Einleitung
Die Verordnung (EU) 2024/1689 zur Festlegung harmonisierter Vorschriften für Künstliche Intelligenz (KI-Verordnung, auch „AI Ac“ genannt) verfolgt einen risikobasierten Ansatz, der Unternehmen verpflichtet, Governance-Strukturen entsprechend der Risikoklasse ihrer KI-Anwendungen zu etablieren. Mit dem deutschen Umsetzungsgesetz – dem KI-Marktüberwachungs- und Innovationsförderungsgesetz (KI-MIG) – konkretisiert der Gesetzgeber diese Anforderungen und schafft nationale Zuständigkeiten.
Risikoklassifizierung und Governance
Die KI-Verordnung unterscheidet zwischen minimalem, begrenztem, hohem und unannehmbarem Risiko. Hochrisiko-KI-Systeme unterliegen strengen Anforderungen wie Risikomanagement, Dokumentation, Transparenz und menschlicher Aufsicht. Unternehmen müssen ihre KI-Anwendungen klassifizieren und entsprechende Governance-Maßnahmen implementieren.
Zuständige Behörden
Die Bundesnetzagentur (BNetzA) übernimmt die Rolle der Marktüberwachungsbehörde. Das neue Koordinierungs- und Kompetenzzentrum KI-Verordnung (KoKIVO) unterstützt die horizontale Rechtsauslegung und bietet Orientierung für Unternehmen.
Integration in Compliance-Managementsysteme (CMS)
Digitale CMS
Die Anforderungen der KI-Verordnung lassen sich durch Rollenmodelle (z. B. AI Auditor), technische Maßnahmen (z. B. Logging), Dokumentation, Schulung und Audits in bestehende Compliance-Managementsysteme integrieren. Internationale Standards wie ISO/IEC 42001, NIST AI RMF und das Trusted AI Framework bieten zusätzliche Orientierung.
Analoge CMS
Viele kleine und mittlere Unternehmen (KMU) verfügen über ein Compliance-Managementsystem (CMS), das nicht webbasiert oder softwaregestützt ist. Die KI-Verordnung (EU) 2024/1689 verlangt jedoch auch von diesen Unternehmen, eine risikobasierte Governance für eingesetzte KI-Systeme zu etablieren. Die Umsetzung kann auch ohne digitale Plattformen erfolgen, wenn strukturierte Prozesse und Dokumentationen vorhanden sind.
Folgende Schritte gelten als Best Practice für die risikobasierte Integration in analoge oder teil-digitale CMS:
- 1. Risikoidentifikation:
Erfassen Sie alle KI-Anwendungen im Unternehmen – auch solche, die über Browser oder Office-Tools wie Copilot genutzt werden. Bewerten Sie, ob diese Anwendungen in Entscheidungsprozesse eingebunden sind oder lediglich unterstützend wirken.
- 2. Risikobewertung und Klassifizierung:
Nutzen Sie ein einfaches Excel- oder Word-basiertes Risikoregister, um die KI-Anwendungen nach Risikoklassen der KI-VO zuzuordnen (z. B. geringes Risiko bei Textvorschlägen, hohes Risiko bei automatisierter Kundenbewertung).
- 3. Dokumentation und Nachvollziehbarkeit:
Führen Sie eine manuelle Dokumentation über Zweck, Funktionsweise und Datenbasis der KI-Anwendungen. Diese kann in einem CMS-Ordner abgelegt und regelmäßig aktualisiert werden.
- 4. Schulung und Sensibilisierung:
Schulen Sie Mitarbeitende zu Chancen und Risiken von KI. Nutzen Sie einfache Schulungsunterlagen oder externe Webinare. Dokumentieren Sie die Teilnahme analog oder digital.
- 5. Kontrolle und Überwachung:
Führen Sie regelmäßige manuelle Reviews durch, z. B. durch die Compliance-Funktion oder Geschäftsleitung. Ergebnisse und Maßnahmen sollten protokolliert werden.
Auch ohne digitale GRC-Tools ist eine regulatorisch sichere Umsetzung möglich, wenn die Anforderungen der KI-VO systematisch und nachvollziehbar erfüllt werden. Die Einbindung in bestehende CMS-Strukturen – etwa über analoge Richtlinien, Checklisten und Schulungspläne – ist dabei entscheidend.
Branchenspezifische und größenabhängige Anforderungen
Spezielle Regelungen für Versicherungen
Versicherungsunternehmen unterliegen zusätzlichen Governance-Pflichten, wenn sie KI-Systeme einsetzen. Die KI-Verordnung (EU) 2024/1689 gilt grundsätzlich für alle Betreiber von KI-Systemen – also auch für Versicherer, die KI intern oder extern nutzen. Laut dem GDV-Positionspapier zur nationalen Umsetzung der KI-Verordnung müssen Versicherer insbesondere Risikoklassifizierungen für eingesetzte KI-Systeme vornehmen, Transparenzpflichten erfüllen und Datenschutz sowie Diskriminierungsfreiheit sicherstellen. Die BaFin wird voraussichtlich als zuständige Marktüberwachungsbehörde für den Finanzsektor agieren, während die Bundesnetzagentur (BNetzA) über das neue KoKIVO die horizontale Rechtsauslegung unterstützt.
Unterschiede je nach Unternehmensgröße
Die KI-Verordnung und das deutsche Umsetzungsgesetz (KI-MIG) folgen dem Prinzip der Proportionalität. Große Unternehmen mit komplexen KI-Anwendungen müssen umfassende Governance-Strukturen, Risikobewertungen und Audits implementieren. Kleine und nicht komplexe Unternehmen (SNCU) sind von bestimmten Pflichten ausgenommen – im Versicherungsbereich etwa von der Pflicht zur Szenarioanalyse im ORSA. Dennoch müssen auch SNCUs die Wesentlichkeit ihrer KI-Risiken bewerten und begründen, warum bestimmte Anforderungen nicht gelten.
Best-Practice-Beispiel für Kleinunternehmen
Ein Kleinunternehmen, das KI nur über ChatGPT oder Copilot im Browser nutzt, fällt unter die Verordnung, sofern die Nutzung beruflich erfolgt. Empfohlene Maßnahmen sind: Dokumentation der Nutzung, Risikoeinschätzung, Transparenz und Schulung der Mitarbeitenden, Datenschutzprüfung und Verhaltensregeln zur KI-Nutzung. Diese Maßnahmen können in einem Mini-KI-Governance-Framework dokumentiert werden – idealerweise als Bestandteil des bestehenden Compliance-Managementsystems.
