top of page

Wissenswertes zur KI-Verordnung. Was wird reguliert? Ab wann gilt die KI-VO? Und wo?

  • Autorenbild: Kristof
    Kristof
  • 16. Juli
  • 3 Min. Lesezeit

ree

Gastbeitrag von Univ. Ass. Kerstin Schatz, LL.M., LL.B.:


Die Künstliche Intelligenz-Verordnung („KI-VO“ bzw „AI-Act“) ist ein einheitlicher europäischer Rechtsansatz, um KI zu fördern aber auch sicherer zu gestalten, weshalb KI-Systeme in Risikogruppen unterteilt werden. 


Was wird reguliert?

Durch den risikobasierten Ansatz wird KI je nach Risiko entsprechend reguliert, um Überregulierung und Lücken zu verhindern. So erfolgte eine Unterteilung in:

  • verbotene Praktiken (höchste Stufe, zB Social Scoring, Ableitung von Emotionen am Arbeitsplatz, siehe tieferstehend mehr);

  • Hochrisiko-KI-Systeme (zweithöchste Stufe, zB kritische Infrastruktur, Verwendung biometrischer Daten, siehe tieferstehend mehr);

  • KI-Systeme mit Transparenzrisiko; 

  • KI-Systeme mit minimalem Risiko.


Wo gilt die KI-VO?

  • Territorial gilt die KI-VO für Betroffene, die sich in der EU befinden; 

  • für Betreiber, wenn sie einen Sitz in der EU haben;

  • für Anbieter, wenn sie nach dem Marktortprinzip das KI-System in der EU in Betrieb nehmen oder in Verkehr bringen. 


Es reicht aus, wenn die Ergebnisse des KI-Systems in der EU genutzt werden. Das heißt: Auch Anbieter außerhalb der EU fallen unter die KI-Verordnung, wenn ihre KI in der EU eingesetzt wird. Umgekehrt: Anbieter in der EU, deren Systeme nicht in der EU verwendet werden, sind nicht automatisch betroffen. Das bedeutet, dass die KI-VO geografisch nicht auf die EU begrenzt ist, sondern alle Unternehmen betrifft, die KI-Systeme in der EU anbieten oder verwenden.


Ab wann gilt die KI-VO?

Die KI-VO trat am 1. August 2024 in Kraft und tritt schrittweise in Geltung. Sie gilt in jedem europäischen Mitgliedstaat unmittelbar und muss daher nicht in ein nationales Gesetz gegossen werden. 

  • Seit 2. Februar 2025 gelten die Bestimmungen für verbotene KI-Systeme und für die KI-Kompetenz. 

    • Inakzeptabel und daher verboten sind die unterschwellige Beeinflussung oder Manipulation zur schuldhaften Verhaltensänderung; Social Scoring, Ableitungen von Emotionen einer Person am Arbeitsplatz; biometrische Kategorisierung von Personen zu Ethik, Politik und Weltanschauung sowie die Echtzeit-Fernidentifikation für die Strafverfolgung.

    • KI-Kompetenz: Anbieter und Betreiber von KI-Systemen müssen KI-Kompetenz sicherstellen. KI-Kompetenz meint, die Fähigkeit, die Kenntnisse und auch das Verständnis der Anbieter, Betreiber und Betroffenen, KI-Systeme sachkundig einzusetzen und über Chancen und Risiken von KI und möglichen Schäden Bescheid zu wissen. So sind Maßnahmen zu ergreifen, um sicherzustellen, dass Personal des Anbieters bzw Betreibers, welches in deren Auftrag die KI betreibt oder nutzt, ausreichend Fähigkeiten zum Betrieb hat.


  • Ab 2. August 2025 gelten Anforderungen für sogenannte “General Purpose AI-Modells” (GPAI-Modelle) (wie ChatCPT), sowie sind Bestimmungen zur Governance, also zur Einrichtung eines Gremiums, eines Beratungsforums und eines wissenschaftlichen Gremiums anwendbar. 


  • Ab 2. August 2028 treten Bestimmungen für Hochrisiko-KI-Systeme und jene Transparenzverpflichtungen für KI-Systeme mit minimalem Risiko in Kraft. Hochriskant sind KI-Systeme in Bereichen der kritischen Infrastruktur, für den Zugang zu wesentlichen privaten und öffentlichen Dienstleistungen (Kreditwürdigkeit, Risikoeinstufung für Versicherungen), Strafverfolgungen, Migrations- bzw Asylkkontrollen, die Verwendung biometrischer Daten, für allgemeine und berufliche Bildung sowie zur Beschäftigung und im Personalmanagement. 

    • Bei hochriskanten KI-Systemen sind Compliance-Anforderungen einzuhalten: Datenqualität für Trainings-, Validierungs- und Testdaten; technische Dokumentation, Aufzeichnungspflichten zur Nachverfolgbarkeit, Transparenzvorgaben und Informationen zum Einsatz, Risikomangement und Genauigkeit, Robustheit sowie Cybersicherheit. Zudem greift die Verpflichtung der menschlichen Aufsicht und – für Anbieter und Betreiber – das Qualitätsmanagement und die verpflichtende Konformitätsbewertung und Konformitätserklärung.


*****

Spannendes für Experten:

  • Die KI-Definition der KI-VO gleicht der Definition der OECD, damit internationale Gleichheit herrscht.


Glossar:


Betroffener: Betroffener ist eine natürliche Person, die von den Ergebnissen bzw der KI-Funktion unmittelbar oder mittelbar betroffen ist. zB eine Person deren Gesicht via KI-Gesichtsscanner gescannt wird für eine Sicherheitskontrolle.


Betreiber: Betreiber ist eine natürliche oder juristische Person, die ein KI-System in eigener Verantwortung beruflich verwendet. zB ein Unternehmen, dass eine KI für interne Prozesse verwendet, zB PropUp


Anbieter: Anbieter eines KI-Systems ist eine natürliche oder juristische Person, die das KI-System entwickelt oder entwickeln lässt. Diese Person bringt das KI-System unter ihrem Namen oder ihrer Marke in Verkehr. zB der Hersteller oder Entwickler




Quellen:

  • Verordnung (EU) 2024/1689 ("KI-Verordnung")

  • Engel, Die KI-Verordnung – ein systematischer Überblick, KuR 2024, 445

  • Seitz, Künstliche Intelligenz: Geltung der ersten Bestimmungen zur KI-Verordnung, EuZW 2025, 203

  • Platteter, KI in der Immobilienverwaltung, Kap 5, II. Das neue Recht der KI-EU AI-Act (2025), Rz 5.8;

  • ErwGr 12, ErwGr 26, Art 2 Abs 1 lit a, b, g, Art 3 Z 56, Art 99, Anhang III KI-VO.

  • Hanzl/Moser, Künstliche Intelligenz (KI) im Fokus: Rechtliche Grundlagen (Teil I), CFOaktuell 2025, 20

  • Hanzl/Moser, Künstliche Intelligenz (KI) im Fokus: AI-Act-Implementierung & Compliance (Teil II), CFOaktuell 2025, 65

  • KI-Systems bzw als Hilfe zur Auslegung Europäische Kommission, Guidelines on the defintion of an artificial intelligence system, C(2025) 924 final.

  • cch, software competence center hagenberg, KI-Kompetenz im Sinne des Art 4 KI-VO, 2025, abrufbar unter: https://www.scch.at/aktuelles/news/detail/anforderungen-der-ki-verordnung-artikel-4-ki-vo


    Gastbeiträge: Univ. Ass. Kerstin Schatz, LL.M., LL.B.


Kerstin Schatz LL.M, LL.B, ist wissenschaftliche Mitarbeiterin der Universität Wien an der rechtswissenschaftlichen Fakultät am Institut für Europarecht, internationales Recht und Rechtsvergleichung. Im Rahmen ihrer Anstellung und ihres Doktorrats, im Bereich Rechtswissenschaften, untersucht sie Haftungs- und Marktüberwachungsmechanismen der aufstrebenden Technologien, wie künstliche Intelligenz.

 
 
 

Kommentare

bottom of page