Wie riskant ist Ihr KI-System? Risikoklassen, Transparenz und Kompetenzpflichten nach der KI-VO
Wer seine Rolle nach der KI-Verordnung kennt, muss als nächstes wissen: In welche Risikoklasse fällt das eingesetzte System – und welche konkreten Pflichten folgen daraus?
Die Risikoklasse bestimmt den Pflichtenumfang
Die KI-Verordnung reguliert umso stärker, je größer die mit einem KI-System einhergehenden Risiken sind. Wer als Regulierungsadressat einzuordnen ist, muss daher zwingend eine Risikoklassifizierung durchführen.
Die Verordnung kennt vier Stufen:
KI-Systeme mit minimalem Risiko – etwa Empfehlungssysteme oder Spam-Filter – unterliegen keinen zwingenden Vorgaben, jedoch einem allgemeinen Gebot zur KI-Kompetenz.
Bestimmte KI-Systeme mit spezifischem Risiko – darunter interaktive und generative Systeme wie KI-Chatbots, Emotionserkennung oder Deepfakes – treffen spezifische Transparenzpflichten.
Hochrisiko-KI-Systeme – beispielsweise im Bereich kritischer Infrastruktur, Personalmanagement, Strafverfolgung oder Bildungsbewertung – unterliegen einem umfangreichen Pflichtenkatalog inklusive Monitoring-Pflichten.
Verbotene Praktiken wie Social Scoring oder verhaltensbeeinflussende Systeme sind gänzlich untersagt.
Entscheidend bei der Klassifizierung: Ist der Einsatzbereich besonders risikogeeignet oder mit besonders gewichtigen Rechtsgütern verbunden?
Was konkret gilt: Transparenz und KI-Kompetenz
Für bestimmte KI-Systeme gelten spezifische Transparenzpflichten, die in der Praxis häufig relevant werden.
Anbieter interaktiver KI-Systeme (z. B. LLMs wie ChatGPT) müssen sicherstellen, dass betroffene Personen darüber informiert werden, dass sie mit einem KI-System interagieren – sofern das nicht ohnehin offensichtlich ist.
Anbieter generativer KI-Systeme, die Audio-, Bild-, Video- oder Textinhalte erzeugen, müssen die Inhalte maschinenlesbar als KI-generiert kennzeichnen.
Betreiber von Deepfake-generierenden Systemen müssen offenlegen, dass täuschend echte Inhalte künstlich erzeugt oder manipuliert wurden. Gleiches gilt für Betreiber von Systemen, die Texte zu Angelegenheiten von öffentlichem Interesse erzeugen oder manipulieren. In allen Fällen müssen die Informationen spätestens bei der ersten Interaktion klar und eindeutig bereitgestellt werden.
Daneben trifft alle Anbieter und Betreiber eine KI-Kompetenzverpflichtung: Sie müssen „nach besten Kräften“ sicherstellen, dass ihr Personal und alle Personen, die in ihrem Auftrag mit KI-Systemen befasst sind, über ein ausreichendes Maß an KI-Kompetenz verfügen. Maßstab sind technische Kenntnisse, Erfahrung, Ausbildung und der konkrete Einsatzkontext.
Wie KREMER LEGAL und KLTO Sie dabei unterstützen
KREMER LEGAL begleitet Unternehmen bei der Risikoklassifizierung ihrer KI-Systeme, der Prüfung von Transparenzpflichten und der Entwicklung passender Maßnahmenpläne – damit Pflichten rechtzeitig umgesetzt und entsprechende Monitoring-Prozesse soweit notwendig etabliert werden.
KLTO unterstützt bei der operativen Umsetzung: von der Entwicklung interner KI-Policies und Governance-Frameworks bis hin zu Schulungskonzepten, die die KI-Kompetenzpflicht im Unternehmen praxistauglich erfüllen.
Sie möchten Ihre KI-Systeme rechtssicher klassifizieren? Sprechen Sie uns an: info@kremer.legal
KL | Beitrag von Dante Browder