Ein wenig mehr Klarheit im KI-Regulationsdunkel durch die „Leitlinien zu verbotenen Praktiken der künstlichen Intelligenz (KI)“

Gerade für mittelständische Unternehmen ergeben sich durch Künstliche Intelligenz (KI) große Chancen –sei es in der Rolle als Anbieter, Betreiber oder Nutzer von KI-Systemen.

KI-Compliance: Auch beim Einsatz von KI im Unternehmen ist jedoch rechtmäßiges Verhalten (Compliance) gefordert, dessen Voraussetzungen derzeit alleine in der KI-Verordnung (KI-VO) zu finden sind.

Nur mit dem Text mit der KI-VO werden mittelständische Unternehmen aber überwiegend alleingelassen. Dies wird jede Unternehmensleitung bestätigen können, die sich mit einem als „KI-zuständig“ bestimmten Mitarbeiter im Unternehmen zusammengesetzt hat, um ein Inventar zur Dokumentation aller im Unternehmen eingesetzter KI-Anwendungen– als erster Schritt auf dem Weg zur Einhaltung der rechtlichen Anforderungen – zu erstellen:

Der Versuch der Klärung, welche der im Unternehmen eingesetzten Anwendungen unter die Definition des „KI-System“ nach Artikel 3 Abs. 1 der KI-VO

„ein maschinengestütztes System, das so konzipiert ist, dass es mit unterschiedlichem Grad an Autonomie betrieben werden kann und nach seiner Einführung Anpassungsfähigkeit zeigt, und das für explizite oder implizite Ziele aus den Eingaben, die es erhält, ableitet, wie es Ausgaben wie Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen generieren kann, die physische oder virtuelle Umgebungen beeinflussen können“

fallen, lässt selbst IT-Spezialisten oft verzweifeln.

Commission Guidelines on prohibited artificial intelligence practices

Hilfestellung gab es indes jüngst von der EU-Kommission in Bezug auf die Bestimmung verbotener KI-Praktiken.

Hintergrund ist der folgende: Seit dem 2. Februar 2025 dürfen verbotene KI-Praktiken gemäß KI-VO nicht mehr angewandt werden. Art. 5 der KI-VO führt spezifische Anwendungen von KI auf, die verboten sind, da sie erhebliche Gefahren für die Grundrechte, die Sicherheit und das gesellschaftliche Zusammenleben darstellen. Dazu gehören beispielsweise manipulative KI-Systeme, Social Scoring-Systeme, Scraping-Systeme oder biometrische Kategorisierungssysteme. Die Androhung bei Zuwiderhandlungen sind nicht ohne: Verstöße können mit Geldbußen von bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes geahndet werden.

Hohe Bußgeldandrohungen bei verbotenen KI-Praktiken

Allein mit dem Gesetzestext der KI-VO lassen sich viele Einzelfragen jedoch nicht zuverlässig beantworten. Gerichtsurteile, an denen sich Unternehmer orientieren können, liegen ja noch nicht vor. Insbesondere bei der Abgrenzung zwischen verbotener und zulässiger Hochrisiko-KI gibt es einen großen Interpretationsspielraum.

Zur Klärung dieser und weiterer offener Fragen hat die EU-Kommission nun hierzu Leitlinien veröffentlicht, die Beispiele und Erläuterungen zu verbotenen KI-Anwendungen und -praktiken enthalten und eine einheitliche Umsetzung der KI-VO sicherstellen sollen.

Die Leitlinien der EU-Kommission sind rechtlich nicht bindend, die Aufsichtsbehörden werden sie aber zur Auslegung und Durchsetzung der Vorschriften heranziehen. Es handelt sich also um eine Orientierungshilfe für Anbieter, Betreiber und Nutzer von KI-Systemen. Unternehmen erhalten auf 135 Seiten durch die darin diskutierten Beispielsfälle mehr Rechtssicherheit, insbesondere zur Abgrenzung zwischen verbotener und zulässiger Hochrisiko-KI.

Mittelständische Unternehmen brauchen Rechtssicherheit

Klar dürfte aber sein, dass es dabei nicht bleiben kann. Mittelständische Unternehmen brauchen hier mehr Rechtssicherheit bei der KI-Compliance. Weitere Leitlinien und Hilfestellungen müssen folgen.

Autor: Oliver Korth, LL.M. (University of London)