Künstliche Intelligenz

KI- Verordnung

Die rapide Popularität von Large Language Modells hat Künstliche Intelligenz (KI) endgültig in den Fokus der Öffentlichkeit gerückt. KI ist eine Schlüsseltechnologie, die Innovationen und Wachstum in vielen Bereichen fördert. Doch birgt sie auch Risiken für die Grundrechte, die Sicherheit und die Demokratie. Um diese Risiken zu minimieren und das Potenzial von KI zu maximieren, hat die EU die KI-Verordnung verabschiedet.

Ein Rechtsrahmen für vertrauenswürdige KI

Der rechtliche Umgang mit KI-Systemen war eine große Herausforderung, da ihre innovative Technik schwer mit bestehenden Normen vereinbar war. Darüber hinaus bestand die Gefahr, dass unterschiedliche Regelungen in den einzelnen Ländern entstehen könnten, was insbesondere die Verbreitung und Entwicklung von KI-Systemen hemmen könnte. Um diese rechtliche Lücke zu schließen, veröffentliche die Europäische Kommission im April 2021 einen Entwurf für eine neue Verordnung zur Regulierung von Künstlicher Intelligenz (KI-VO). Seit dem 01. August 2024 ist das weltweit erste KI-Gesetz in Kraft getreten. Die einzelnen Regelungen der KI-VO treten bis zum 02.08.2026 schrittweise in Kraft.
Ziel der Verordnung ist es, den Binnenmarkt zu harmonisieren, die Entwicklung von KI zu fördern und dabei die Rechte und Freiheiten aller Bürger bei der Entwicklung und dem Einsatz von KI zu schützen.
Ein „KI-System“ ist laut Gesetzesdefinition „ein maschinengestütztes System, das für einen in unterschiedlichem Grade autonomen Betrieb ausgelegt ist und das nach seiner Betriebsaufnahme anpassungsfähig sein kann und das aus den erhaltenen Eingaben für explizite oder implizite Ziele ableitet, wie Ausgaben wie etwa Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen erstellt werden, die physische oder virtuelle Umgebungen beeinflussen können“. Klassische Softwaresysteme, die ausschließlich auf Grundlage von festgelegten Regeln operieren, sind davon nicht umfasst.

Anwendungsbereich der Verordnung

Die KI-Verordnung gilt für Anbieter, Betreiber, Produkthersteller und Händler, die KI-Systeme in der EU in Verkehr bringen oder in Betrieb nehmen. Dabei reicht es aus, dass die vom KI-System hervorgebrachte Ausgabe (Output) in der EU verwendet wird. Der Anwendungsbereich ist ausgeschlossen bei Belangen des Militärs, der nationalen Sicherheit und für KI-Systeme, die eigens für die wissenschaftliche Forschung und Entwicklung entwickelt und verwendet werden.
Anbieter sind natürliche oder juristische Personen, Behörden, Einrichtungen oder sonstige Stellen, die ein KI‑System oder ein KI‑Modell mit allgemeinem Verwendungszweck entwickeln oder entwickeln lassen und es unter ihrem eigenen Namen oder ihrer Handelsmarke in Verkehr bringen oder das KI‑System unter ihrem eigenen Namen oder ihrer Handelsmarke in Betrieb nehmen, sei es entgeltlich oder unentgeltlich.
Betreiber sind natürliche oder juristische Personen, Behörden, Einrichtungen oder sonstige Stellen, die ein KI‑System in eigener Verantwortung verwenden, es sei denn, das KI‑System wird im Rahmen einer persönlichen und nicht beruflichen Tätigkeit verwendet;

Regelungsinhalt

Die KI-VO regelt den gesamten Lebenszyklus eines KI-Systems von der Entwicklung, über das Inverkehrbringen bis zur Nutzung und verfolgt dabei einen risikobasierten Ansatz. Je höher das Risiko bei der Anwendung eingeschätzt wird, desto strenger sind die Vorgaben. Konkret werden KI-Systeme dafür in vier Kategorien aufgeteilt. Diese Kategorien werden anhand ihres Einsatzgebietes beziehungsweise ihrer Zwecksetzung unterschieden. Für alle KI-Systeme gilt, dass Anbieter und Betreiber alle Personen, die mit KI in Berührung kommen (bspw. Angestellte), in angemessenem Maße schulen, damit diese Personen eine grundlegende Kompetenz im Umgang mit KI erlernen. Lesen Sie hierzu auch unseren Artikel über KI-Kompetenz. Die weiteren Vorgaben ergeben sich je nach Risikoeinstufung der KI-Systeme.
Verbotene KI-Systeme sind alle Systeme, die ein inakzeptables Risiko aufweisen. Diese sind besonders schädlich und missbräuchlich und stehen den Werten der EU diametral entgegen. Dazu gehören KI-Systeme, die Menschen manipulieren, diskriminieren oder soziales Scoring betreiben. Das Inverkehrbringen, die Inbetriebnahme oder das Verwenden solcher KI-Systeme sind strikt untersagt.
Die Regulierung von Hochrisiko-KI-Systemen steht im Mittelpunkt der KI-Verordnung. Hiervon umfasst sind KI-Systeme, die potenziell erhebliche Risiken der Beeinträchtigung von Gesundheit, Sicherheit oder der Grundrechte der Menschen mit sich bringen. Die Einordnung, ob es sich um ein Hochrisiko KI-System handelt, orientiert sich am Einsatzgebiet und der Zweckbestimmung. Nach der Vorschrift liegt ein Hochrisiko-KI-System vor, wenn das System als Sicherheitsbauteil eines in Anhang I der KI-VO aufgeführten Produkts verwendet wird oder selbst ein solches Produkt ist (z.B. Spielzeug; Medizinprodukte).
Daneben verweist die Verordnung auf die Anlage III, in der bestimmte anwendungsbezogene Hochrisiko-Systeme aufgeführt sind. Darunter fallen KI-Systeme im Personalmanagement, in kritischer Infrastruktur oder in der Asyl- und Grenzkontrolle. Die EU-Kommission kann diese Liste an neue Gegebenheiten anpassen.
An solche KI-Systeme werden künftig umfangreiche Anforderungen gestellt, wie z. B. ein Risikomanagement, Cybersicherheit und eine Sicherstellung menschlicher Aufsicht. Die Anbieter der Systeme treffen zudem umfangreiche Pflichten. So müssen die Anbieter beispielsweise ein Konformitätsbewertungsverfahren durchlaufen, über ein Qualitätsmanagementsystem verfügen und die KI-Systeme bei einer zentralen EU-Datenbank registrieren.
Für KI-Systeme mit beschränktem Risiko gelten einzig besondere Transparenzpflichten. Nutzer müssen darüber informiert werden, wenn sie mit einem KI-System interagieren. Anbieter von KI-Systemen, die synthetische Audio-, Bild-, Video- oder Textinhalte erzeugen, müssen die Ausgaben des KI-Systems KI-VO in einem maschinenlesbaren Format kennzeichnen und als künstlich erzeugt oder manipuliert erkennbar machen. Betreiber müssen ebenfalls offenlegen, falls Inhalte durch KI erzeugt oder manipuliert wurden.
KI-Systeme, die unter keine der Kategorien fallen, sind Systeme mit minimalem Risiko. Diese können freiwillig einen Verhaltenskodex befolgen. Dazu gehören KI-Systeme, die für die Filterung von Inhalten verwendet werden (Spam-Filter).
KI-Modelle für allgemeine Zwecke sind große Sprachmodelle (LLM oder General Purpose AI) wie ChatGPT, die nicht für einen bestimmten Zweck entwickelt wurden, sondern vielfältig einsetzbar sind und als Basis für unterschiedliche andere KI-Systeme dienen. Bei diesen Modellen treffen die Anbieter andere Pflichten, wie eine umfassende Dokumentation von Training und Tests. Genauere Angaben zur technischen Dokumentation sin in Anhang XI der KI-VO aufgeführt.
Die EU-Kommission ist verpflichtet spätestens 18 Monate nach Inkrafttreten der KI‑Verordnung Leitlinien zu veröffentlichen, die den praktischen Umgang mit der KI-VO vereinfachen sollen. Diese sollen konkrete Handlungsempfehlungen beim Einsatz der KI-Systeme bieten. Eine Übersicht über die geplanten Leitlinien finden Sie auf der Webseite der EU-Kommission.
Zudem finden Sie über den KI-Service Desk der Bundesnetzagentur praxisbezogene Hinweise und Erläuterungen.

Welche Sanktionen drohen bei Verstößen gegen die KI-Verordnung?

Jeder Mitgliedstaat muss eine nationale Aufsichtsbehörde benennen, die für die Überwachung der Einhaltung der Verordnung zuständig ist. Die Aufsichtsbehörde kann bei Verstößen verschiedene Maßnahmen ergreifen, z. B. Warnungen, Anordnungen, Sanktionen oder Verbote. In Deutschland übernimmt die Bundesnetzagentur die Rolle der Aufsichtsbehörde.
Die KI-Verordnung sieht hohe Geldbußen für Verstöße gegen die Verordnung vor, die bis zu 7 % oder 35 000 000 EUR des weltweiten Jahresumsatzes eines Unternehmens betragen können. Diese Angabe im Gesetz stellt die Höchstgrenze der möglichen Bußgelder dar. Diesen Aufbau kennt man bereits aus der Datenschutz-Grundverordnung. Die Höhe der Bußgelder liegt im Ermessen der Aufsichtsbehörde und richtet sich nach dem Umsatz der Unternehmen und der Schwere der Verfehlungen. In der Praxis hat sich bei der DSGVO gezeigt, dass die Kooperationsbereitschaft der Unternehmen bei der Aufarbeitung von Missständen einen erheblichen Einfluss auf die Höhe der Bußgelder hat. Je kooperativer die Unternehmen waren desto geringen fielen in der Vergangenheit auch die Bußgelder aus.
Die gleiche Handhabe kann auch in Bezug auf die KI-VO erwartet werden.

Fazit

Die KI-Verordnung der EU ist ein wichtiger Schritt, um einen Rechtsrahmen für vertrauenswürdige KI zu schaffen. Vor dem Einsatz von KI-Systemen sollten sich Anbieter und Nutzer gründlich mit den rechtlichen Bestimmungen vertraut machen. Bestehende gesetzliche Unklarheiten und Fragen bezüglich der praktischen Umsetzung sollten in den nächsten Monaten durch Leitlinien der Behörden beantwortet werden. Auch wenn KI große Chancen bietet, sollte daher immer eine Risikoabwägung durchgeführt werden.

Stand: 03/2026