Viele Kanzleien. Ein starkes Netzwerk.

Regulierungsrahmen für KI

IT-Recht in Deutschland
 

Ein neuer Regulierungsrahmen für KI: Herausforderungen und Chancen für Unternehmen

Von unserem DIRO-Anwälte in Aachen, Herr Joachim Nellissen und Frau Sina Bader, Tel: +49 241 94621128 , E-Mail: bur@dhk-law.com , www.dhk-law.com

Sind Sie bereit für die nächste Stufe beim Einsatz Künstlicher Intelligenz?

Die Bedeutung von Künstlicher Intelligenz (KI) ist für Unternehmen sämtlicher Größenordnungen längst Realität: Sie optimiert Geschäftsabläufe im Kundendienst und Personalmanagement, sowie in der Produktion und Logistik. Insbesondere kleine und mittelständische Unternehmen profitieren von den Effizienzgewinnen durch KI-Anwendungen. Doch seit dem Inkrafttreten der ersten verpflichtenden Regelungen des EU AI Act am 2. Februar 2025 erleben Unternehmen in der Europäischen Union einen fundamentalen Wandel. Mit dem neuen gesetzlichen Rahmen werden Anforderungen an Sicherheit, Nachvollziehbarkeit und Regelkonformität grundlegend neu justiert. Was bedeutet das für die Praxis?

Der rechtliche Rahmen: Was bringt der EU AI Act?

Frage: Warum stellt der EU AI Act einen Meilenstein dar?

Antwort: Erstmals weltweit verabschiedet ein Gesetzgeber ein umfassendes Regelwerk, das die Entwicklung, den Vertrieb und die Verwendung von KI-Systemen systematisch steuert. Der EU AI Act hat das Ziel, Risiken proaktiv zu begrenzen, Missbrauch vorzubeugen und das Vertrauen von Anwendern und der Öffentlichkeit in KI-Lösungen zu stärken. Als Nebeneffekt verschafft die Klarheit des rechtlichen Rahmens Unternehmen mehr Planungssicherheit für ihre Investitionen, was wiederum die Innovationskraft in Europa fördern soll.

Risikoklassifizierung als Leitprinzip

Die Systematik des AI Act unterscheidet zwischen unterschiedlichen Risikostufen von KI-Systemen – ein elementarer Ansatz, um Anforderungen differenziert zu regeln:

Vier Risikostufen im Überblick:

1. Minimales Risiko:

Beispielhafte Anwendungen: Spamfilter, einfache Übersetzungsprogramme. Für diese Systeme sieht der Gesetzgeber keine gesonderten Vorgaben vor.

2. Begrenztes Risiko:

Hierunter fallen etwa Chatbots und KI-basierte Content-Erstellung. Es bestehen Verpflichtungen zur Transparenz: Nutzer müssen erkennen können, dass sie mit einer KI interagieren.

3. Hohes Risiko:

Beispielhaft zu nennen sind KI-Anwendungen für Personalentscheidungen oder medizinische Diagnosen. Diese müssen strengen Vorgaben genügen: Dazu zählen Risikomanagementprozesse, umfangreiche Dokumentation und regelmäßige Kontrollen.

4. Untragbares Risiko (Verbot):

Anwendungen, die grundlegende Rechte gefährden (z.B. Social Scoring oder manipulative KI-Technologien), sind strikt untersagt. Entwicklung und Vertrieb derartiger Systeme sind verboten.

Sonderregelung:

Für sogenannte „General Purpose AI“ – zum Beispiel besonders leistungsfähige Sprachmodelle – gelten je nach konkretem Einsatzzweck zusätzliche Auflagen.

Unternehmenspflichten auf einen Blick

Welche Aufgaben und Verantwortlichkeiten erwachsen Unternehmen beim Umgang mit KI?

  • Feststellung und Nachweis: Es ist zwingend erforderlich, sämtliche KI-Anwendungen im Betrieb zu identifizieren und deren Einsatz schriftlich zu dokumentieren. Diese Bestandsaufnahme bildet das Fundament aller weiteren Compliance-Aktivitäten.
  • Risikobewertung: Jedes KI-System ist einer gesetzlich vorgegebenen Risikokategorie zuzuordnen. Besonders bei Systemen mit hohen Risiken entscheidet diese Einstufung über die weiteren Pflichten.
  • Compliance-Strukturen: Für Hochrisiko-Systeme schreibt der Gesetzgeber ein umfassendes Risikomanagement sowie technische und rechtliche Dokumentation vor. Auch das Markieren mit einer CE-Kennzeichnung sowie Verfahren zur Überwachung und Meldung von Sicherheitsvorfällen sind obligatorisch.
  • Schulungen und Qualifizierung: Die Qualifikation der Belegschaft steht im Fokus: Nicht nur technisches Wissen, sondern auch rechtliche und ethische Kenntnisse müssen regelmäßig vermittelt und gepflegt werden.
  • Laufendes Monitoring: Nationale Behörden überwachen die Einhaltung. Bei Zuwiderhandlungen drohen empfindliche Sanktionen – bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes.

In sechs Schritten zur sicheren KI-Integration

Wie sieht ein praxistauglicher Maßnahmenplan aus?

  1. Analyse: Legen Sie systematisch offen, welche KI-Systeme im Betrieb verwendet werden und dokumentieren Sie deren Einsatzbereiche nachvollziehbar.
  2. Bewertung: Ordnen Sie alle Systeme den jeweiligen Risikokategorien zu – ziehen Sie bei Unsicherheiten fachlichen Rat hinzu.
  3. Compliance gewährleisten: Etablieren Sie ein internes System aus Risikomanagement und Dokumentationspflichten für gegenwärtige und künftige KI-Nutzungen.
  4. Meldewege einrichten: Für Sicherheitsvorfälle muss ein effektiver Prozess zur Erkennung, Meldung und Nachverfolgung existieren, flankiert von kontinuierlicher Überwachung.
  5. Personalentwicklung fördern: Bieten Sie bereichsübergreifende Fortbildungen an, welche Technik, Recht und Ethik gleichermaßen abdecken.
  6. Change Management: Unterstützen Sie den notwendigen Kulturwandel mit gezielten Maßnahmen, um Akzeptanz für veränderte Prozesse zu sichern.

Schlussbetrachtung und Ausblick

Die europäische KI-Regulierung setzt weit mehr als rein formale Anforderungen: Sie fordert proaktives Handeln und langfristiges Denken. Wer frühzeitig in die Compliance und Qualifikation des Personals investiert, verschafft sich nicht nur Rechtssicherheit, sondern tritt auch im Wettbewerb gestärkt auf. Nutzen Sie die Übergangszeit, um technologische und organisatorische Strukturen in Ihrem Unternehmen zukunftssicher aufzustellen – damit KI zur nachhaltigen Säule Ihres Geschäftserfolgs wird.

Sie haben Fragen zum Regulierungsrahmen von KI-Systemen? Sprechen Sie uns gerne an!

Unsere DIRO-Anwälte in Aachen, Herr Joachim Nellissen und Frau Sina bader beraten Sie gerne:

Tel: +49 241 94621128 , E-Mail: bur@dhk-law.com , www.dhk-law.com

Joachim Nellissen

Rechtsanwalt

Fachanwalt für Insolvenzrecht,
Fachanwalt für Steuerrecht

Mehr erfahren

Sina Bader

Rechtsanwältin

Fachanwältin für Informationstechnologierecht

Mehr erfahren

Einwilligung in Cookies und zur Erhebung und Weitergabe Ihrer Nutzerdaten an Dritte

Wir platzieren auf unserer Webseite technisch notwendige Cookies, die die grundlegenden Funktionen der Website gewährleisten und unentbehrlich sind. Für diese Cookies benötigen wir keine Einwilligung, so dass diese Cookies auch dann gesetzt werden, wenn Sie unten „alle ablehnen“ auswählen. Technisch notwendige Cookies verwenden wir, um unsere Dienste anbieten zu können und um vom Nutzer vorgenommene Einstellungen (wie z. B. die präferierte Sprache) zu speichern. Im Falle Ihrer Einwilligung verwenden wir darüber hinaus weitere performancesteigernde Cookies (Statistik und Nutzungsmessung sowie externe Dienste). Die Cookies verwenden wir ausschließlich dazu, unsere Website Ihren Wünschen entsprechend anpassen und weiterentwickeln zu können. Dabei werden Ihre personenbezogenen Daten (IP-Adresse, Nutzerverhalten etc.) verarbeitet und gespeichert, um die obigen Zwecke zu erreichen. Eine Identifizierung Ihrer Person ist durch die Pseudonymisierung der Daten nicht zu befürchten. Die Erläuterung zu den verschiedenen Cookies und datenschutzrechtlichen Vorgängen finden Sie unter „individuelle Einstellungen vornehmen“ oder in unseren Datenschutzhinweisen. Durch die Betätigung eines der untenstehenden Buttons willigen Sie in die Verwendung der jeweils ausgewählten Cookies und gleichzeitig in die Verarbeitung Ihrer personenbezogenen Daten zu oben beschriebenen Zwecken ein. Die Erteilung der Einwilligungen ist freiwillig.

Details finden Sie in unserer Datenschutzerklärung   Hier finden Sie unser Impressum

Einstellungen
Technisch notwendige Cookies

Technisch notwendige Cookies (essentielle Cookies) ermöglichen grundlegende Funktionen und sind für die einwandfreie Funktion der Homepage unentbehrlich. Sie können ohne Einwilligung gesetzt werden und daher nicht abgewählt werden.

DIRO Multisite Cookie

Mit dem DIRO Multisite Cookie werden die von Ihnen selbst vorgenommenen Einstellungen auf dieser Website (z. B. die bevorzugte Sprache) sowie die von Ihnen zugelassenen Inhalte externer Anbieter gespeichert. Dabei werden unter dem Verarbeitungsvorgang DIRO_C_FINGERPRINT die IDs der beim letzten Seitenaufruf vorhandenen zustimmungspflichtigen Dienste, sowie deren Konfigurationseinstellungen und die Zuordnung zu Kategorien im Datenschutz Popup (als verschlüsselte Zeichenfolge) erhoben und gespeichert. Alleiniger Zweck dieser Datenverarbeitung ist die Speicherung der vorgenommenen Einstellungen. Die Speicherung erfolgt für ein Jahr.

Statistik und Nutzungsmessung

Wir möchten unser Angebot für Sie dauerhaft attraktiv gestalten. Dafür sind wir auf Informationen darüber angewiesen, wie unsere Seiten genutzt werden. Dafür erheben wir automatisiert Daten.

Nutzungsmessung mit Matomo

Wir verwenden zur Analyse des Nutzerverhaltens und der Reichweite unserer Website das Website-Analyse-Tool Matomo. Dadurch wird das Cookie „_pk_id“ gesetzt. Durch die Verwendung von Matomo werden 2 Bytes Ihrer IP-Adresse, die aufgerufene Website, die Referrer-Website (Website, von der Sie auf die hier aufgerufene Website gelangt sind), die von der aufgerufenen Website aus aufgerufenen Unterseiten, die Verweildauer und die Häufigkeit des Aufrufs der Website ermittelt und gespeichert. Dies dient allein dem Zweck, anonymisierte statistische Daten darüber zu erlangen, wie Sie die Website nutzen. Die Speicherdauer beträgt im Falle des Cookies pk_ref 6 Monate, im Falle des Cookies _pk_ses 30 Minuten.

Externe Dienste

An einigen Stellen unseres Angebote nutzen wir externe Dienste, um Ihnen bestimmte Inhalte oder Funktionen zuverlässig und komfortabel bereitstellen zu können (z.B. Karten, interaktive Formulare oder Kalender zur Terminvereinbarung).

Videowiedergabe mit Vimeo

Wir verwenden auf unserer Website den externen Dienst Vimeo. Dabei handelt es sich um ein Video-Portal des US-amerikanischen Unternehmens Vimeo.com, Inc., 330 West 34th Street, 5th Floor, New York, New York 10001, USA. Durch das Einbinden von Vimeo-Videos werden Cookies gesetzt, die bei Abrufen des Videos unter anderem Ihre IP-Adresse, den Browser-Typ, Ihr Betriebssystem, Ihr Klickverhalten und Ihre Verweildauer erheben und sodann speichern. Die Speicherung erfolgt auf Servern in den USA, die über keinerlei Datenschutzrecht verfügen. Näheres entnehmen Sie bitte den unter https://vimeo.com/privacy abrufbaren Informationen.

Geographische Karten von OpenStreetMaps

Durch die Einbindung von OpenStreetMaps auf unserer Website setzen wir das Cookie „_osm_location“. Dabei wird Ihre IP-Adresse an den fremden Server von OpenStreetMaps übermittelt, wodurch dieser erfährt, dass Sie unsere Seite besucht haben. Zweck dieser Einbindung ist die Darstellung von Adressen auf einer Karte, die in die Website eingebunden wird. Die Speicherdauer beträgt 1 Jahr.

Terminvereinbarung mit Calendly

Wir verwenden auf unserer Website den externen Dienst Calendly. In diesem Zuge werden Ihre E-Mail-Adresse, weitere Kontaktinformationen, Termininhalte und -daten, sowie alle von Ihnen in diesem Zusammenhang zusätzlich angegebenen Daten erhoben und gespeichert. Dies dient dem alleinigen Zweck, Termine und Gruppentermine online buchbar zu machen. Hierzu wird seitens Calendly eine Webanwendung zur Buchung von Terminvereinbarungen zur Verfügung gestellt. Die Daten werden auf Servern in der USA verarbeitet. Sie stellen Ihre Daten für die Laufzeit des Vertrages mit Calendly zur Verfügung. Näheres zu der Verarbeitung der Daten durch Calendly entnehmen Sie bitte den unter https://calendly.com/legal abrufbaren Informationen.

Details finden Sie in unserer Datenschutzerklärung   Hier finden Sie unser Impressum