Gesetzes mit der DSGVO, um einen umfassenden Compliance-Rahmen zu gewährleisten, und führen Sie gemäß der DSGVO Datenschutz-Folgenabschätzungen durch.

Benötigen Sie weitere Informationen zum EU-KI-Gesetz? 

Alles, was Sie über das EU-KI-Gesetz wissen müssen, an einem Ort: Laden Sie den ultimativen Leitfaden zum EU-KI-Gesetz herunter. 

 
Tags

Über den Autor

Ben Daley-Gage Ben Daley-Gage
Ben Daley-Gage

Senior Privacy Consultant

Ben ist Senior Privacy Consultant in der Datenschutzabteilung von DataGuard in Großbritannien und ein Rechtsexperte für Datenschutzrecht im Vereinigten Königreich und der EU. Mit über 10 Jahren Erfahrung als Datenschutz- und Datenschutzpraktiker besitzt er die Zertifikate CIPP/E, CIPM und CIPT der International Association of Privacy Professionals (IAPP) sowie das Praktikerzertifikat für Datenschutz der British Computer Society (BCS). Nach seiner früheren Tätigkeit als Datenschutzbeauftragter für eine britische Regierungsbehörde bringt Ben auch Erfahrung aus den Bereichen Hochschulbildung, Gesundheitswesen und Fundraising mit. Er setzt sich leidenschaftlich dafür ein, praktische Datenschutz- und Datenschutzberatung anzubieten, die es Organisationen ermöglicht, Geschäftsziele zu erreichen und gleichzeitig die Rechte der Menschen zu wahren.

Mehr Artikel ansehen

Sprechen Sie unser Sales-Team an

Erfahren Sie, wie DataGuard Ihnen helfen kann.

Finden Sie heraus, wie unsere Datenschutz-, Informationssicherheits- und Compliance-Lösung Vertrauen stärkt, Risiken minimiert und Umsatz steigert.

  • bis heute 100% Erfolgsquote bei ISO 27001 Audits
  • 40% Reduzierung bei Gesamtbetriebskosten (TCO)
  • Eine skalierbare und einfach zu verstehende Web-Plattform
  • Praktisch umsetzbare Handlungsempfehlungen unserer Experten

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Benennung eines externen Datenschutzbeauftragten
  • Audit Ihrer Datenverarbeitungsvorgänge
  • Unterstützung rund um AV-Verträge, VVT, TOM, Schulung, u.v.m.
  • Personalisierte Betreuung durch Ihren Ansprechpartner 
  • Skalierbar für KMU und Konzerne
  • 100+ Experten aus den Bereichen Recht, Wirtschaft & IT

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Vereinfachung Ihrer Compliance-Prozesse

Ihre Vorteile im Überblick

  • Kontinuierliche Unterstützung auf Ihrem Weg zur Zertifizierung nach ISO 27001 und TISAX®️, sowie NIS2 Compliance
  • Profitieren Sie von persönlicher Beratung
  • Bauen Sie ein strukturiertes ISMS mit unserer InfoSec-Plattform auf
  • Automatische Erstellung verpflichtender Dokumente
Certified-Icon

100% Erfolgsquote unserer Kunden bei Audits nach ISO 27001

TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Proaktive statt reaktive Unterstützung
  • Erstellung der wichtigsten Dokumente und Richtlinien
  • Umfassendes Compliance-Management
  • Mitarbeiterschulungen
  • Digitales Compliance-Management-System
  • Beratung durch erfahrene Branchenexperten

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Einhalten der EU-Whistleblower-Richtlinie
  • Digitales Whistleblowing-System
  • Einfache und schnelle Implementierung
  • Zentrale Datenquelle
  • Sicher und gesetzeskonform
  • Klares und transparentes Reporting

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Jetzt Termin vereinbaren