Künstliche Intelligenz

Pflichten für Anbieter und Betreiber von KI-Systemen – Ein Überblick

Avatar
Verfasst von: Jessica Henning
Beraterin für Datenschutz und Informationssicherheit

KI eröffnet Chancen – stellt Unternehmen aber auch vor komplexe rechtliche und technische Aufgaben. Erfahren Sie, welche Vorgaben der AI Act und andere Regelungen für Anbieter und Betreiber mit sich bringen.

Künstliche Intelligenz (KI) ist im Alltag von Unternehmen und Organisationen angekommen. Egal ob Sprachmodell, automatisierter Entscheidungsfindung oder Bildgeneratoren: KI-Systeme bieten sowohl enormes Potenzial, werfen aber zugleich komplexe rechtliche und technische Fragen auf.

Mit dem „AI Act“ der Europäischen Union, flankierenden Regelungen im Datenschutzrecht (insbesondere der DSGVO) und branchenspezifischen Vorgaben wird nunmehr ein verbindlicher Rahmen geschaffen, der Anbieter und Betreibern von KI-Systemen konkrete Pflichten auferlegt.

Im Folgenden geben wir einen kleinen Einblick über die wesentlichen rechtlichen und technischen Anforderungen. 

Bitte beachten Sie, dass immer im Einzelfall geprüft werden muss, welcher Pflicht Sie nachgehen müssen. Sprechen Sie uns gerne dazu an. 

 

Rechtlicher Rahmen: Vom Datenschutz zur sektoralen Regulierung

Bislang wurde der Einsatz von KI primär über bestehende Regelwerke wie die Datenschutz-Grundverordnung (DSGVO), das Produkthaftungsrecht oder branchenspezifische Vorschriften reguliert. Mit dem EU AI Act wird erstmals ein spezifischer Rechtsrahmen für KI-Systeme geschaffen, der risikobasiert ausgestaltet ist. Die Pflichten hängen stark von der Risikoklassifizierung ab:

check_circle
Minimales Risiko (z. B. Spamfilter, Videospiele): keine strengen Vorgaben, aber Förderung freiwilliger Codes of Conduct.
check_circle
Begrenztes Risiko (z. B. Chatbots, KI-gestützte Kundeninteraktion): Transparenzpflichten und Kennzeichnung von Deepfakes.
check_circle
Hohes Risiko (z. B. KI in Medizin, Kreditvergabe oder kritischen Infrastrukturen): umfassendes Pflichtenprogramm mit Risikomanagement, Dokumentation, Datenqualität, Konformitätsbewertung, Registrierung und kontinuierlichem Monitoring.
check_circle
Sonderfall: Generative Pre-trained AI (GPAI): eigene Kategorie mit Dokumentations- und Transparenzpflichten sowie zusätzlichen Auflagen für besonders große Modelle mit systemischer Bedeutung.

Anbieterpflichten

Als „Anbieter“ gilt nach dem AI Act, wer ein KI-System entwickelt, in Verkehr bringt oder unter eigenem Namen vermarktet.

Ein Hochrisiko-System hat dabei mehr Pflichten als ein KI System mit niedrigerem Risiko. Bei einem Hochrisiko-System müssen Sie ein Risikomanagement-System einrichten, das den gesamten Zyklus der KI abdeckt und eine fortlaufende Bewertung von Gefahren ermöglicht. Hinzu kommt eine technische Dokumentation, in der Architektur, Trainingsdaten, Algorithmen und Evaluierungsmethoden beschrieben werden.

Besondere Bedeutung hat ebenfalls die Daten-Governance: Anbieter sind verpflichtet, qualitativ hochwertige, repräsentative und diskriminierungsfreie Datensätze zu verwenden, um Bias und fehlerhafte Daten zu erkennen und zu korrigieren. Transparenz spielt ebenfalls eine zentrale Rolle. Nutzer müssen erkennen können, wenn sie mit einer KI interagieren, und speziell Deepfakes unterliegen einer klaren Kennzeichnungspflicht. 

Für Hochrisiko-Systeme gilt darüber hinaus die Pflicht zur Konformitätsbewertung, die vergleichbar mit einem CE-Kennzeichen vor Inverkehrbringen ist. Schließlich müssen diese Systeme auch in einer europäischen Datenbank registriert werden, um Marktüberwachung und Nachvollziehbarkeit zu gewährleisten.

Betreiberpflichten

Nicht nur Anbieter, auch Betreiber tragen eine wesentliche Verantwortung. Wer ein KI-System einsetzt, muss sicherstellen, dass es nur für den vorgesehenen Zweck genutzt wird. Dies sollte im besten Falle dokumentiert werden. Lesen Sie mehr zum Thema KI-Richtlinie hier. In vielen Bereichen gilt ein sogenannter „Human-in-the-Loop“-Ansatz. Dabei werden in Bereichen, wo kritische Entscheidungen getroffen werden, die erhebliche Auswirkungen auf Menschen haben, von Menschen überprüfbar und korrigierbar sein. Betreiber sind außerdem verpflichtet, Systeme laufend zu überwachen. Zwischenfälle, wie Sicherheitslücken oder fehlerhafte Entscheidungen mit relevanten Auswirkungen, müssen an Behörden gemeldet melden werden. Die Behörden kann je nach Fall z.B. die Notifizierende Stelle oder die Marktüberwachungsbehörde sein.

Zudem sind Anbieter verpflichtet ihre Mitarbeitenden – sofern sie mit KI arbeiten – zu schulen, um Risiken zu verstehen und Fehlverhalten vorzubeugen.

Letztlich müssen Anbieter – wie bei jedem anderen IT-System auch – die Datenschutz- und Compliance-Anforderungen berücksichtigen.

Generative Pre-trained AI (GPAI)

Ein Sonderthema im AI Act sind die sogenannten Generative Pre-trained AI-Modelle (GPAI). Hierzu zählen Systeme wie ChatGPT oder LLaMA. Generative Pre-trained AI (GPAI) bezeichnet KI-Modelle, die auf sehr großen und allgemeinen Datensätzen vortrainiert sind und dadurch für eine Vielzahl von Aufgaben eingesetzt werden können – etwa zur Text-, Bild- oder Audioerzeugung. Sie gelten als Allzweck-KI und unterscheiden sich von spezialisierten Systemen, die nur für einen bestimmten Zweck entwickelt wurden. Diese Systeme können ein Hochrisiko-Potenzial haben, dies ist abhängig von ihren Einsatzzweck. 

Anbieter solcher Modelle müssen umfassende Dokumentation bereitstellen, die Architektur, Trainingsmethoden und Evaluierungen offenlegt. Besonders große Modelle, die als systemisch bedeutsam eingestuft werden, unterliegen erweiterten Pflichten zum Risikomanagement und zu Meldungen gegenüber Behörden.

Ein weiterer kritischer Punkt ist das Urheberrecht: Trainingsdaten müssen die Text- und Data-Mining-Ausnahmen des EU-Urheberrechts respektieren, und Rechteinhaber können ein maschinenlesbares Opt-out erklären.

Auch Betreiber, die GPAI in konkrete Anwendungen integrieren, tragen Verantwortung. Sobald ein GPAI-Modell in einem Hochrisiko-Kontext genutzt wird, greifen automatisch die strengen Vorgaben für Hochrisiko-KI. Betreiber müssen sicherstellen, dass die Integration auditierbar bleibt und Risiken wie Bias oder sogenannte Halluzinationen erkannt und begrenzt werden können. Damit wird GPAI nicht nur auf der Anbieterseite, sondern auch auf der Nutzungsseite zu einem Compliance-Thema.

Technische Anforderungen: Sicherheit und Robustheit

Die rechtlichen Vorgaben wären wirkungslos, wenn sie nicht durch technische Maßnahmen flankiert würden. KI-Systeme müssen daher robust gegenüber Angriffen wie Datenvergiftungen oder adversarial attacks ausgelegt sein. Ebenso wichtig ist die Nachvollziehbarkeit von Entscheidungen. „Explainable AI“ gilt als Schlüssel, um regulatorische Anforderungen zu erfüllen und Vertrauen bei Nutzern aufzubauen.

Hinzu kommen Monitoring-Pflichten: Systeme müssen im laufenden Betrieb überwacht und auf sogenannte Daten-Drift hin geprüft werden, also auf Veränderungen zwischen Trainings- und Einsatzumgebung. Kritische Anwendungen erfordern zudem Notfallpläne und Fallback-Mechanismen, damit sie im Störungsfall nicht zu systemischen Risiken führen.

Haftung und Sanktionen

Neben den präventiven Pflichten stellt sich die Frage der Haftung. Anbieter haften grundsätzlich im Rahmen der Produkthaftung für fehlerhafte Systeme. Betreiber wiederum tragen Verantwortung, wenn sie Systeme unsachgemäß einsetzen oder ihrer Überwachungspflicht nicht nachkommen.

Der AI Act sieht darüber hinaus empfindliche Sanktionen vor. Verstöße können mit Geldbußen von bis zu sechs Prozent des weltweiten Jahresumsatzes geahndet werden, abhängig von der Risikoklassifizierung und der Rolle des KI-Verantwortlichen. Damit bewegt sich der Sanktionsrahmen in ähnlicher Größenordnung wie bei der DSGVO und signalisiert, dass die EU Verstöße gegen die KI-Regulierung ebenso ernst genommen wird wie Datenschutzverletzungen.

Fazit

Die Regulierung von KI befindet sich in einer entscheidenden Phase: Mit dem EU AI Act entsteht ein einheitlicher Rahmen, der die Verantwortlichkeiten von Anbietern und Betreibern klar definiert. Schon jetzt müssen und sollten Unternehmen datenschutzrechtliche, sicherheitsrechtliche, haftungsrechtliche, urheberrechtliche Aspekte und weitere Compliance und branchenspezifische Regulatorik beachten. Für die Praxis bedeutet das: KI darf nicht mehr als rein technisches Projekt verstanden werden, sondern erfordert interdisziplinäre Governance, klare Prozesse und kontinuierliches Monitoring. Nur so lässt sich das enorme Potenzial von KI ausschöpfen, ohne rechtliche Risiken einzugehen.

Wir unterstützen Unternehmen mit praxisnahen Einstiegspaketen

Bestandsaufnahme KI

KI-Readiness-Check der Organisation - Sind Sie bereit für KI?

weiterlesen

KI-Projekt-Assessment

Für den sicheren Erfolg Ihrer KI-Projekte

weiterlesen

Schulungen und Workshops

Der Mensch bleibt auch beim Einsatz von KI ein wichtiger Faktor

weiterlesen
chevron_left zurück zur Übersicht

Melden Sie sich für unseren Newsletter an.

Erhalten Sie immer die neuesten und wichtigsten Informationen zum Thema Datenschutz, Informationssicherheit und IT-Sicherheit und Compliance.