KI-Verordnung / Artificial Intelligence Act:

Spezifische Anforderungen ab dem 2. August 2025 im Rahmen der Umsetzung der KI-Verordnung

Mit der am 2. August 2024 in Kraft getretenen KI-Verordnung (KI-VO) hat die Europäische Union einen rechtlichen Rahmen geschaffen, um den Einsatz Künstlicher Intelligenz (KI) zu regulieren und sicherer zu gestalten. Die Verordnung zielt darauf ab, die Grundrechte der EU-Bürgerinnen und EU-Bürger zu schützen, Rechtssicherheit zu schaffen und verbindliche Standards für den Betrieb von KI-Systemen festzulegen.

Ab dem 2. August 2025 treten weitere spezifische Anforderungen der KI-Verordnung in Kraft. Insbesondere Anbieter von KI-Modellen für allgemeine Zwecke (General Purpose AI (GPAI)) werden in die Pflicht genommen. Diese Regelungen sind ein weiterer Teil des gestaffelten Inkrafttretens der Verordnung.

Verpflichtungen für Anbieter von GPAI

Anbieter von GPAI müssen sicherstellen, dass ihre Modelle den Anforderungen der KI-VO entsprechen. GPAI-Modelle sind KI-Modelle mit allgemeinem Verwendungszweck, die für eine Vielzahl von Aufgaben eingesetzt werden können. Beispiele sind GPT-4, DALL-E oder Midjourney. Sie basieren auf maschinellem Lernen, werden mit großen Datenmengen trainiert und können in verschiedene Anwendungen integriert werden. Ab dem 2. August 2025 gelten für Anbieter[1] von KI-Modellen mit allgemeinem Verwendungszweck die folgenden Pflichten:

  • Transparenzanforderungen: Anbieter müssen umfassende Informationen über die Funktionsweise, die Fähigkeiten und die Grenzen ihrer KI-Modelle bereitstellen. Dies umfasst unter anderem die Offenlegung der Trainingsdaten, der verwendeten Algorithmen und der vorgesehenen Anwendungsbereiche.
  • Risikobewertung: Es muss eine Bewertung der potenziellen Risiken vorgenommen werden, die mit dem Einsatz des KI-Modells verbunden sein könnten, insbesondere in Bezug auf Grundrechte, Gesundheit und Sicherheit. Sofern das Modell als systemisch riskant eingestuft wird, sind zusätzliche Sicherheitsmaßnahmen erforderlich.
  • Dokumentationspflichten: Die Anbieter müssen eine detaillierte technische Dokumentation erstellen und pflegen, die die Rückverfolgbarkeit und Überprüfbarkeit der KI-Modelle ermöglicht.
  • Meldung schwerwiegender Vorfälle: Es besteht die Pflicht, den zuständigen Behörden schwerwiegende Vorfälle zu melden, die durch das KI-Modell verursacht wurden und zu einer Verletzung von Grundrechten oder anderen erheblichen Schäden führen könnten.

Diese Anforderungen zielen darauf ab, die Sicherheit und Vertrauenswürdigkeit von KI-Systemen zu gewährleisten und potenzielle Risiken frühzeitig zu erkennen und zu minimieren. Falls ein GPAI vor dem 2. August 2025 in Verkehr gebracht oder in Betrieb genommen wurde, muss es bis spätestens zum 2. August 2027 den Vorgaben entsprechen.

Relevanz für Hochschulen

Für Hochschulen, die in der Entwicklung oder Anwendung von GPAI-Modellen tätig sind, bedeutet dies:

  • Überprüfung bestehender KI-Systeme: Es sollte geprüft werden, ob die Hochschule ein Anbieter von KI-Modellen im Sinne der KI-VO ist und die eingesetzten KI-Modelle unter die Kategorie der GPAI fallen und somit den neuen Anforderungen unterliegen.
  • Anpassung der internen Prozesse: Entwicklungs- und Anwendungsprozesse von KI-Modellen sollten entsprechend angepasst werden, um den neuen Transparenz- und Dokumentationspflichten gerecht zu werden.
  • Schulung und Sensibilisierung: Mitarbeiterinnen und Mitarbeiter, die mit der Entwicklung oder dem Einsatz von KI-Modellen betraut sind, sollten hinsichtlich der neuen Anforderungen geschult und sensibilisiert werden.

Weitere Informationen und detaillierte Leitlinien werden von den zuständigen nationalen Behörden und dem Europäischen Amt für künstliche Intelligenz (AI Office) bereitgestellt, z. B. die Vorlage für die Zusammenfassung von Schulungsinhalten für allgemeine KI-Modelle.

Fehlende nationale Umsetzung zur Durchsetzung von Sanktionen

Ab August 2025 könnten bei Verstößen gegen die KI-VO empfindliche Geldbußen verhängt werden - je nach Schwere des Verstoßes bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes. Verstöße gegen Transparenz- und Sicherheitsanforderungen können zu Marktverboten führen. Diese Bußgelder können anderes als bei der DSGVO auch gegenüber öffentlichen Stellen verhängt werden. Bisher fehlt es jedoch an einer nationalen Zuständigkeitsregelung, um Bußgeldverfahren einleiten zu können.

Fehlende nationale Umsetzung für die behördliche Aufsicht

Ab August 2025 gelten auch die Regelungen zu den zuständigen Aufsichtsbehörden. Deutschland hat jedoch noch keine Regelungen für die zuständigen Aufsichten getroffen. Die vorherige Bundesregierung hatte hier eine zentrale Zuständigkeit der Bundesnetzagentur angedacht. Wahrscheinlich wird auch die neue Bundesregierung bei dieser Zuständigkeit für nicht-öffentliche Stellen bleiben. Im Hinblick auf die verfassungsrechtlichen und europarechtlichen Vorgaben, dürften für nicht öffentliche Stellen der Länder, die Zuständigkeit zu den jeweiligen Landesdatenschutzbehörden kommen.


[1] „Anbieter“ ist eine natürliche oder juristische Person, Behörde, Einrichtung oder sonstige Stelle, die ein KI‑System oder ein KI‑Modell mit allgemeinem Verwendungszweck entwickelt oder entwickeln lässt und es unter ihrem eigenen Namen oder ihrer Handelsmarke in Verkehr bringt oder das KI‑System unter ihrem eigenen Namen oder ihrer Handelsmarke in Betrieb nimmt, sei es entgeltlich oder unentgeltlich;“ (Artikel 3 Nr. 3 KI-VO)

„Betreiber“ ist eine natürliche oder juristische Person, Behörde, Einrichtung oder sonstige Stelle, die ein KI‑System in eigener Verantwortung verwendet, es sei denn, das KI‑System wird im Rahmen einer persönlichen und nicht beruflichen Tätigkeit verwendet;“ (Artikel 3 Nr. 4 KI-VO)

Lizenzhinweis:

Aus der Kommission IT-Recht des ZKI e.V. ist diese Veröffentlichung lizenziert unter einer Creative-Commons-Lizenz: 4.0 International - CC BY 4.0.

Autoren:

Auf Initiative der ZKI-Kommission IT-Recht:

Elisabeth Mansel, TH Köln | Justiziarin und Datenschutzbeauftrage
Karola Möhring, Hochschul-IT-Zentrum Thüringen | Stabsstelle IT-Recht
Johannes Nehlsen, Uni Würzburg | Stabsstelle IT-Recht
Stephan Rehfeld, TU Braunschweig | Datenschutz, Risikomanagement

© momius / Fotolia