Die europäische KI-Verordnung: Neue Pflichten für Unternehmen ab Februar 2025 (Teil 1)

6. Februar 2025

Am 01.08.2024 ist die europäische Verordnung über künstliche Intelligenz VO 2024/1689 (KI-VO oder AI-Act) in Kraft getreten, die eine neue Ära der Regulierung von Künstlicher Intelligenz (KI) in Europa eingeleitet hat. Da KI-Systeme (z.B. Chat-GPT) mittlerweile im Arbeitskontext beinahe allgegenwärtig sind, müssen sich die meisten Unternehmen auf umfassende rechtliche und ggf. organisatorische Anforderungen einstellen. Betroffen sind insbesondere auch Unternehmen der Infrastruktur- und Versorgungswirtschaft. Auch wenn die Umsetzung der KI-VO stufenweise erfolgt, sieht die Verordnung für Unternehmen seit dem 02.02.2025 erste konkrete Pflichten vor, die den Einsatz von KI-Systemen betreffen. Was müssen Unternehmen danach nun beachten, und welche Rolle spielt dabei die Schulung von Mitarbeitenden?

Ziel und Inhalt der KI-VO

Die europäische KI-VO verfolgt das Ziel, den sicheren und verantwortungsvollen Einsatz von KI in Europa zu gewährleisten. Sie unterscheidet zwischen verschiedenen Risikoklassen von KI-Systemen – von geringem Risiko bis hin zu Hochrisikoanwendungen – und definiert spezifische Anforderungen für jede dieser Klassen. KI-Systeme, die beispielsweise im Bereich kritischer Anlagen in der Energieversorgung oder im Personalwesen eingesetzt werden, unterliegen strengen Auflagen bezüglich Transparenz, Sicherheit, Nachvollziehbarkeit sowie Dokumentation.

Um Regelungslücken zu schließen, erfasst die KI-VO auch bestimmte KI-Modelle, die typischerweise den „trainierten“ KI-Kern darstellen, auf dem ein KI-System aufbaut. Betroffen sind solche KI-Modelle, die aufgrund ihrer universellen Einsetzbarkeit als „General Purpose AI “ (GPAI) zu qualifizieren sind (vgl. Art. 51 KI-VO).

Wesentlichen Pflichten der KI-VO

Die KI-VO verpflichtet in erster Linie die Anbieter von KI-Systemen oder GPAI, sprich solche Unternehmen, die diese entwickeln oder entwickeln lassen und sie in der EU bzw. im EWR unter eigenem Namen oder einer Handelsmarke in Verkehr bringen oder in Betrieb nehmen (Art. 8 ff., 50, 53, 55 KI-VO). Aber auch Anwender (Betreiber) von KI-Systemen, also Unternehmen, die von Anbietern in Verkehr gebrachte KI-Systeme einsetzen wollen, treffen die folgenden, nachgelagerten Kontroll-, Organisations- und Transparenzpflichten beim Einsatz von KI in ihren Betriebs- und Geschäftsabläufen:

  • Risikobewertung und Dokumentation: Unternehmen müssen vor Verwendung eines KI-Systems eine Eigenbewertung vornehmen, ob das für den Einsatz geplante KI-System als verbotene KI oder als Hochrisiko-KI-System klassifiziert werden kann. Verbotene KI-Systeme dürfen nicht verwendet (Art. 5 KI-VO) und Hochrisiko-KI-Systeme nur unter besonderen Vorkehrungen, insbesondere unter menschlicher Aufsicht und mit hinreichenden Systemen zur Cybersicherheit (Art. 16 ff. KI-VO) betrieben werden. Die Bewertung ist aus Nachweis- und Compliance-Gründen zu dokumentieren.
  • Transparenzpflichten: Aber auch die Nutzung von Nicht-Hochrisiko-KI-Systemen löst in bestimmten Anwendungsfällen Transparenzpflichten aus (Art. 50 KI-VO). Diese Pflichten sollen sicherstellen, dass der Einsatz eines KI-Systems für Dritte erkennbar ist. Anwendungsfälle sind der Einsatz von KI-Systemen zur Emotionserkennung und biometrischen Kategorisierung, die Erstellung von Deep Fakes, die künstliche Erzeugung oder Manipulation von Bild-, Audio- oder Videoinhalten, die nicht der Strafverfolgung dienen oder als Kunst zu qualifizieren sind, sowie der KI-Einsatz bei der Generierung von Texten, die keiner menschlichen Überprüfung oder redaktionellen Kontrolle unterliegen.
  • Überwachung und Compliance: Unternehmen sind verpflichtet, die Einhaltung der Anforderungen der KI-VO fortlaufend zu überwachen und bei Veränderungen der eingesetzten KI-Systeme bzw. des Einsatzgebietes oder Einsatzplans eine erneute Bewertung durchzuführen.
  • Schulung von Mitarbeitenden: Schließlich sind Anwender von KI-Systemen verpflichtet, Maßnahmen zu ergreifen, um sicherzustellen, dass ihr Personal und andere Personen, die in ihrem Auftrag mit dem Betrieb und der Nutzung von KI-Systemen befasst sind, über ausreichende KI-Kompetenz verfügen (Art. 4 KI-VO).

Die europäische KI-Verordnung bringt erhebliche regulatorische Anforderungen mit sich, die Unternehmen nicht nur technisch, sondern auch organisatorisch und rechtlich herausfordern. Neben Transparenz- und Dokumentationspflichten müssen Unternehmen insbesondere bei Hochrisiko-KI-Systemen Maßnahmen zur Daten-Governance, Cybersicherheit und menschlichen Kontrolle ergreifen. Auch arbeitsrechtliche Aspekte, wie eine mögliche Mitbestimmung des Betriebsrats, sollten frühzeitig geprüft werden – etwa in einer unternehmensinternen KI-Richtlinie, die den Einsatz von KI im Unternehmen regelt.

Eine entscheidende Voraussetzung für die rechtskonforme Nutzung von KI ist die Qualifikation der Mitarbeitenden. Seit dem 02.02.2025 sind Unternehmen verpflichtet, ihr Personal entsprechend zu schulen, um Compliance-Risiken zu minimieren und den verantwortungsvollen Einsatz von KI sicherzustellen. Welche konkreten Schulungsanforderungen gelten und wie Unternehmen diese umsetzen können, erläutern wir im zweiten Teil.

Ansprechpartner*innen BBH: Axel Kafka/Thomas Schmeding /Lukas Haun/Robert Grützner

Ansprechpartner*innen BBHC: Dr. Andreas Jankiewicz/Christopher Hahne

P.S.: Interessiert an einer unternehmensinternen KI-Schulung oder einer KI-Musterrichtlinie? Kontaktieren Sie gerne die o. g. Ansprechpartner*innen.

Share
Weiterlesen
Dr. Matthias Dümpelmann, Geschäftsführer 8KU GmbH, im Interview

18 März

Interviewreihe: Dr. Matthias Dümpelmann, Geschäftsführer 8KU GmbH

Am 21.5.2025 findet die BBH-Jahreskonferenz in der Französischen Friedrichstadtkirche in Berlin statt. Im Mittelpunkt steht das Thema „Standortfaktor Energie“, welches auch Fragen nach Energiekosten, Energieversorgung, die Energieinfrastruktur aber auch die damit verbundene Bürokratie beinhaltet. Zu den Teilnehmer:innen gehören Entscheider:innen aus...

Weiterlesen
Glasfaserleitungungen Ausbau 1,2 Milliarden Euro vom Bundesministerium für Digitales und Verkehr.

17 März

Gigabitförderung 2.0: 1,2 Milliarden Euro für den Glasfaserausbau

Das Bundesministerium für Digitales und Verkehr (BMDV) startete am 23. Januar dieses Jahres die nächste Runde der Gigabitförderung 2.0, um den Ausbau digitaler Infrastrukturen in Deutschland weiter voranzutreiben. Dafür stehen insgesamt 1,2 Milliarden Euro zur Verfügung. Der Infrastrukturförderaufruf 2025 ist...

Weiterlesen