Der EU-Gesetzesentwurf zur künstlichen Intelligenz (KI-Gesetz) ist der erste umfassende Rechtsrahmen der Europäischen Union zur Regulierung des Einsatzes künstlicher Intelligenz (KI). Einwilligung und Transparenz stehen im Mittelpunkt des KI-Gesetzes. KI-Systeme, die biometrische Identifikation, Emotionserkennung oder Profilerstellung verwenden, müssen die Nutzer informieren und ihre ausdrückliche Einwilligung einholen. Sind Sie bereit für den KI-Gesetzesentwurf?
Der 2024 verabschiedete KI-Gesetzentwurf klassifiziert KI-Systeme anhand ihres Risikos in vier Kategorien: inakzeptabel, hoch, begrenzt und minimal. Ziel des Gesetzes ist es, die Sicherheit und Transparenz von KI-Systemen zu gewährleisten und die Grundrechte, insbesondere den Datenschutz, zu respektieren.
Hochrisikosysteme unterliegen strengeren Anforderungen, d. h. sie erfordern Risikobewertungen, Dokumentation und menschliche Aufsicht. Einige Verfahren, wie Social Scoring und biometrische Echtzeit-Identifizierung im öffentlichen Raum, sind vollständig verboten.
Unternehmen, die KI in der EU entwickeln, vertreiben oder nutzen, müssen einige wichtige Punkte beachten:
Aufsicht:
Hochrisikosysteme (z. B. bei der Einstellung, Ausbildung, Strafverfolgung) erfordern eine strenge Aufsicht
Dokumentation:
Detaillierte technische Dokumentation und Konformitätsbewertungen sind erforderlich
Transparenz:
KI-Systeme, die mit Menschen interagieren oder biometrische Daten verwenden, müssen Transparenzhinweise enthalten
Globale Anwendung:
Das Gesetz gilt weltweit. Wenn Ihr System Auswirkungen auf EU-Bürger hat, ist die Einhaltung zwingend erforderlich.
Folgende Unternehmen müssen das KI-Gesetz einhalten:
Anbieter von KI-Systemen, die in der EU tätig sind oder auf die EU abzielen
KI-Systeme innerhalb der EU
Händler und Importeure, die KI-Systeme auf dem EU-Markt in Verkehr bringen
Unternehmen außerhalb der EU, deren KI-Systeme EU-Nutzer betreffen
Dazu gehören Start-ups, KMU und globale Konzerne aller Branchen.
Das EU-KI-Gesetz überschneidet sich mit Datenschutzgesetzen wie der DSGVO und verleiht Verbrauchern daher eine Reihe von Datenschutzrechten, darunter:
Verbraucher können erwarten, bei der Interaktion mit einem KI-System informiert zu werden
Verbraucher können davon ausgehen, dass KI-Systeme von Menschen überwacht werden und menschliche Eingriffe möglich sind.
Verbraucherdaten fallen unter die DSGVO, die sich auch auf die Nutzung von KI erstreckt
Verbraucher können erwarten, dass KI-Entscheidungen fair sind und dass sie vor algorithmischer Diskriminierung geschützt sind
Verbraucher haben das Recht, automatisierte Entscheidungen anzufechten und eine menschliche Überprüfung zu verlangen.
Verbraucher können zu Recht erwarten, dass KI-Systeme die Risikobewertungen hinsichtlich Sicherheit und Zuverlässigkeit bestehen.
Obwohl das KI-Gesetz Cookies nicht direkt reguliert, können Cookie-Daten, die für Profiling oder KI-gestützte Entscheidungsfindung verwendet werden, unter die Verordnung fallen:
Sie müssen KI-gestützte Personalisierung oder Profiling auf Basis von Cookie-Daten offenlegen.
Für biometrische oder sensible Daten, die über Cookies erhoben werden, ist eine ausdrückliche Einwilligung erforderlich.
Stellen Sie sicher, dass KI-Modelle, die Cookie-Daten verwenden, überprüfbar und transparent sind.
Die Strafen nach dem KI-Gesetz können erheblich sein:
Bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes bei Verstößen gegen verbotene Praktiken
Bis zu 15 Millionen Euro oder 3 % bei Nichteinhaltung risikoreicher Verpflichtungen
Geringere Bußgelder können beispielsweise bei Dokumentationsfehlern oder mangelnder Kooperation verhängt werden.
Die Aufsichtsbehörden können außerdem die Einführung von Systemen aussetzen oder Produktrückrufe für nicht konforme Systeme anordnen.
So beurteilen Sie Ihre Einhaltung des KI-Gesetzes:
Überprüfen Sie die Datenpraktiken:
Stellen Sie fest, ob Ihre KI-Systeme innerhalb der EU verwendet werden oder Auswirkungen auf EU-Bürger haben
Risiko einschätzen:
Klassifizieren Sie jedes System nach seinem Risikoniveau
Governance implementieren:
Implementieren Sie eine ordnungsgemäße Dokumentation, Datenverwaltung und menschliche Aufsicht
Nehmen Sie ein CMP an:
Nutzen Sie Tools von Drittanbietern und offizielle EU-Checklisten, um Ihre Bereitschaft zu beurteilen
Menschliche Aufsicht hinzufügen:
Benennen Sie bei Bedarf interne Compliance-Beauftragte
Cookies spielen zwar keine zentrale Rolle im KI-Gesetz, Sichtbarkeit, Überprüfbarkeit und Transparenz hingegen schon. Cookies können durchaus in KI-Systemen zum Einsatz kommen, und eine vertrauenswürdige Consent-Management-Plattform wie CookieHub kann Ihnen dabei helfen, die Einwilligung ordnungsgemäß zu erfassen und Ihre Compliance lückenlos nachzuweisen.
Das EU-KI-Gesetz gilt für Anbieter, Nutzer, Importeure und Händler von KI-Systemen, die auf dem EU-Markt eingeführt, innerhalb der EU genutzt oder Auswirkungen auf Menschen in der EU haben – auch wenn der Entwickler außerhalb der EU ansässig ist. Es klassifiziert KI-Systeme nach Risikostufen (inakzeptabel, hoch, begrenzt und minimal) und legt entsprechende regulatorische Verpflichtungen fest.
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, wie sie in der EU-Datenschutzgrundverordnung (DSGVO) definiert sind. Dazu gehören Namen, E-Mail-Adressen, biometrische Daten und andere Informationen, die eine Person direkt oder indirekt identifizieren können.
Zu den sensiblen Daten zählen im Sinne der DSGVO besondere Kategorien personenbezogener Daten wie ethnische Herkunft, politische Meinungen, religiöse Überzeugungen, Gewerkschaftszugehörigkeit, genetische Daten, biometrische Daten zur Identifizierung, Gesundheitsdaten sowie Daten zum Sexualleben oder der sexuellen Orientierung einer Person. Für KI-Systeme, die diese Art von Daten verarbeiten, gelten strengere Anforderungen.
Mit dem EU-KI-Gesetz wird ein Europäischer Ausschuss für Künstliche Intelligenz eingerichtet, der die Durchsetzung in der gesamten EU koordinieren soll. Jeder Mitgliedstaat benennt eine oder mehrere nationale Aufsichtsbehörden, die für die Durchsetzung des KI-Gesetzes in seinem Hoheitsgebiet zuständig sind.
Bestimmte KI-Systeme sind ausgenommen, darunter solche, die ausschließlich für militärische, Verteidigungs- oder nationale Sicherheitszwecke eingesetzt werden. Forschungs- und Entwicklungstätigkeiten, die nicht auf den Markt gebracht oder in realen Anwendungen eingesetzt werden, können ebenfalls ausgenommen werden, sofern sie bestimmte Bedingungen erfüllen.
Weitere Informationen finden Sie auf der offiziellen Website der Europäischen Kommission oder im vollständigen Text des KI-Gesetzes. Rechtsberatungen, Compliance-Organisationen und nationale Datenschutzbehörden bieten ebenfalls Beratung und aktuelle Informationen zur Umsetzung.
©2018-2025 CookieHub ehf.
CookieHub CMP offers tools and services for managing cookies and online privacy.
