Der AI Act / die KI-Verordnung (nachfolgend einheitlich „KI-VO“) betrifft alle Unternehmen, die Künstliche Intelligenz (KI) entwickeln und dann auf dem Europäischen Markt in Verkehr bringen, und/oder KI in ihren Produkten, Services oder Prozessen in Betrieb nehmen. Für die Anwendbarkeit der KI-VO spielt es also keine Rolle, ob KI selbst entwickelt oder nur in Betrieb genommen wird. Ebenfalls ist es unerheblich ob KI lediglich intern – bspw. als produktives Arbeitswerkzeug – oder direkt gegenüber Kunden und Geschäftspartnern zum Einsatz kommt.

Kurz: Die KI-VO kommt zur Anwendung, sobald KI Teil des Produktportfolios, des Geschäftsmodells oder der geschäftsbezogenen Abläufe ist.

Im Mittelpunkt steht das KI-System im Sinne von Art. 3 Nr. 1 KI-VO. KI-Systeme unterscheiden sich von rein regelbasierten („Wenn-Dann“) Anwendungen und klassischen Programmieransätzen durch die Art und Weise, wie ein Input zu einem Output verarbeitet wird. Nur wenn das betreffende System tatsächlich KI-gestützt arbeitet, kommt die KI-VO zur Anwendung.

Für Unternehmen kommen beim Einsatz von KI zwei grundlegende Rollen in Betracht:

• Als Anbieter gelten Unternehmen, die ein KI-System (oder bestimmte KI-Modelle) entwickeln oder entwickeln lassen, um es anschließend auf dem Europäischen Markt in Verkehr zu bringen oder in Betrieb zu nehmen.
• Betreiber sind demgegenüber Unternehmen, die ein KI-System in eigener Verantwortung in Betrieb nehmen – unabhängig davon, ob sie das System selbst entwickelt haben oder von Dritten lizensieren. 

Am Beispiel des Einsatzes eines generativen KI-Systems (bspw. ChatGPT oder MS Copilot 365) tritt ein Unternehmen regelmäßig als Betreiber auf, während es im Falle der Entwicklung von KI, auch in die Rolle des Anbieters schlüpfen kann.

Der AI Act / die KI-VO unterscheidet vier Risikoklassen mit wiederum unterschiedlichen Anforderungen:

• Verbotene KI-Praktiken: Bestimmte Use Cases von KI, die in der gesamten EU verboten sind (z. B. Emotionserkennung im Arbeitskontext, Social Scoring, manipulative Techniken).
• Hochrisiko-KI-Systeme: Zulässige Use Cases von KI, die aufgrund ihrer Risiken jedoch stark reguliert werden (u.a. durch die Pflichten zur Konformitätsbewertung, zum Risikomanagement, zur technischen Dokumentation und zur menschlichen Aufsicht).
• KI-Systeme mit Transparenzrisiken: Generative KI und Chatbots, deren Einsatz oder Output – je nach Rolle und Use Case – maschinenlesbar oder visuell wahrnehmbar gekennzeichnet werden müssen.
• KI-Systeme mit minimalen Risiken (bspw. Spam-Filter): Hier bestehen keine gesetzlichen Pflichten; es werden lediglich freiwillige Maßnahmen empfohlen.

Zusammenfassend kann man sich merken, dass Art und Umfang der Compliance-Pflichten aus der zusammenhängenden Prüfung von Rolle des Unternehmens und Risikoklasse des KI-Systems abhängen.