Pflichten für Unternehmen aus der KI-Verordnung plus Checkliste

Geschrieben von Stefan Kröger

Mai 6, 2025

Informationssicherheit und Datenschutz

Pflichten für Unternehmen aus der KI-Verordnung plus Checkliste

 

Einleitung

Mit dem Inkrafttreten der europäischen KI-Verordnung (AI Act) stehen Unternehmen vor neuen, bedeutenden Anforderungen. Die Verordnung zielt darauf ab, Innovation im Bereich Künstlicher Intelligenz zu fördern und gleichzeitig ein hohes Maß an Sicherheit und Grundrechtsschutz zu gewährleisten. Besonders Unternehmen, die KI-Systeme entwickeln, anbieten oder einsetzen, sind nun verpflichtet, zahlreiche Vorgaben einzuhalten. Im Folgenden werden die wichtigsten Pflichten aus der KI-Verordnung für Unternehmen dargestellt.

Kategorisierung von KI-Systemen

Ein zentrales Element der Verordnung ist die Einstufung von KI-Systemen nach ihrem Risiko:

  • Unannehmbares Risiko: KI-Systeme, die gegen Grundrechte verstoßen (z.B. soziale Bewertungssysteme), sind grundsätzlich verboten.
  • Hohes Risiko: Systeme, die etwa in den Bereichen kritische Infrastruktur, Bildung, Beschäftigung oder Strafverfolgung eingesetzt werden, unterliegen strengen Anforderungen.
  • Geringes oder minimales Risiko: Hier bestehen nur Transparenzpflichten oder freiwillige Verhaltensregeln.

Pflicht: Unternehmen müssen ihre KI-Systeme kategorisieren und die jeweils entsprechenden Maßnahmen ergreifen.

 

Anforderungen für Hochrisiko-KI-Systeme

Wer Hochrisiko-KI-Systeme entwickelt oder einsetzt, muss besonders umfangreiche Pflichten erfüllen:

  1. Risikomanagementsystem

Unternehmen müssen ein kontinuierliches Risikomanagement etablieren, das Gefahren für Gesundheit, Sicherheit und Grundrechte frühzeitig erkennt und mindert.

  1. Daten- und Datensatzqualität

Die verwendeten Datensätze müssen:

  • von hoher Qualität sein,
  • relevante demografische Aspekte abbilden,
  • Verzerrungen (Bias) möglichst ausschließen.

Dies soll Diskriminierungen vermeiden und die Fairness der Systeme gewährleisten.

  1. Technische Dokumentation und Konformitätserklärung

Vor dem Inverkehrbringen eines KI-Systems müssen Unternehmen:

  • eine umfassende technische Dokumentation erstellen,
  • eine Konformitätserklärung abgeben, die die Einhaltung aller Vorschriften bestätigt.

Die Dokumentation muss aktuell gehalten werden und Behörden auf Anfrage vorgelegt werden können.

  1. Transparenz- und Informationspflichten

Nutzer müssen klar und verständlich informiert werden:

  • dass sie mit einem KI-System interagieren,
  • welche Funktionen das System hat,
  • welche Risiken bestehen.

Bei biometrischer Identifikation oder Deepfakes gelten zusätzliche Offenlegungspflichten.

  1. Überwachung und menschliche Aufsicht

Hochrisiko-KI-Systeme müssen so gestaltet werden, dass eine menschliche Überwachung möglich ist, um bei Fehlverhalten oder Gefährdung eingreifen zu können.

 

Registrierungspflichten

Für bestimmte Hochrisiko-KI-Systeme besteht die Pflicht, diese in einer von der EU-Kommission verwalteten Datenbank zu registrieren. Dadurch wird Transparenz gegenüber Behörden und der Öffentlichkeit geschaffen.

 

Verpflichtungen für Importeure, Händler und Nutzer

Nicht nur Hersteller, sondern auch Importeure und Händler haben Pflichten:

  • Überprüfung der Konformität vor dem Vertrieb,
  • Sicherstellung, dass Systeme korrekt installiert und angewendet werden.

Nutzer von Hochrisiko-KI müssen:

  • Systeme gemäß den Anleitungen betreiben,
  • Auffälligkeiten melden,
  • geeignete Aufsichtsmaßnahmen ergreifen.

 

Sanktionen und Strafen

Bei Verstößen gegen die KI-Verordnung drohen empfindliche Geldbußen:

  • Bis zu 30 Millionen Euro oder 6 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist).

Besonders schwerwiegend werden Verstöße gegen das Verbot unannehmbarer KI-Systeme oder die Nichterfüllung zentraler Verpflichtungen geahndet.

 

Ausblick: Chancen und Herausforderungen

Die KI-Verordnung stellt eine der weltweit ersten umfassenden Regulierungen im Bereich Künstlicher Intelligenz dar. Sie soll das Vertrauen in KI-Technologien stärken und den europäischen Binnenmarkt für innovative Lösungen attraktiv machen.

Für Unternehmen ergeben sich daraus sowohl Herausforderungen als auch Chancen:

  • Herausforderungen: Hoher Aufwand bei Compliance, insbesondere für KMU; Anpassung bestehender Produkte und Prozesse.
  • Chancen: Wettbewerbsvorteile durch zertifizierte, vertrauenswürdige KI-Produkte; Zugang zu neuen Märkten durch erhöhte Rechts- und Verbrauchersicherheit.

Unternehmen sind gut beraten, sich frühzeitig auf die neuen Anforderungen vorzubereiten, interne Prozesse zu etablieren und gegebenenfalls externe Expertise einzubinden.

 

Fazit

Die Pflichten aus der KI-Verordnung sind umfassend und betreffen nahezu jeden Aspekt des Lebenszyklus eines KI-Systems. Unternehmen müssen sicherstellen, dass sie rechtzeitig geeignete Compliance-Strukturen aufbauen, um die neuen regulatorischen Anforderungen zu erfüllen. Wer proaktiv handelt, kann nicht nur Sanktionen vermeiden, sondern auch die eigenen Marktchancen erheblich verbessern.

 

To-Do-Liste: Vorbereitung auf die KI-Verordnung

 

1. Strategische Vorbereitung

  • Bestandsaufnahme aller eingesetzten oder entwickelten KI-Systeme.
  • Kategorisierung der KI-Systeme nach Risiko (unannehmbar, hoch, begrenzt, minimal).
  • Definition einer KI-Compliance-Strategie (Verantwortlichkeiten, Prozesse, Zeitplan).

2. Technische und organisatorische Maßnahmen

  • Einführung eines Risikomanagementsystems speziell für KI-Anwendungen.
  • Auditierung und Verbesserung der Datenqualität (Bias-Prüfung, Diversität).
  • Entwicklung einer technischen Dokumentation für jedes Hochrisiko-System.
  • Implementierung von Überwachungsmechanismen für menschliche Kontrolle.
  • Erstellung und Pflege einer Konformitätserklärung für jedes KI-System.

3. Rechtliche und regulatorische Maßnahmen

  • Identifikation der Registrierungspflichten für Hochrisiko-KI-Systeme.
  • Durchführung von Konformitätsbewertungsverfahren (intern oder mit Dritten).
  • Überprüfung und Anpassung von Verträgen mit Lieferanten, Kunden und Partnern.

4. Kommunikation und Transparenz

  • Erstellung von Nutzerinformationen zu den eingesetzten KI-Systemen (Zweck, Risiken, Funktionsweise).
  • Implementierung von Offenlegungspflichten bei biometrischer Identifikation, Deepfakes oder vollautomatisierten Entscheidungen.
  • Etablierung von Meldewegen für Zwischenfälle oder Fehlfunktionen bei der Nutzung von KI.

5. Schulung und Sensibilisierung

  • Schulungen für Entwickler, Compliance-Teams und Management zu den Anforderungen der KI-Verordnung.
  • Awareness-Programme für alle Mitarbeitenden, die mit KI-Systemen interagieren.

6. Technologische Anpassungen

  • Überprüfung bestehender IT-Architektur auf Kompatibilität mit KI-spezifischen Sicherheitsanforderungen.
  • Erweiterung der Monitoring- und Logging-Systeme für Nachvollziehbarkeit und Reporting.

7. Zusammenarbeit und externe Unterstützung

  • Einbindung von Datenschutzbeauftragten und IT-Sicherheitsexperten in die KI-Compliance-Teams.
  • Zusammenarbeit mit externen Zertifizierungsstellen für Hochrisiko-KI.
  • Verfolgung neuer Leitlinien und Normen von EU-Behörden (z.B. harmonisierte Normen, Standards).

Hinweis:

Ein proaktiver, systematischer Ansatz spart später viel Aufwand bei Audits, Zertifizierungen und reduziert Risiken von Bußgeldern erheblich.

Kontakt

Autor

  • Stefan Kröger ist zertifizierter Datenschutz- und Datensicherheitsexperte. Er verfügt über langjährige Projekterfahrung in den Bereichen Datenqualität, Datenschutz, Datensicherheit, Compliance und gesetzliche Rahmenbedingungen und Richtlinien. Stefan ist Geschäftsführer der Audit NRW GmbH und langjähriger Partner der ADVASO GmbH.

    Alle Beiträge ansehen