Am 2. Februar 2025 tritt die zweite Stufe der EU-KI-Verordnung (KI-VO) in Kraft. Diese soll den Einsatz von künstlicher Intelligenz in der EU sicherer, transparenter und verant­wor­tungs­voller machen. Dabei werden nicht nur Anbieter und Entwickler von KI-Systemen in die Pflicht genommen, sondern auch Unternehmen und weitere Organisationen, die KI-Technologien in ihrem Alltag einsetzen, gehören zu den Betroffenen. 

Konkret bedeutet das: Ob Sie einen Onlineshop mit KI-generierten Texten und Bildern betreiben, wertvolle Inhalte für Universitäts- und Hoch­schul­web­seiten erstellen oder KI-basierte Tools zur Analyse von Spendendaten im Fundraising einsetzen - die neuen Regeln können erhebliche Auswirkungen auf Ihre Arbeitsweise haben. Im Fokus stehen vor allem Trans­pa­renz­an­for­de­rungen, verpflichtende Risi­ko­be­wer­tungen und die Schulung von Mitarbeitenden in so genannter „KI-Kompetenz“.

Künst­li­che Intel­li­genz wird immer mehr zum zentralen Element von IT-Systemen

Hinter­grund: Gründe für die KI-VO

Die EU-KI-Verordnung wurde geschaffen, um die einerseits die Chancen der künstlichen Intelligenz zu fördern und gleichzeitig die Risiken für Mensch und Gesellschaft zu minimieren. Künstliche Intelligenz revolutioniert bereits heute viele Bereiche des Lebens europäischer Bürger, von Medizin und Bildung bis hin zu Marketing und Verwaltung. Mit den neuen Chancen gehen aber auch neue Risiken einher, wie Diskri­mi­nie­rung durch Algorithmen, Verletzungen der Privatsphäre oder automatisierte Fehl­ent­schei­dungen.  

Die EU-KI-Verordnung verfolgt daher einen risi­ko­ba­sierten Ansatz: Je nach Gefähr­dungs­po­ten­zial wird KI in verschiedene Kategorien eingeteilt – von risikoarm bis verboten. Damit sollen Innovationen ermöglicht und zugleich Grundrechte, Datenschutz und Sicherheit gewährleistet werden. Die Trans­pa­renz­an­for­de­rungen, verpflichtende Schulungen für Mitarbeitende und die Dokumentation von KI-Anwendungen betreffen so gut wie alle Unternehmen und Organisationen in der EU.

Die 5 Risiko-Kate­go­rien der KI-VO 

  1. All­ge­meine Ver­wen­dungs­zwe­cke: Betrieb von KI-Systemen wie  GTP oder LLama
  2. Minimales Risiko: Einsatz von Spam­fil­tern, Content in Video­spie­len
  3. Begrenz­tes Risiko: Chatbots, KI-Content oder Deepfakes auf Social Media
  4. Hoch­ri­siko: Bio­me­tri­sche Erkennung, Arbeit­neh­mer­be­wer­tun­gen, Imma­tri­ku­la­tio­nen
  5. Verboten: Mani­pu­la­tio­nen, Social Scoring, vor­her­sa­gende Poli­zei­ar­beit

Wer ist betroffen?

Die KI-Verordnung betrifft ein breites Spektrum an Akteuren, von Entwicklern und Anbietern von KI-Systemen bis hin zu Unternehmen, die KI-basierte Tools lediglich nutzen. Besonders für Betreiber und Nutzer, etwa im E-Commerce, Bildungs­be­reich oder in der Non-Profit-Organisation, sind die neuen Regeln von hoher Relevanz.

Die Verordnung unterscheidet zwischen:

  • Anbietern von KI-Systemen (z. B. Ent­wick­ler von Software wie Chatbots oder HR-Tools),
  • Betrei­bern (z. B. Unter­neh­men, die diese Tools einsetzen),
  • sowie Ein­füh­rern und Händlern, die KI-Tech­no­lo­gien in die EU bringen.

Auch Organisationen, die KI in der Kunden­kom­mu­ni­ka­tion, im Fundraising oder für administrative Aufgaben wie perso­na­li­sierte Marke­ting­kam­pa­gnen einsetzen, fallen unter die Verordnung. Nutzer müssen beispielsweise sicherstellen, dass ihre KI-Systeme den Trans­pa­renz­an­for­de­rungen entsprechen und Mitarbeitende ausreichend geschult sind.

Nicht betroffen sind Privatpersonen, die KI zu rein privaten Zwecken nutzen, sowie anderweitig organisierte Bereiche wie nationale Sicherheit und Militär. Open-Source-Software ist grundsätzlich ausgenommen – außer sie wird in verbotenen oder hochriskanten Kontexten eingesetzt. 

Prak­ti­sche Anfor­de­rungen

Die KI-Verordnung bringt für Unternehmen und Organisationen, die KI nutzen, klare Pflichten mit sich. Auch wenn Sie keine KI-Systeme entwickeln, sondern nur fertige Tools wie Chatbots, HR-Systeme oder KI-gestützte Marke­ting­lö­sungen einsetzen, müssen Sie sicherstellen, dass die neuen Anforderungen eingehalten werden.

  • Trans­pa­renz­pflich­ten: Nutzer von KI-Anwen­dun­gen müssen darüber infor­miert werden, dass sie mit KI inter­agie­ren. KI-gene­rierte Inhalte, wie Texte oder Bilder, müssen ent­spre­chend gekenn­zeich­net werden, ins­be­son­dere wenn es sich um Deepfakes handelt.
  • Doku­men­ta­tion: Unter­neh­men sollten den Einsatz von KI-Systemen lückenlos doku­men­tie­ren. Dazu gehören tech­ni­sche Details, Trans­pa­renz­hin­weise und Pro­to­kolle über die Nutzung der KI. Wichtig ist außerdem, dass auch lang­fris­tig alle KI-bezogenen Prozesse bei möglichen Prüfungen nach­voll­zieh­bar bleiben.
  • KI-Kompetenz: Mit­ar­bei­tende, die mit KI-Systemen arbeiten, müssen geschult werden. Dies umfasst tech­ni­sches Know-how, ein Bewusst­sein für Risiken und klare Richt­li­nien für den Umgang mit KI, bei­spiels­weise bei der Kenn­zeich­nung KI-erstell­ter Inhalte.
  • Risi­ko­ma­nage­ment: Für Hoch­ri­siko-KI-Systeme (z. B. HR-Tools oder KI in der Medizin) ist eine umfas­sende Risi­ko­be­wer­tung erfor­der­lich, die auch daten­schutz­recht­li­che Aspekte ein­schließt.
Eine menschliche Hand hält die mechanische Hand eines Roboters. Dieses Bild symbolisiert die Interaktion zwischen Mensch und Technologie sowie die Zusammenarbeit zwischen Mensch und künstlicher Intelligenz.
So gut wie jeder Einsatz von künst­li­cher Intel­li­genz in der EU wird von der neuen Ver­ord­nung betroffen sein.

Was Unter­nehmen jetzt tun sollten

Um die Anforderungen der KI-Verordnung fristgerecht umzusetzen, sollten Unternehmen jetzt aktiv werden und die folgenden Maßnahmen einleiten. 

  1. KI-Inventur: Erfassen Sie alle in Ihrem Unter­neh­men ein­ge­setz­ten oder geplanten KI-Systeme. Doku­men­tie­ren Sie deren Funk­tio­nen, Ein­satz­ge­biete und mögliche Risiken. Das schafft Trans­pa­renz und dient als Grundlage für weitere Schritte.  
  2. Ein­füh­rung von KI-Richt­li­nien: Legen Sie interne Richt­li­nien für den Umgang mit KI fest. Dazu gehören bei­spiels­weise die Kenn­zeich­nungs­pflicht von KI-gene­rier­ten Inhalten oder der Umgang mit per­so­nen­be­zo­ge­nen Daten in KI-Anwen­dun­gen.  
  3. Mit­ar­bei­ter­schu­lung: Stellen Sie sicher, dass Mit­ar­bei­tende, die mit KI arbeiten, über ein aus­rei­chen­des Maß an „KI-Kompetenz“ verfügen. Dazu gehören tech­ni­sche Kennt­nisse ebenso wie recht­li­che Grund­la­gen und ein Bewusst­sein für ethische Risiken.  
  4. Risi­ko­ab­schät­zung: Führen Sie bei risi­ko­rei­chen Anwen­dun­gen eine gründ­li­che Risi­ko­ab­schät­zung durch. Dabei sollten auch Daten­schutz- und Sicher­heits­aspekte berück­sich­tigt werden.  
  5. Doku­men­ta­tion und Trans­pa­renz: Führen Sie eine lücken­lose Doku­men­ta­tion Ihrer KI-Systeme. Diese sollte nicht nur internen Anfor­de­run­gen genügen, sondern auch externen Prüfungen stand­hal­ten.  

Hohe Bußgelder bei Verstößen

Ein Richterhammer wird auf eine hölzerne Unterlage geschlagen, im Hintergrund ist eine Person in einem Anzug erkennbar. Das Bild symbolisiert Rechtsprechung, Gesetzgebung und die Durchsetzung rechtlicher Vorschriften.
Achtung: Die Strafen bei der KI-VO sind wesent­lich höher als bei der DSGVO!

Die KI-Verordnung wird durch ein viel­schich­tiges Aufsichts­netz­werk überwacht, an dem sowohl EU-weite als auch nationale Behörden beteiligt sind. In Deutschland ist die Aufsicht nach Branchen aufgeteilt: Für risi­ko­be­haf­tete KI-Systeme in speziellen Bereichen wie Straf­ver­fol­gung oder Grenzkontrolle sind die Daten­schutz­auf­sichts­be­hörden zuständig. Systeme in anderen Bereichen wie kritische Infra­struk­turen oder Bildung werden voraus­sicht­lich von den Markt­über­wa­chungs­be­hörden reguliert werden.

Die EU-Kommission hat angekündigt, ein Europäisches Büro für KI einzurichten. Das neue Büro soll z.B. für KI-Systeme mit allgemeiner Anwendung zuständig sein wird. In Deutschland ist aufgrund des föderalen Systems mit einer Vielzahl beteiligter Behörden zu rechnen. Um diese Komplexität zu bewältigen, soll ein sogenannter "Single-Point-of-Contact" eingerichtet werden. Diese zentrale Stelle soll als Anlaufstelle für Unternehmen und Bürger dienen, um Verstöße zu melden und Beschwerden einzureichen. 

Die KI-Verordnung sieht bei Verstößen empfindliche Strafen vor, die teils höher ausfallen als bei der DSGVO. Unternehmen drohen Bußgelder von bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Besonders im Fokus stehen Verstöße gegen Trans­pa­renz­pflichten, unzureichende Risi­ko­be­wer­tungen oder die Nutzung verbotener KI-Praktiken.

Jetzt handeln und vorbe­reitet sein

Die EU-KI-Verordnung stellt Unternehmen und Organisationen vor neue Heraus­for­de­rungen, bietet aber auch Chancen, interne Prozesse zu optimieren und Vertrauen aufzubauen. Wer frühzeitig Transparenz schafft, Mitar­bei­te­rinnen und Mitarbeiter schult und KI-Richtlinien einführt, kann rechtliche Risiken vermeiden und langfristig Wett­be­werbs­vor­teile erzielen.  

Wir begleiten Sie bei jedem Schritt: Von der Risi­ko­be­wer­tung Ihrer KI-Systeme bis zur Erstellung rechtssicherer Doku­men­ta­tionen unterstützen wir Sie dabei, die Anforderungen der KI-Verordnung zu erfüllen. Gemeinsam entwickeln wir geeignete Maßnahmen, die nicht nur rechtskonform, sondern auch effizient und zukunfts­ori­en­tiert sind. So stellen wir sicher, dass Sie die Chancen der KI-Verordnung optimal und sicher nutzen können.

Sicher in die KI-Zukunft

Mit +Pluswerk fit für die EU-KI-Verordnung: Wir machen Ihre KI-Prozesse transparent und zukunftssicher. Kontaktieren Sie uns noch heute!

Jetzt Gespräch vereinbaren

Hinweis: Dieser Beitrag dient ausschließlich der allgemeinen Information und stellt keine Rechtsberatung dar. Die hier dargestellten Inhalte wurden nicht von einem Rechtsanwalt verfasst und können eine individuelle Rechtsberatung nicht ersetzen. Es wird keine Gewähr für die Richtigkeit, Voll­stän­dig­keit und Aktualität der Informationen übernommen. Der Autor übernimmt keine Haftung für Schäden, die sich aus der Verwendung der bereit­ge­stellten Informationen ergeben.

Ein Ausschnitt unserer Leis­tungen

AI Erwei­te­rung für Pimcore
Mit dem LemonHub.AI von +Pluswerk werden Pro­dukt­be­schrei­bun­gen in Pimcore revo­lu­tio­niert.
Corporate Websites
Eta­blierte Tech­no­lo­gien und bewährte Stra­te­gien für indi­vi­du­elle und anspruchs­volle Websites.
Close-up of a person's hand drawing on a smartphone wireframe layout with a pencil, surrounded by color swatches and design elements. The person is also holding a smartphone, suggesting a focus on mobile app design or user interface development.
Barrie­re­frei­heit
Digitale Bar­rie­re­frei­heit stellt sicher, dass alle Menschen mit und ohne Behin­de­run­gen Zugang zu den Inhalten und Funk­tio­nen des Internets haben.
TYPO3
Enter­prise Websites und Content Manage­ment auf einer eta­blier­ten Open-Source-Basis mit einer starken Community.
Such­ma­schi­nen­op­ti­mie­rung
Bei Google lang­fris­tig für die richtigen Themen dank nach­hal­ti­ger SEO-Stra­te­gien dauerhaft ganz oben stehen.