Das EU-KI-Gesetz

Es ist wichtig zu bewerten, ob Ihre Nutzung von KI in die Kategorie 'hohes Risiko' fällt.

logo
PrivacyDocs
Aktualisiert am 3. Februar 2025 · 3 Minuten Lesezeit

Das EU AI-Gesetz (Das Gesetz über Künstliche Intelligenz, Verordnung 2024/1689) stellt für die meisten kleinen und mittleren Unternehmen (KMU) keine zusätzlichen Anforderungen, es sei denn, sie befassen sich mit 'hochriskanten' KI-Systemen.

Mehr dazu

Das EU-KI-Gesetz

Wer muss sich anpassen?

Jedes Unternehmen, das KI-Lösungen in der EU nutzt, entwickelt oder beschafft, muss compliant sein. Die Compliance-Verpflichtungen sind sehr begrenzt, es sei denn, ein Unternehmen beschäftigt sich mit einem 'hochriskanten' KI-System.

Was ist ein Hochrisiko-KI-System?

Ein KI-System wird als hochriskant definiert, wenn:

  • Es handelt sich um eine Sicherheitskomponente, die eine Konformitätsbewertung durch Dritte durchlaufen muss (gültig seit August 2027).
  • Es beinhaltet Biometrie.
  • Es wird in kritischen Infrastrukturen verwendet.
  • Es wird für die Strafverfolgung, Migration oder die Verwaltung von Justiz und demokratischen Prozessen verwendet.
  • Es wird verwendet, um den Zugang zu wesentlichen Dienstleistungen (Gesundheit, Kredit, Notfälle usw.) zu ermöglichen.
  • Es wird in der Beschäftigung, im Management von Arbeitnehmern und im Zugang zur Selbstständigkeit verwendet.
  • Es wird in der Bildung und beruflichen Ausbildung verwendet.

Die EU-Mitgliedstaaten sind frei, die Liste zu ändern.

Kleine Unternehmen verwenden am wahrscheinlichsten bestehende KI-Systeme (genannt 'Deployers') in den letzten beiden Kategorien.

Einsatz eines KI-Systems in Beschäftigung, Bildung oder Ausbildung

Ein KI-System wird als 'hochriskant' angesehen, wenn:

  • Das KI-System wird für die Rekrutierung, Auswahl oder Bewertung von Bewerbern eingesetzt.
  • Das KI-System wird verwendet, um Entscheidungen zu treffen, die die Bedingungen arbeitsbezogener Beziehungen, die Beförderung von Mitarbeitern, die Kündigung, die Zuweisung von Aufgaben oder die Überwachung und Bewertung der Mitarbeiter (oder Auftragnehmer) betreffen.

Ein KI-System wird als 'hochriskant' angesehen, wenn:

  • Das KI-System wird verwendet, um den Zugang oder die Zulassung zu Kursen zu bestimmen.
  • Das KI-System wird verwendet, um Lernergebnisse zu bewerten, Einzelpersonen zu beurteilen oder das verbotene Verhalten von Schülern während Prüfungen zu überwachen und zu erkennen.

Wenn Sie planen, KI in diesen Kontexten zu verwenden, müssen Sie die Vorschriften für Details überprüfen. Das gilt auch, wenn Sie ein handelsübliches KI-System wie Microsoft Copilot, ChatGPT oder Google Gemini verwenden.

DSGVO-Konformität

Besondere Bestimmungen für KI-Systeme werden zusätzlich zu allen anderen DSGVO-Anforderungen, die an die Unternehmen, die sie betreiben, gestellt werden, bereitgestellt. In vielen Aspekten ist das KI-Gesetz eine Weiterentwicklung der Compliance-Anforderungen, die durch die DSGVO auferlegt werden. Aus praktischen Gründen sollten die meisten kleinen Unternehmen ihre Compliance-Bemühungen im Zusammenhang mit dem KI-Gesetz als zusätzlichen Punkt ihrer DSGVO-Compliance-Bemühungen planen und dokumentieren.

Wann tritt das KI-Gesetz in Kraft?

Die Liste der verbotenen KI-Praktiken ist bereits in Kraft. Die meisten Bestimmungen, die für kleine Unternehmen am relevantesten sind, treten im August 2025 in Kraft.