Autor: Thomas Sedlmayr

Die EU-KI-Verordnung (AI Act): Was Unternehmen jetzt beachten müssen

Veröffentlicht am | von Thomas Sedlmayr

Risikobasierter Ansatz der KI-Verordnung

Die KI-VO verfolgt einen risikobasierten Ansatz. KI-Systeme werden je nach möglichem Gefährdungspotenzial in verschiedene Kategorien eingeteilt. Je höher das Risiko einer Anwendung, desto strengere Anforderungen gelten.

Unvertretbares Risiko

Bestimmte KI-Anwendungen gelten als unzulässig und sind seit 2. Februar 2025 verboten. Dazu zählen insbesondere:

  • Social Scoring (Bewertung von Personen anhand ihres Sozialverhaltens)
  • manipulative Verhaltensbeeinflussung
  • bestimmte Formen biometrischer Überwachung
Hochrisiko-KI

Als Hochrisiko-Systeme gelten KI-Anwendungen, die erhebliche Auswirkungen auf Gesundheit, Sicherheit oder Grundrechte haben können. Beispiele sind Systeme im Bereich:

  • Personalmanagement und Recruiting
  • Kreditwürdigkeitsprüfung
  • Medizin oder kritische Infrastruktur
  • Verkehr oder Bildung

Für solche Systeme gelten umfangreiche Anforderungen, etwa Risikomanagement, technische Dokumentation, Transparenz sowie menschliche Aufsicht über KI-Entscheidungen.

KI mit begrenztem Risiko

Bei KI-Systemen, die mit Personen interagieren – etwa Chatbots – gelten vor allem Transparenzpflichten. Nutzer müssen darüber informiert werden, dass sie mit einem KI-System kommunizieren.

KI mit minimalem Risiko

Viele alltägliche Anwendungen, etwa Spam-Filter, fallen in diese Kategorie. Für sie gelten grundsätzlich keine zusätzlichen Anforderungen der KI-VO.

Welche Unternehmen sind betroffen?

Die KI-VO betrifft grundsätzlich alle Unternehmen, die KI-Systeme

  • entwickeln oder unter eigenem Namen vertreiben (Anbieter)
  • im eigenen Unternehmen einsetzen (Betreiber)
  • aus Drittstaaten importieren (Importeure)
  • oder vertreiben (Händler)

Welche Pflichten bestehen, hängt sowohl von der Rolle des Unternehmens als auch von der Risikokategorie des eingesetzten KI-Systems ab.

Pflicht zur KI-Kompetenz im Unternehmen

Eine zentrale Vorgabe der KI-VO ist Art. 4 KI-VO. Danach müssen Anbieter und Betreiber sicherstellen, dass Mitarbeitende, die mit KI arbeiten, über ein ausreichendes Maß an KI-Kompetenz verfügen.

Dazu gehören insbesondere:

  • ein grundlegendes Verständnis der Funktionsweise von KI
  • das Erkennen typischer Risiken (z. B. fehlerhafte Ergebnisse oder Bias)
  • die kritische Bewertung von KI-generierten Inhalten
  • ein Bewusstsein für rechtliche und ethische Fragestellungen

Diese Pflicht gilt unabhängig von der Risikoklasse eines KI-Systems.

Umsetzung der KI-VO im Unternehmen

Unternehmen sollten sich frühzeitig mit den neuen Anforderungen befassen. Sinnvolle erste Schritte sind insbesondere:

  • Bestandsaufnahme der eingesetzten KI-Systeme
  • Analyse der jeweiligen Risiken und Einsatzbereiche
  • Schulung von Mitarbeitenden im Umgang mit KI
  • Dokumentation der eingesetzten Systeme (z. B. in einem KI-Register)
  • Einführung einer internen KI-Richtlinie sowie klarer Zuständigkeiten

Fazit

Die KI-Verordnung stellt neue Anforderungen an den Einsatz von Künstlicher Intelligenz in Unternehmen. Neben technischen Fragen stehen dabei vor allem Organisation, Governance und rechtliche Compliance im Mittelpunkt.

Unternehmen sollten sich frühzeitig mit den Vorgaben der KI-VO befassen und entsprechende Strukturen schaffen, um rechtliche Risiken zu minimieren und KI verantwortungsvoll einzusetzen.

Hinweis

Die neuen gesetzlichen Vorgaben zur Künstlichen Intelligenz werfen für viele Unternehmen praktische Fragen auf. Im Rahmen unseres Mandantenmeetings zur KI-Verordnung und aktuellen rechtlichen Entwicklungen im Bereich KI werden wir die wichtigsten Aspekte näher erläutern.

 

Newsletter CBAM

Veröffentlicht am | von Thomas Sedlmayr

Was ist Carbon Border Adjustment Mechanism (CBAM)?

Der CO2-Grenzausgleichmechanismus (CBAM) ist ein klimapolitisches Instrument der EU und Teil des „Fit for 55“-Pakets mit dem Ziel, die Treibhausgasemissionen bis 2030 um mindestens 55 % im Vergleich zu den Werten aus dem Jahr 1990 zu reduzieren. CBAM soll dabei das Risiko der Verlagerung von CO2-Emissionen bekämpfen.
Unternehmen, die emissionsintensive Waren in die EU importieren, werden dadurch verpflichtet CBAM-Zertifikate zu erwerben, um die Differenz zwischen dem gezahlten Kohlenstoffpreis im Produktionsland und dem höheren Preis der Kohlenstoffzertifikate im EU-Emissionshandelssystem auszugleichen.

Wer ist betroffen?

Alle Unternehmen innerhalb der EU, die Eisen, Stahl, Zement, Aluminium, Elektrizität, Düngemittel, Wasserstoff sowie bestimmte vor- und nachgelagerte Produkte in reiner oder verarbeiteter Form aus Nicht-EU-Staaten importieren, müssen alle Importe ab dem 1. Oktober 2023 gesondert quartalsweise melden. Berichtspflichtig ist der Zollanmelder oder dessen indirekter Vertreter.

 

Wann ist es soweit?

Alle entsprechenden Importe ab dem 1. Oktober 2023 müssen quartalsweise bis Ende Januar 2024 als erste Meldung abgegeben werden.
Die Übergangsphase läuft bis zum 31. Dezember 2025, ab 2026 läuft die Implementierungsphase.

 

Was ist zu tun?

Vorbereitend sollten die innerbetrieblichen Zuständigkeiten für dieses Thema festgelegt und die Importe nach Ursprungsland zusammengestellt werden.

In der Übergangsphase bis zum 31. Dezember 2025 haben Importeure folgende Pflichten:

  • Berechnung und Dokumentation der im Produktionsprozess entstandenen direkten und indirekten Emissionen der importierten Güter.
  • Registrierung im CBAM-Meldeportal

Quartalsweise Vorlage eines CBAM-Berichts (spätestens 1 Monat nach Quartalsende)

 

Ihre Ansprechpartner zu diesem Thema

Thomas Sedlmayr
Rechtsanwalt
Betriebswirt (IWW)

sedlmayr@sws-p.de

Katharina Sigl
Betriebswirtin (B. A.)
Wirtschaftsjuristin (LL. M.)

sigl@sws-p.de