Preise
Login
Demo vereinbaren

Alle Pflichten nach der KI-Verordnung: Übersicht je Risikoklasse

von Dennis Kurpierz, Co-Founder & COO
10. Februar 2025
5 Minuten
Die KI-Verordnung (KI-VO) der EU verfolgt einen risikobasierten Ansatz, um den sicheren und verantwortungsvollen Einsatz von KI-Systemen zu gewährleisten. Je nach Risikoklasse variieren die Pflichten, die Anbieter und Betreiber von KI-Systemen erfüllen müssen. In diesem Artikel bieten wir eine strukturierte Übersicht der Pflichten je Risikoklasse und stellen eine umfassende PDF-Checkliste zum Download bereit.

Wonach richten sich die Pflichten nach der KI-VO?

Die Einhaltung der KI-Verordnung (KI-VO) hängt maßgeblich von zwei Schlüsselfaktoren ab:
1.

Welche Rolle übernimmt Ihr Unternehmen?

Die KI-VO unterscheidet fünf zentrale Rollen, die jeweils spezifische Pflichten nach sich ziehen:

Anbieter

Betreiber

Bevollmächtigter Vertreter

Händler

Importeur

Jede dieser Rollen bringt unterschiedliche Verantwortlichkeiten im Lebenszyklus eines KI-Systems mit sich. Einen detaillierten Überblick zu den einzelnen Rollen und deren Pflichten erhalten Sie in unserem On-Demand-Webinar: Jetzt ansehen.
2.

In welche Risikoklasse fällt Ihr KI-System oder Modell?

Die KI-Verordnung basiert auf einem risikobasierten Ansatz und definiert fünf Risikoklassen, die jeweils spezifische Compliance-Anforderungen nach sich ziehen:

Verbotene Praktiken

Hochrisiko-KI

Mittleres Risiko

Systemisches Risiko

Geringes Risiko

Für einen strukturierten Überblick über alle Risikoklassen und den Prozess zur korrekten Klassifizierung Ihrer KI-Anwendungen empfehlen wir unseren Beitrag zur KI-Risikoklassifizierung.

Relevante Rollen und Risikoklassen in der Praxis

In der Unternehmenspraxis sind vor allem die Rollen des Anbieters und Betreibers sowie die Risikokategorien Hochrisiko-KI, Mittleres Risiko und Systemisches Risiko von zentraler Bedeutung. Daher konzentrieren wir uns im Folgenden auf die spezifischen Pflichten in diesen Bereichen.

Zudem ist zu berücksichtigen, dass die Pflichten der KI-Verordnung kumulativ gelten. Das bedeutet, ein KI-System kann gleichzeitig mehreren Risikoklassen zugeordnet werden, wodurch sich die jeweiligen Compliance-Anforderungen addieren.

Welche Pflichten gelten für Hochrisiko-KI?

Die KI-Verordnung (KI-VO) definiert umfangreiche Anforderungen für Hochrisiko-KI-Systeme. Dabei wird zwischen den Pflichten für Anbieter und Betreiber unterschieden.

Pflichten für Anbieter von Hochrisiko-KI:

Anbieter von Hochrisiko-KI-Systemen unterliegen den umfassendsten Verpflichtungen. Die wichtigsten Anforderungen umfassen:

Einführung eines Qualitätsmanagementsystems (Art. 17 KI-VO)

Erstellung, Aktualisierung und Aufbewahrung der technischen Dokumentation (Art. 11 i.V.m. Art. 18 KI-VO)

Protokollierungspflichten und Aufbewahrung der Aufzeichnungen (Art. 19 KI-VO)

Durchführung von Konformitätsbewertungsverfahren sowie Anbringung der CE-Kennzeichnung (Art. 16 lit. f-h i.V.m. Art. 43, 47, 48 KI-VO)

Nachweis der Konformität gegenüber Aufsichtsbehörden (Art. 16 lit. i i.V.m. Art. 49 KI-VO)

Registrierung des KI-Systems in der EU-Datenbank (Art. 16 lit. k KI-VO)

Zusätzlich müssen Anbieter sicherstellen:

Implementierung eines Risikomanagement-Systems (Art. 9 KI-VO)

Verantwortungsvolle Daten- und Data-Governance-Praktiken (Art. 10 KI-VO)

Gewährleistung von Genauigkeit, Robustheit und Cybersicherheit (Art. 15 KI-VO)

Erstellung einer verständlichen Betriebsanleitung (Art. 13 KI-VO)

Sicherstellung menschlicher Aufsicht über das System (Art. 14 KI-VO)

Pflichten für Betreiber von Hochrisiko-KI:

Auch Betreiber von Hochrisiko-KI-Systemen tragen erhebliche Verantwortung. Ihre Pflichten umfassen unter anderem:

Implementierung geeigneter technischer und organisatorischer Maßnahmen (TOM) zur Einhaltung der Gebrauchsanweisung (Art. 26 Abs. 1 KI-VO)

Sicherstellung der menschlichen Aufsicht über das KI-System (Art. 26 Abs. 2 KI-VO)

Verwendung geeigneter Eingabedaten entsprechend der Zweckbestimmung (Art. 26 Abs. 4 KI-VO)

Kontinuierliche Überwachung des KI-Betriebs gemäß der Betriebsanleitung (Art. 26 Abs. 5 KI-VO)

Erfüllung von Informationspflichten gegenüber Nutzern und Behörden (Art. 26 Abs. 5, 7, 11; Art. 50 Abs. 4 KI-VO)

Aufbewahrung von Protokollen, wenn der Betreiber die Kontrolle über das System hat (Art. 26 Abs. 6 KI-VO)

Konsultation der Arbeitnehmervertretung bei der Implementierung von Hochrisiko-KI im Arbeitsumfeld (Art. 26 Abs. 7 KI-VO)

Durchführung einer Datenschutz-Folgenabschätzung, falls personenbezogene Daten verarbeitet werden (Art. 26 Abs. 9 KI-VO)

Erstellung einer Grundrechte-Folgenabschätzung zur Bewertung der Auswirkungen des KI-Systems auf die Rechte der Betroffenen (Art. 27 KI-VO)

Welche Pflichten gelten für KI-Systeme mit mittlerem Risiko?

Pflichten für Anbieter von KI-Systemen mit mittlerem Risiko

Für Anbieter von KI-Systemen, die unter Artikel 50 der KI-VO fallen, gelten spezifische Transparenzpflichten. Diese umfassen:

Informationspflicht gegenüber Nutzern:
Anbieter müssen sicherstellen, dass betroffene Personen eindeutig darüber informiert werden, dass sie mit einem KI-System interagieren.

Kennzeichnung synthetischer Inhalte:
Wenn das KI-System synthetische Inhalte (z. B. Texte, Bilder, Audio- oder Videomaterial) erzeugt, muss der Output klar als solcher gekennzeichnet werden. Außerdem muss dieser Output - soweit technisch möglich - interoperabel, belastbar und zuverlässig sein.

Pflichten für Betreiber von KI-Systemen mit mittlerem Risiko

Auch Betreiber von KI-Systemen mit mittlerem Risiko unterliegen bestimmten Transparenzanforderungen gemäß Art. 50 KI-VO:

Offenlegung von Deepfakes:
Betreiber müssen sicherstellen, dass durch das KI-System erzeugte Deepfake-Inhalte als solche offengelegt werden.

Information bei Emotionserkennung:
Wird ein KI-System zur Emotionserkennung eingesetzt, müssen die betroffenen Personen darüber in Kenntnis gesetzt werden, dass diese Technologie verwendet wird.

Welche Pflichten gelten für KI-Modelle mit systemischem Risiko?

Für Anbieter von KI-Modellen mit allgemeinem Verwendungszweck (General Purpose AI, GPAI) gelten spezifische Pflichten gemäß Art. 51 ff. KI-VO. Diese Anforderungen erweitern sich erheblich, wenn das Modell als KI-Modell mit systemischem Risiko eingestuft wird.

Pflichten für Anbieter von KI-Modellen mit allgemeinem Verwendungszweck

Anbieter von General Purpose AI (GPAI) müssen folgende Pflichten erfüllen:

Erstellung einer technischen Dokumentation:
Detaillierte Beschreibung der Modellarchitektur, Trainingsmethoden und Leistungsmerkmale.

Informationsbereitstellung für nachgelagerte Anbieter
Bereitstellung aller notwendigen Informationen und Unterlagen für Unternehmen, die GPAI-Modelle in eigene Systeme integrieren möchten.

Sicherstellung der Einhaltung des Urheberrechts
Entwicklung und Implementierung von Strategien zur Vermeidung von Urheberrechtsverletzungen durch die Nutzung des KI-Modells.

Transparenz über Trainingsdaten
Bereitstellung einer detaillierten Zusammenfassung der beim Training verwendeten Daten. Hierfür stellt das AI Office standardisierte Vorlagen zur Verfügung.

Erleichterung der Transparenzpflichten durch Open-Source-Lizenzen
Anbieter können die Transparenzanforderungen teilweise erleichtern, indem sie ihr Modell unter einer FOSS-Lizenz (Free and Open Source Software) bereitstellen (Art. 53 Abs. 2 KI-VO).

Zusätzliche Pflichten für Anbieter von KI-Modellen mit systemischem Risiko

Wird ein KI-Modell als systemisches Risiko eingestuft, gelten erweiterte Pflichten gemäß Art. 55 KI-VO:

Erweiterte technische Dokumentation und Bewertung
Durchführung umfassender Modellbewertungen, einschließlich Stresstests und Angriffssimulationen zur Ermittlung von Schwachstellen.

Implementierung von Maßnahmen zur Risikominderung
Entwicklung spezifischer Strategien und Kontrollmechanismen, um potenzielle Risiken zu minimieren.

Meldung von Vorfällen
Verpflichtung zur umgehenden Meldung von Vorfällen und Sicherheitsverletzungen an das AI Office sowie an nationale Aufsichtsbehörden.

Verstärkte Cybersicherheitsmaßnahmen
Implementierung von robusten Sicherheitsmechanismen, um Manipulationen, Missbrauch oder unautorisierte Nutzung des Modells zu verhindern.

Umfassende Übersicht über alle Pflichten der KI-VO

Wir haben sämtliche Pflichten der KI-Verordnung für die genannten Rollen und Risikoklassen in einer klar strukturierten PDF-Tabelle zusammengefasst. Diese Übersicht dient als praktische Orientierungshilfe, um die spezifischen Anforderungen schnell und einfach zu erfassen.

Ihre Anmeldung konnte nicht gespeichert werden. Bitte versuchen Sie es erneut.
Ihre Anmeldung war erfolgreich.

Jetzt PDF-Übersicht mit allen Pflichten der KI-VO sichern – inklusive Newsletter-Abo

Treten Sie unserer Datenschutz-Community bei. Abonnieren Sie unseren Newsletter und bleiben Sie immer auf dem Laufenden!

Diesen Beitrag teilen

Teilen Sie die interessantesten Neuigkeiten aus der Welt 
des Datenrechts mit FreundInnen und KollegInnen.
linked-in-logo

Ähnliche Beiträge

Entdecke weitere Beiträge zu diesem Thema:
,
KI Richtlinie - Guide und Vorlage
Mehr erfahren
Prozess für die KI-Risikoklassifizierung nach der KI-Verordnung
Prozess für die KI-Risikoklassifizierung
Mehr erfahren
Übersetzungen für die wichtigsten Begriffe aus der KI-Verordnung
,
KI-VO-Wörterbuch in 10 Sprachen
Mehr erfahren

Dafür fehlt mir
die Zeit caralegal

caralegal live testen
In 2 Tagen startklar
64% Zeitersparnis
20 Jahre Datenschutzerfahrung
We make the legal way the lighter way
Wir glauben, dass Verordnungen dazu da sind, die Welt zu lenken. Nicht sie auszubremsen. Deshalb verändern wir, wie Unternehmen datenrechtliche Anforderungen erfüllen: intuitiv, dank intelligenter Technologie.
Wissen sichern - keine News mehr verpassen
Jetzt Newsletter abonnieren
Zum Newsletter anmelden
Unsere Partner
© 2025 caralegal GmbH
DatenschutzerklärungImpressum
Cookie-Einstellungen