Mit dem Inkrafttreten der EU-Verordnung über Künstliche Intelligenz (AI Act / KI-VO) am 1. August 2024 wurde erstmals ein europaweit gültiger Rechtsrahmen für den Einsatz von KI-Systemen etabliert. Die Verordnung richtet sich an Anbieter, Betreiber und Nutzer von KI-Anwendungen und begründet umfassende Transparenz-, Dokumentations- und Sorgfaltspflichten, deren Nichteinhaltung erhebliche Abmahn-, Haftungs- und Bußgeldrisiken nach sich ziehen kann.
Der AI Act wird im Rahmen einer 24-monatigen Übergangsphase schrittweise anwendbar. Bereits ab dem 2. Februar 2025 gelten die Regelungen zu den so genannten verbotenen KI-Praktiken, insbesondere für Systeme mit unvertretbarem Risiko für Grundrechte. Weitere Governance- und Organisationspflichten für Unternehmen sind ab dem 2. August 2025 verbindlich.
Für Unternehmen, Agenturen und Softwareanbieter besteht daher ein dringender Beratungsbedarf im IT-Recht, insbesondere in den Bereichen:
Eine frühzeitige rechtliche Bewertung des KI-Einsatzes ist entscheidend, um Verstöße gegen den AI Act rechtssicher zu vermeiden.
Der Einsatz von künstlicher Intelligenz ist heutzutage in nahezu allen Branchen anzutreffen: von Marketing und Personalwesen bis hin zu Softwareentwicklung, Finanzdienstleistungen und Industrie. Daher ist auch der Begriff des KI-Systems in der EU-KI-Verordnung (AI Act / KI-VO) entsprechend umfassend definiert.
Gemäß der gesetzlichen Definition handelt es sich bei einem KI-System um ein maschinengestütztes System, das mit einem variablen Maß an Autonomie betrieben wird und nach seiner Inbetriebnahme anpassungsfähig sein kann.
<spanEin solches System ist darauf ausgelegt, auf Basis expliziter oder impliziter Zielvorgaben aus den verarbeiteten Eingabedaten eigenständig Ausgaben zu erzeugen, beispielsweise in Form von Prognosen, Inhalten, Empfehlungen oder Entscheidungen.
Diese Ausgaben können sowohl physische als auch digitale Prozesse und Umgebungen beeinflussen, was die erhebliche rechtliche Relevanz des Einsatzes von KI unterstreicht.
Wegen der weiten Legaldefinition fallen unter den Anwendungsbereich der KI-VO nicht nur komplexe Hochtechnologie, sondern auch viele alltägliche Softwarelösungen, die bislang nicht als klassische KI angesehen wurden.
Die EU-KI-Verordnung (AI Act / KI-VO) richtet sich an nahezu alle Akteure entlang der gesamten KI-Wertschöpfungskette und hat somit eine ausgesprochen umfassende Wirkung. Im Mittelpunkt der Regulierung stehen insbesondere Anbieter und Betreiber von KI-Systemen. Beide Begriffe sind in der Verordnung eindeutig definiert und absichtlich weit gefasst, was in der Praxis zu erheblichen Abgrenzungs- und Haftungsfragen führt.
Als Anbieter wird jedes Unternehmen betrachtet, das KI-Systeme oder KI-Modelle mit allgemeinem Verwendungszweck in der Europäischen Union in den Verkehr bringt oder in Betrieb nimmt. Dabei ist es unerheblich, ob das Unternehmen seinen Sitz innerhalb der EU oder in einem Drittstaat hat. Entscheidend ist allein, dass das KI-System im EU-Markt eingesetzt wird oder seine Ergebnisse Auswirkungen innerhalb der Europäischen Union haben.
Betreiber ist jedes Unternehmen, das KI-Systeme im beruflichen oder geschäftlichen Kontext verwendet. Dies gilt unabhängig davon, ob der Einsatz der KI bewusst erfolgt oder etwa indirekt über integrierte Softwarelösungen, Cloud-Dienste oder externe Tools. Damit fallen auch Unternehmen unter den Anwendungsbereich der KI-VO, die KI lediglich unterstützend oder indirekt nutzen.
Gerade aufgrund dieser weitreichenden Anwendbarkeit bestehen erhebliche Risiken für Rechtsverstöße, Abmahnungen und Bußgelder, wenn Rollen, Verantwortlichkeiten und Pflichten gemäß der KI-Verordnung falsch eingeordnet werden.
Die EU-KI-Verordnung (AI Act) verfolgt einen risikobasierten Regulierungsansatz. Entscheidend ist das jeweilige Gefährdungspotenzial eines KI-Systems für Grundrechte, Sicherheit und gesellschaftliche Interessen. Auf dieser Basis unterscheidet der AI Act vier Risikostufen, denen unterschiedliche regulatorische Pflichten und Eingriffsintensitäten zugeordnet sind. Die strengste Kategorie betrifft KI-Systeme mit einem unannehmbaren Risiko.
KI-Anwendungen, die als unannehmbares Risiko eingestuft werden, gelten als verbotene Praktiken. Ihr Einsatz ist in der Europäischen Union seit dem 2. Februar 2025 vollständig untersagt. Solche Systeme dürfen weder entwickelt noch in den Verkehr gebracht, betrieben oder genutzt werden.
Der AI Act benennt ausdrücklich bestimmte Anwendungsfälle, die stets als unzulässig gelten. Dazu zählen insbesondere:
Der Katalog der verbotenen Praktiken kann künftig von der EU-Kommission erweitert werden. Die Abgrenzung zu Hochrisiko-KI ist im Einzelfall rechtlich anspruchsvoll und birgt erhebliche Abmahn- und Bußgeldrisiken, insbesondere bei Social-Scoring- oder manipulativen Anwendungen.
Die EU-KI-Verordnung (AI Act) klassifiziert bestimmte KI-Anwendungen als Hochrisiko-KI-Systeme, wenn von ihnen ein erhebliches Gefährdungspotenzial für die Gesundheit, Sicherheit oder die Grundrechte natürlicher Personen ausgeht. Diese Systeme sind nicht grundsätzlich verboten, dürfen jedoch nur unter strengen gesetzlichen Bedingungen eingesetzt werden.
Der AI Act unterscheidet zwei Kategorien von Hochrisiko-KI-Systemen.
Produktintegrierte Hochrisiko-KI (Embedded High-Risk AI)
Hierzu zählen KI-Systeme, die selbst ein reguliertes Produkt darstellen oder als sicherheitsrelevantes Bauteil in ein physisches Produkt integriert sind. Sie unterliegen bereits bestehenden EU-Produktsicherheitsvorschriften gemäß Anhang I des AI Act und müssen ein entsprechendes Konformitätsbewertungsverfahren durchlaufen.
Autonome Hochrisiko-KI-Systeme (Non-Embedded High-Risk AI)
Diese Systeme werden aufgrund ihres spezifischen Einsatzbereichs als hochriskant angesehen, unabhängig davon, ob sie Teil eines regulierten Produkts sind. Entscheidend sind die in Anhang III des AI Act aufgeführten sensiblen Anwendungsfelder. Dazu zählen insbesondere Biometrie, kritische Infrastrukturen, Bildung, Beschäftigung und Personalmanagement, Kredit- und Versicherungswesen, Strafverfolgung, Migration sowie Justiz und demokratische Prozesse.
Es ist wichtig zu beachten, dass das Profiling natürlicher Personen stets als Hochrisiko-KI eingestuft wird.
Für autonome Hochrisiko-KI-Systeme besteht unter engen Voraussetzungen die Möglichkeit, einen Gegenbeweis zu führen. Dies ist zulässig, wenn das KI-System:
Typische Beispiele hierfür sind einfache Lebenslaufanalysen oder Dokumentenkategorisierungen. Die Erfüllung dieser Bedingungen ist vollständig zu dokumentieren und den zuständigen Behörden auf Verlangen vorzulegen.
Hochrisiko-KI-Systeme unterliegen umfangreichen technischen, organisatorischen und dokumentarischen Pflichten. Dazu gehören insbesondere ein durchgängiges Risikomanagement über den gesamten Lebenszyklus, Anforderungen an Genauigkeit, Robustheit und Cybersicherheit sowie die Durchführung von Konformitätsbewertungen einschließlich CE-Kennzeichnung und Registrierung in einer EU-Datenbank. Ergänzend sind Maßnahmen zur menschlichen Aufsicht, zur Schulung der Mitarbeitenden und zur laufenden Risikoüberwachung erforderlich.
Anwendbarkeit
Für autonome Hochrisiko-KI-Systeme gelten die Pflichten ab dem 2. August 2026.
Für produktintegrierte Hochrisiko-KI-Systeme treten sie ab dem 2. August 2027 in Kraft.
Setzen Sie KI in sensiblen Bereichen ein oder entwickeln Sie diese? Wir stehen Ihnen zur Seite, um die Einstufung als Hochrisiko-KI vorzunehmen, die gesetzlichen Pflichten umzusetzen und Abmahnungen, Bußgeldern sowie behördlichen Maßnahmen vorzubeugen.
Die EU-KI-Verordnung (AI Act) ordnet KI-Anwendungen mit mittlerem beziehungsweise spezifischem Risiko solchen Systemen zu, die gezielt mit Menschen interagieren oder Inhalte generieren. Dazu zählen wir insbesondere Chatbots, Sprachassistenten sowie KI-Systeme zur Erstellung von Text-, Bild-, Audio- oder Videoinhalten. Das erhöhte regulatorische Augenmerk ergibt sich aus dem besonderen Manipulations- und Irreführungspotenzial dieser Anwendungen.
Unternehmen, die solche KI-Systeme einsetzen oder bereitstellen, unterliegen daher erweiterten Transparenzpflichten. Nutzer müssen eindeutig erkennen können, dass sie mit einer KI kommunizieren. Darüber hinaus gelten für Deepfakes und vergleichbare KI-generierte Medieninhalte besondere Kennzeichnungs- und Offenlegungspflichten, um Täuschungen wirksam zu vermeiden.
Die einschlägigen Vorgaben des AI Act gelten für Anbieter und Betreiber von KI-Systemen mit mittlerem Risiko ab dem 2. August 2025. Ab diesem Zeitpunkt sind insbesondere Anforderungen an die Datenqualität und Daten-Governance, an Dokumentations- und Aufzeichnungspflichten sowie an Transparenz und Informationsbereitstellung zu erfüllen. Ergänzend verlangt die Verordnung Maßnahmen zur menschlichen Aufsicht sowie zur Gewährleistung von Robustheit, Genauigkeit und Sicherheit der Systeme.
Die konkrete Umsetzung dieser Pflichten ist im Einzelfall rechtlich anspruchsvoll und mit erheblichen Abmahn- und Haftungsrisiken verbunden. Vor diesem Hintergrund ist eine begleitende IT-rechtliche Beratung in der Praxis regelmäßig empfehlenswert.
Nutzen Sie Chatbots, generative KI oder Deepfake-Technologien? Wir überprüfe nIhre Systeme auf die Konformität mit dem AI-Act, unterstütze Sie bei der Kennzeichnungspflicht und helfen Ihnen, Abmahnungen sowie behördliche Maßnahmen zu vermeiden.
Die niedrigste Regulierungsstufe der EU-KI-Verordnung (AI Act) betrifft KI-Systeme mit geringem oder vernachlässigbarem Risiko. Hierzu zählen insbesondere alltägliche Anwendungen, die keine relevanten Gefahren für Gesundheit, Sicherheit oder Grundrechte darstellen. Typische Beispiele sind Spamfilter, KI-Funktionen in Videospielen oder personalisierte Empfehlungs- und Suchsysteme.
Für diese Kategorie sieht der AI Act keine zusätzlichen gesetzlichen Pflichten für Anbieter oder Betreiber vor. Es bestehen insbesondere keine besonderen Transparenz-, Dokumentations- oder Meldepflichten, ebenso ist keine behördliche Genehmigung erforderlich. Zwar ist die Verordnung bereits am 1. August 2024 in Kraft getreten, entfaltet in diesem Bereich jedoch keine unmittelbaren regulatorischen Eingriffe.
Dennoch empfiehlt der Gesetzgeber eine verantwortungsvolle Nutzung auch bei geringem Risiko. Unternehmen können freiwillig Verhaltenskodizes, interne Richtlinien oder Governance-Strukturen etablieren, um Transparenz zu schaffen und sich frühzeitig auf mögliche zukünftige Anforderungen vorzubereiten.
Wichtig:
Auch wenn der AI Act hier keine spezifischen Vorgaben macht, bleiben andere Rechtsgebiete uneingeschränkt anwendbar – insbesondere Datenschutzrecht, Arbeitsrecht und Wettbewerbsrecht. Eine fehlerhafte Risikoeinstufung kann daher erhebliche Abmahn- und Haftungsrisiken nach sich ziehen.
Seien Sie sich sicher, dass Ihre KI-Anwendung tatsächlich der Niedrigrisikokategorie zuzuordnen ist? Wir prüfen Ihre Systeme rechtlich, nehmen eine Risikoeinstufung nach dem AI Act vor und helfen Ihnen, Fehleinschätzungen sowie spätere Abmahnungen zu vermeiden.
Der EU AI Act (KI-Verordnung) verpflichtet Unternehmen ausdrücklich dazu, ein angemessenes Maß an KI-Kompetenz („AI Literacy“) sicherzustellen. Nach Artikel 4 AI Act, der ab dem 2. Februar 2025 in Kraft tritt, müssen alle Personen, die beruflich mit KI-Systemen arbeiten, über die notwendigen Kenntnisse, Fähigkeiten sowie rechtliche Grundlagen verfügen, um KI sachkundig und verantwortungsvoll zu nutzen.
Diese Verpflichtung gilt unabhängig von der Risikoklasse des verwendeten KI-Systems und betrifft sämtliche Anbieter und Betreiber, unabhängig von der Unternehmensgröße oder Branche. Auch der Einsatz von KI über Drittsoftware, integrierte Anwendungen oder externe Tools fällt ausdrücklich in den Anwendungsbereich der Verordnung.
Zwar legt der AI Act keine konkreten Schulungsformate fest, jedoch müssen Unternehmen sicherstellen, dass ihre Mitarbeitenden die mit dem KI-Einsatz verbundenen Risiken und Chancen ebenso verstehen wie die rechtlichen und ethischen Anforderungen. Zur Orientierung und freiwilligen Umsetzung unterstützt die Europäische Union gemäß Artikel 95 AI Act Verhaltenskodizes sowie geeignete Governance-Strukturen.
Zusätzlich gilt ab dem 2. August 2026 eine Kennzeichnungspflicht für öffentlich verbreitete KI-generierte Inhalte, insbesondere für Texte, Bilder, Audio- oder Videoinhalte mit potenziellem Irreführungscharakter. Ausnahmen bestehen unter anderem für künstlerische, wissenschaftliche oder redaktionell kontrollierte Nutzungen.
Bei Verstößen gegen die Vorgaben des AI Act drohen empfindliche Sanktionen in Form von Bußgeldern von bis zu 15 Millionen Euro oder bis zu 3 Prozent des weltweiten Jahresumsatzes.
Entsprechen Ihre Schulungs- und Kennzeichnungsprozesse den Vorgaben des AI-Acts? Wir stehe Ihnen bei der rechtssicheren Umsetzung, der Vermeidung von Abmahnungen und der Compliance-Prüfung Ihres KI-Einsatzes zur Seite.
Der EU AI Act (KI-Verordnung) stellt Unternehmen, Aufsichtsräte und das Management vor erhebliche rechtliche und organisatorische Herausforderungen. Als auf IT-Recht und KI-Regulierung spezialisierter Rechtsanwalt unterstützen wir Sie dabei, die gesetzlichen Anforderungen rechtssicher umzusetzen und Haftungsrisiken für Unternehmen, Geschäftsleitung und Mitarbeitende nachhaltig zu reduzieren.
Meine Leistungen im Überblick
Wir beraten Sie umfassend bei der KI-spezifischen Vertragsgestaltung. Dazu gehört insbesondere die Gestaltung und Prüfung von KI-bezogenen Verträgen mit Fokus auf Haftungsregelungen, Risikoverteilung, Kontroll- und Auditrechte sowie die rechtssichere Einbindung externer KI-Dienstleister und Cloud-Anbieter.
Ein weiterer Schwerpunkt liegt im Aufbau tragfähiger Governance-Strukturen, mit denen der Einsatz von KI strategisch gesteuert und regulatorische Risiken frühzeitig erkannt werden können.
Meine KI-Compliance-Beratung umfasst unter anderem:
Darüber hinaus erstellen wir maßgeschneiderte KI-Richtlinien, die für Unternehmen jeder Größe und Branche eine zentrale Grundlage für einen rechtskonformen, verantwortungsvollen und transparenten KI-Einsatz bilden.
Der EU AI Act stellt eine direkt anwendbare Verordnung der EU dar, die den Einsatz von künstlicher Intelligenz umfassend regelt und insbesondere die Grundrechte, Transparenz, Sicherheit sowie Haftungsfragen im Zusammenhang mit dem Einsatz von KI schützt.
Der AI Act trat am 1. August 2024 in Kraft und wird schrittweise bis 2027 angewendet, wobei die Umsetzung von der Risikoklasse und der Art des verwendeten KI-Systems abhängt.
Ein KI-System ist ein maschinelles System, das mit variierendem Autonomiegrad Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen generiert und somit physische oder digitale Abläufe beeinflusst.
Der AI Act differenziert zwischen verbotener KI, Hochrisiko-KI, KI mit mittlerem oder spezifischem Risiko sowie KI mit geringem oder keinem Risiko, wobei jeweils unterschiedliche Pflichten bestehen.
Unter anderem sind Social Scoring, manipulative KI, die Erkennung von Emotionen am Arbeitsplatz sowie die biometrische Echtzeit-Gesichtserkennung im öffentlichen Raum untersagt, da sie die Grundrechte erheblich gefährden.
Hochrisiko-KI sind Anwendungen, die einen erheblichen Einfluss auf die Gesundheit, Sicherheit oder die Grundrechte ausüben, beispielsweise im Bereich des Recruitings, der Biometrie, der Kreditvergabe, der Bildung, der Strafverfolgung oder der Justiz.
Hochrisiko-KI unterliegt strengen Vorgaben, insbesondere in Bezug auf Risikomanagement, Dokumentation, Transparenz, menschliche Aufsicht, Konformitätsbewertung, CE-Kennzeichnung und die Registrierung in einer EU-Datenbank.
Ab dem 2. August 2026 ist man verpflichtet, KI-generierte Inhalte, insbesondere Deepfakes, klar zu kennzeichnen, wenn sie als von Menschen erstellt wahrgenommen werden könnten.
Ja. Art. 4 des AI Act verpflichtet Unternehmen seit dem 2. Februar 2025 dazu, ein angemessenes Maß an KI-Kompetenz (AI Literacy) bei allen Mitarbeitenden, die mit KI arbeiten, sicherzustellen.
Das ist nicht unbedingt der Fall. Selbst unterstützende KI kann reguliert werden. Ein Gegenbeweis gegen die Einstufung als Hochrisiko-KI ist nur unter strengen Voraussetzungen möglich.
Mo. – Do.: 08:00 – 17:30 Uhr | Fr.: 08:00 – 14:00 Uhr
Sie sehen gerade einen Platzhalterinhalt von reCAPTCHA. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von Vimeo. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenSie müssen den Inhalt von reCAPTCHA laden, um das Formular abzuschicken. Bitte beachten Sie, dass dabei Daten mit Drittanbietern ausgetauscht werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von Google Maps. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von Vimeo. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von Instagram. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von Google Maps. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenSie müssen den Inhalt von hCaptcha laden, um das Formular abzuschicken. Bitte beachten Sie, dass dabei Daten mit Drittanbietern ausgetauscht werden.
Mehr InformationenSie müssen den Inhalt von reCAPTCHA laden, um das Formular abzuschicken. Bitte beachten Sie, dass dabei Daten mit Drittanbietern ausgetauscht werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von Turnstile. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr Informationen
