Loslegen

AI Law & EU AI Act

KI-Recht & EU AI Act – Regulatorischer Rahmen, Compliance und Governance

Der EU-Rechtsakt über Künstliche Intelligenz (EU AI Act) schafft einen verbindlichen regulatorischen Rahmen für die Entwicklung, das Inverkehrbringen und den Einsatz von KI-Systemen innerhalb der Europäischen Union. Die Verordnung führt ein risikobasiertes Klassifizierungssystem ein und begründet differenzierte Compliance- und Governance-Pflichten für Anbieter und Betreiber von KI-Systemen.

Das Verständnis und die rechtssichere Umsetzung dieser Anforderungen ist für Technologieunternehmen, Start-ups, Scale-ups sowie kleine und mittlere Unternehmen (KMU) von zentraler Bedeutung, insbesondere wenn KI-Systeme als Hochrisiko-KI-Systeme im Sinne der Verordnung einzustufen sind.

Was regelt der EU AI Act?

Der EU AI Act erfasst KI-Systeme über ihren gesamten Lebenszyklus hinweg – von der Konzeption und Entwicklung über das Inverkehrbringen bis hin zur Nutzung und zur Marktüberwachung nach dem Markteintritt. Ziel der Verordnung ist es, Risiken für Grundrechte, Sicherheit und öffentliche Interessen zu begrenzen, ohne Innovationen innerhalb eines harmonisierten europäischen Rechtsrahmens zu behindern.  Der EU AI Act regelt insbesondere: 
  • verbotene KI-Praktiken, 
  • Hochrisiko-KI-Systeme mit erhöhten Compliance-Anforderungen, 
  • Transparenzpflichten für bestimmte KI-Anwendungen, 
  • Konformitätsbewertungs- und Marktüberwachungsverfahren. 

Hochrisiko-KI-Systeme und Risikoklassifizierung

Zentrales Element des EU AI Act ist die Einstufung von KI-Systemen nach ihrem Risikopotenzial. KI-Systeme können als hochriskant gelten, wenn sie in regulierten Bereichen eingesetzt werden oder Funktionen erfüllen, die erhebliche Auswirkungen auf Einzelpersonen, den Zugang zu Leistungen oder rechtlich relevante Entscheidungen haben.  Für Start-ups und KMU ist eine frühzeitige Risikoklassifizierung von besonderer Bedeutung, da sie darüber entscheidet: 
  • ob ein KI-System überhaupt auf dem EU-Markt bereitgestellt werden darf, 
  • welche regulatorischen Pflichten einzuhalten sind, 
  • wie Governance-Strukturen und technische Dokumentation auszugestalten sind. 

Compliance-Pflichten für Anbieter und Betreiber

Der EU AI Act unterscheidet zwischen Pflichten von Anbietern (Providers) und Betreibern (Deployers) von KI-Systemen. Unternehmen müssen zunächst ihre regulatorische Rolle bestimmen, bevor konkrete Compliance-Maßnahmen umgesetzt werden.  Zu den wesentlichen Pflichten können insbesondere gehören: 
  • Einrichtung interner Governance- und Risikomanagementsysteme, 
  • Erstellung und fortlaufende Pflege technischer Dokumentation und Aufzeichnungen, 
  • Durchführung von Konformitätsbewertungsverfahren vor dem Inverkehrbringen, 
  • Erfüllung von Transparenz- und Informationspflichten, 
  • laufende Überwachung sowie Korrektur- und Abhilfemaßnahmen. 

Governance-Strukturen und Konformitätsbewertung

Die Einhaltung des EU AI Act setzt den Aufbau geeigneter Governance-Strukturen voraus, die rechtliche, technische und organisatorische Prozesse miteinander verzahnen. Dazu zählen insbesondere die Zuweisung von Verantwortlichkeiten, strukturierte Dokumentationsprozesse sowie Eskalationsmechanismen für regulatorische Risiken. 

Abhängig von der Risikoklassifizierung des jeweiligen KI-Systems können Konformitätsbewertungen interndurchgeführt werden oder die Einbindung externer benannter Stellen erforderlich sein. 

Zusammenspiel mit Datenschutzrecht (DSGVO und UK-DSGVO)

Der EU AI Act gilt neben bestehenden datenschutzrechtlichen Regelungen, insbesondere der Datenschutz-Grundverordnung (DSGVO) und der UK-DSGVO. KI-Governance muss daher mit Datenschutz-Compliance abgestimmt werden, insbesondere im Hinblick auf Rechtsgrundlagen der Verarbeitung, Transparenz, Rechenschaftspflichten und Datenminimierung. 

Für KI-basierte Geschäftsmodelle – insbesondere bei Start-ups und KMU – ist eine kohärente Abstimmung zwischen KI-Compliance und Datenschutz-Governance erforderlich, um regulatorische Inkonsistenzen zu vermeiden. 

Grenzüberschreitende Umsetzung und regulatorische Divergenzen

Unternehmen, die in der Europäischen Union, im Vereinigten Königreich oder in weiteren Jurisdiktionen tätig sind, sehen sich unterschiedlichen regulatorischen Ansätzen zur Künstlichen Intelligenz gegenüber. Die Kanzlei unterstützt bei der Strukturierung von KI-Compliance-Frameworks, die grenzüberschreitende Tätigkeiten, regulatorische Divergenzen und internationale Entwicklungen berücksichtigen. 

Beratungsansatz

Die rechtliche Beratung umfasst insbesondere: 

  • strukturierte Analyse von KI-Systemen und deren regulatorischer Einordnung, 
  • Prüfung der anwendbaren Pflichten nach dem EU AI Act, 
  • Entwicklung und Überprüfung von Governance- und Compliance-Strukturen, 
  • Erstellung und Prüfung technischer und regulatorischer Dokumentation. 

Der Beratungsansatz legt besonderen Wert auf Klarheit bei der Auslegung komplexer regulatorischer Vorgaben sowie deren praktische Umsetzung innerhalb bestehender Organisationsstrukturen, unter Berücksichtigung der Ressourcen und Bedürfnisse von Start-ups und KMU. 

Hinweis

Die auf dieser Seite bereitgestellten Informationen dienen ausschließlich allgemeinen Informationszwecken und stellen keine Rechtsberatung dar

Scroll to Top