Was müssen Unternehmen nach der KI Verordnung konkret beachten?
Für kleine und mittlere Unternehmen (KMU) ergeben sich bereits jetzt relevante Pflichten aus der KI-Verordnung, die bereits seit Februar 2025 in Teilen wirksam ist. Jeder, der KI-Systeme im Unternehmen einsetzt oder plant, sollte umgehend aktiv werden, um sowohl Bußgelder als auch Wettbewerbsnachteile zu vermeiden.
Für wen ist die KI-Verordnung relevant? Wer muss sie beachten?
Die KI-Verordnung gilt grundsätzlich für alle Unternehmen, also auch für kleine und mittlere Unternehmen (KMU). Es gibt keine generellen Ausnahmen für kleine Unternehmen, sobald sie KI-Systeme entwickeln, anbieten oder einsetzen. Allerdings sieht die Verordnung spezielle Erleichterungen, vereinfachte Verfahren und Beratungsangebote vor, die auf die Bedürfnisse von KMU zugeschnitten sind. Das betrifft etwa den Dokumentationsaufwand, niedrigere Gebühren und maßvolle Sanktionen bei Verstößen. Wichtig ist: KMU müssen die Vorgaben zur sicheren und transparenten Nutzung von KI ebenso beachten wie größere Unternehmen und sind verpflichtet, sich konform zu verhalten. Durch Beratung, spezielle Muster und zentrale Informationsstellen sollen KMU gezielt unterstützt werden und von der Regulierung auch profitieren können.
Was bedeutet KI einsetzen?
Der Begriff „KI-Systeme einsetzen“ bedeutet konkret, dass ein Unternehmen maschinengestützte Systeme verwendet, die Künstliche Intelligenz in unterschiedlichem Maße autonom betreiben und sich anpassen können. Ein KI-System umfasst dabei nicht nur das KI-Modell, sondern auch alle zusätzlichen Komponenten zur Dateneingabe, Steuerung, Benutzerinteraktion und Entscheidungsumsetzung. Es handelt sich um vollständige Software- oder Hardwaresysteme, die Vorhersagen, Empfehlungen, Entscheidungen oder Inhalte generieren können, welche physische oder virtuelle Umgebungen beeinflussen. Beispiele sind Chatbots für Kundenkommunikation, Design-Software zur Bildgenerierung oder medizinische Systeme zur Analyse von Proteinen. Der Einsatz dieser Systeme im Unternehmen bedeutet, dass solche KI-Systeme für interne Zwecke oder zur Kundeninteraktion verwendet werden. Das heißt, sobald ein Unternehmen solche KI-Technologien eigenverantwortlich nutzt, ohne sie zwangsläufig weiterzuentwickeln, gilt dies als „KI-Systeme einsetzen“ im Sinne der KI-Verordnung.
Reicht es schon, dass Mitarbeitende im Unternehmen KI Systeme wie ChatGPT nutzen?
Ja, es reicht schon, wenn Mitarbeitende im Unternehmen ChatGPT nutzen, dass dies unter den Begriff „KI-Systeme einsetzen“ fällt und damit die Pflichten der KI-Verordnung auslösen kann. Auch wenn ChatGPT selbst von OpenAI als Anbieter betreut wird, so ist das Unternehmen als Nutzer bzw. Betreiber des KI-Systems verpflichtet, bestimmte Vorgaben zu erfüllen. Dazu gehört insbesondere, die KI-Kompetenz der Mitarbeitenden sicherzustellen und diese darüber zu informieren, dass sie mit einem KI-System interagieren. Die KI-Verordnung sieht für den Einsatz von ChatGPT typische Pflichten vor, wie z.B. Transparenzpflichten (Mitarbeitende müssen wissen, dass sie mit KI arbeiten), Datenschutz und eine verantwortliche Nutzung. Allerdings ist bei der Nutzung von ChatGPT als Standard-System – ohne eigenständige Anpassungen oder Weiterentwicklung – das Unternehmen nur Betreiber und keine Anbieterrolle, das heißt, es hat keine umfassende Dokumentationspflicht wie ein Entwickler, aber es muss die allgemeinen Betreiberpflichten einhalten. Kurz gesagt: Wenn Mitarbeitende ChatGPT im Unternehmen verwenden, sind die Pflichten der KI-Verordnung für Betreiber von KI-Systemen auch für das Unternehmen relevant, und es sollten Maßnahmen zur Aufklärung, Transparenz und Schulung umgesetzt werden.
Verbotene KI-Praktiken entfernen
Bis Februar 2025 müssen sämtliche verbotenen KI-Praktiken aus dem Betrieb entfernt werden, insbesondere solche mit unvertretbarem Risiko. Eine Erfassung und Risikobewertung aller genutzten KI-Anwendungen ist daher schon jetzt unerlässlich.
KI-Kompetenz sicherstellen
Unternehmen sind verpflichtet, die für einen sachkundigen und sicheren Einsatz von KI erforderliche Kompetenz bei ihren Mitarbeitenden aufzubauen. Dies bedeutet, dass interne Schulungs- und Sensibilisierungsmaßnahmen entwickelt werden sollten, um Risiken und Auswirkungen von KI-Systemen zu verstehen und verantwortungsvoll zu nutzen. Zu dieser Kompetenz zählt ausdrücklich auch ein solides Verständnis der Datenschutzanforderungen.
Transparenzpflichten beachten
KMU, die beispielsweise Chatbots einsetzen oder mit KI erzeugte Bild-, Audio- oder Videoinhalte generieren, müssen Nutzer klar darauf hinweisen, sobald eine Interaktion oder ein Inhalt von KI stammt. Diese Transparenzpflichten betreffen auch risikoarme Systeme und sind unmittelbar umzusetzen.
Praktische Hinweise für die Umsetzung
* Alle eingesetzten und geplanten KI-Systeme lückenlos dokumentieren und einer ersten Risikoeinstufung zuordnen * Interne Richtlinien für die Nutzung und Überwachung von KI-Systemen erstellen * Mitarbeitende gezielt zu KI-Kompetenz (einschließlich Datenschutz) schulen * Transparenz- und Informationspflichten für Kunden und Beschäftigte umsetzen
Unterstützung durch Behörden
Seit Juli 2025 bietet die Bundesnetzagentur ein zentrales KI-Service Desk, um vor allem KMU bei Fragen zur Umsetzung der Verordnung und der Einhaltung von Compliance-Anforderungen zu unterstützen.
Schon heute zahlt sich frühzeitiges Handeln aus, da die gesetzlichen Anforderungen stufenweise bis 2026 weiter verschärft werden und Verstöße mit empfindlichen Bußgeldern sanktioniert werden können. Ich berate Mitarbeitende, Führungskräfte und Geschäftsführer nicht nur dann, wenn es rechtlich brenzlig wird. Anne Claire Schroeder-Rose, Rechtsanwältin (Dieser Beitrag wurde mit Unterstützung von Künstlicher Intelligenz erstellt
Für kleine und mittlere Unternehmen (KMU) ergeben sich bereits jetzt relevante Pflichten aus der KI-Verordnung, die bereits seit Februar 2025 in Teilen wirksam ist. Jeder, der KI-Systeme im Unternehmen einsetzt oder plant, sollte umgehend aktiv werden, um sowohl Bußgelder als auch Wettbewerbsnachteile zu vermeiden.
Für wen ist die KI-Verordnung relevant? Wer muss sie beachten?
Die KI-Verordnung gilt grundsätzlich für alle Unternehmen, also auch für kleine und mittlere Unternehmen (KMU). Es gibt keine generellen Ausnahmen für kleine Unternehmen, sobald sie KI-Systeme entwickeln, anbieten oder einsetzen. Allerdings sieht die Verordnung spezielle Erleichterungen, vereinfachte Verfahren und Beratungsangebote vor, die auf die Bedürfnisse von KMU zugeschnitten sind. Das betrifft etwa den Dokumentationsaufwand, niedrigere Gebühren und maßvolle Sanktionen bei Verstößen. Wichtig ist: KMU müssen die Vorgaben zur sicheren und transparenten Nutzung von KI ebenso beachten wie größere Unternehmen und sind verpflichtet, sich konform zu verhalten. Durch Beratung, spezielle Muster und zentrale Informationsstellen sollen KMU gezielt unterstützt werden und von der Regulierung auch profitieren können.
Was bedeutet KI einsetzen?
Der Begriff „KI-Systeme einsetzen“ bedeutet konkret, dass ein Unternehmen maschinengestützte Systeme verwendet, die Künstliche Intelligenz in unterschiedlichem Maße autonom betreiben und sich anpassen können. Ein KI-System umfasst dabei nicht nur das KI-Modell, sondern auch alle zusätzlichen Komponenten zur Dateneingabe, Steuerung, Benutzerinteraktion und Entscheidungsumsetzung. Es handelt sich um vollständige Software- oder Hardwaresysteme, die Vorhersagen, Empfehlungen, Entscheidungen oder Inhalte generieren können, welche physische oder virtuelle Umgebungen beeinflussen. Beispiele sind Chatbots für Kundenkommunikation, Design-Software zur Bildgenerierung oder medizinische Systeme zur Analyse von Proteinen. Der Einsatz dieser Systeme im Unternehmen bedeutet, dass solche KI-Systeme für interne Zwecke oder zur Kundeninteraktion verwendet werden. Das heißt, sobald ein Unternehmen solche KI-Technologien eigenverantwortlich nutzt, ohne sie zwangsläufig weiterzuentwickeln, gilt dies als „KI-Systeme einsetzen“ im Sinne der KI-Verordnung.
Reicht es schon, dass Mitarbeitende im Unternehmen KI Systeme wie ChatGPT nutzen?
Ja, es reicht schon, wenn Mitarbeitende im Unternehmen ChatGPT nutzen, dass dies unter den Begriff „KI-Systeme einsetzen“ fällt und damit die Pflichten der KI-Verordnung auslösen kann. Auch wenn ChatGPT selbst von OpenAI als Anbieter betreut wird, so ist das Unternehmen als Nutzer bzw. Betreiber des KI-Systems verpflichtet, bestimmte Vorgaben zu erfüllen. Dazu gehört insbesondere, die KI-Kompetenz der Mitarbeitenden sicherzustellen und diese darüber zu informieren, dass sie mit einem KI-System interagieren. Die KI-Verordnung sieht für den Einsatz von ChatGPT typische Pflichten vor, wie z.B. Transparenzpflichten (Mitarbeitende müssen wissen, dass sie mit KI arbeiten), Datenschutz und eine verantwortliche Nutzung. Allerdings ist bei der Nutzung von ChatGPT als Standard-System – ohne eigenständige Anpassungen oder Weiterentwicklung – das Unternehmen nur Betreiber und keine Anbieterrolle, das heißt, es hat keine umfassende Dokumentationspflicht wie ein Entwickler, aber es muss die allgemeinen Betreiberpflichten einhalten. Kurz gesagt: Wenn Mitarbeitende ChatGPT im Unternehmen verwenden, sind die Pflichten der KI-Verordnung für Betreiber von KI-Systemen auch für das Unternehmen relevant, und es sollten Maßnahmen zur Aufklärung, Transparenz und Schulung umgesetzt werden.
Verbotene KI-Praktiken entfernen
Bis Februar 2025 müssen sämtliche verbotenen KI-Praktiken aus dem Betrieb entfernt werden, insbesondere solche mit unvertretbarem Risiko. Eine Erfassung und Risikobewertung aller genutzten KI-Anwendungen ist daher schon jetzt unerlässlich.
KI-Kompetenz sicherstellen
Unternehmen sind verpflichtet, die für einen sachkundigen und sicheren Einsatz von KI erforderliche Kompetenz bei ihren Mitarbeitenden aufzubauen. Dies bedeutet, dass interne Schulungs- und Sensibilisierungsmaßnahmen entwickelt werden sollten, um Risiken und Auswirkungen von KI-Systemen zu verstehen und verantwortungsvoll zu nutzen. Zu dieser Kompetenz zählt ausdrücklich auch ein solides Verständnis der Datenschutzanforderungen.
Transparenzpflichten beachten
KMU, die beispielsweise Chatbots einsetzen oder mit KI erzeugte Bild-, Audio- oder Videoinhalte generieren, müssen Nutzer klar darauf hinweisen, sobald eine Interaktion oder ein Inhalt von KI stammt. Diese Transparenzpflichten betreffen auch risikoarme Systeme und sind unmittelbar umzusetzen.
Praktische Hinweise für die Umsetzung
* Alle eingesetzten und geplanten KI-Systeme lückenlos dokumentieren und einer ersten Risikoeinstufung zuordnen * Interne Richtlinien für die Nutzung und Überwachung von KI-Systemen erstellen * Mitarbeitende gezielt zu KI-Kompetenz (einschließlich Datenschutz) schulen * Transparenz- und Informationspflichten für Kunden und Beschäftigte umsetzen
Unterstützung durch Behörden
Seit Juli 2025 bietet die Bundesnetzagentur ein zentrales KI-Service Desk, um vor allem KMU bei Fragen zur Umsetzung der Verordnung und der Einhaltung von Compliance-Anforderungen zu unterstützen.
Schon heute zahlt sich frühzeitiges Handeln aus, da die gesetzlichen Anforderungen stufenweise bis 2026 weiter verschärft werden und Verstöße mit empfindlichen Bußgeldern sanktioniert werden können. Ich berate Mitarbeitende, Führungskräfte und Geschäftsführer nicht nur dann, wenn es rechtlich brenzlig wird. Anne Claire Schroeder-Rose, Rechtsanwältin (Dieser Beitrag wurde mit Unterstützung von Künstlicher Intelligenz erstellt