Künstliche Intelligenz ist in aller Munde und worüber man auch immer sprechen kann, ist die Regulierung nicht weit. Daher verwundert es auch nicht, dass sich die EU in ihrer Gesetzgebung dem großen Thema unserer Zeit, der Künstlichen Intelligenz, mit dem AI Act angenommen hat.
Schrittweises Inkrafttreten des AI Act
Seit dem 1. August 2024 ist der AI Act in Kraft. Grundsätzlich findet er erst nach einer Übergangszeit von 24 Monaten – voraussichtlich August 2026 – Anwendung. Allerdings sind KI-Systeme mit inakzeptablem Risiko schon seit Februar 2025 verboten. Vorschriften zu KI-Modellen mit allgemeinem Verwendungszweck greifen seit August 2025. Der Rest des AI Act ist noch bis August 2026 in nationales Recht umzusetzen.
Unterscheidung nach Risikoleveln und Verpflichteten
Wie man sieht, differenziert der AI Act nach Risikoleveln. Solche mit inakzeptablen Risiken sind bereits verboten; dazu gehören v.a. schwere Eingriffe in Persönlichkeitsrechte von natürlichen Personen wie durch Profiling, weniger schwerwiegende gelten als "hohes" Risiko. Begrenztes Risiko haben alle anderen AI-Systeme, die mit Menschen interagieren wie gewöhnliche Chatbots. Alle übrigen KI-Systeme haben ein geringes Risiko. Die meiste AI hat ein begrenztes oder geringes Risiko.
Was bedeutet das nun für Unternehmen, die künstliche Intelligenz einsetzen? Hier unterscheidet der AI Act wiederum zwischen Pflichten für Anbieter und für Betreiber.
Anbieter
Anbieter im Sinne von Art. 3 Nr. 3 AI Act ist "eine natürliche oder juristische Person, Behörde, Einrichtung oder sonstige Stelle, die ein KI‑System oder ein KI‑Modell mit allgemeinem Verwendungszweck entwickelt oder entwickeln lässt und es unter ihrem eigenen Namen oder ihrer Handelsmarke in Verkehr bringt oder das KI‑System unter ihrem eigenen Namen oder ihrer Handelsmarke in Betrieb nimmt, sei es entgeltlich oder unentgeltlich." Im Gegensatz dazu nutzen Betreiber laut Art. 3 Nr. 4 AI Act ein KI-System lediglich für eigene Zwecke.
Betreiberpflichten
Die meisten Unternehmen gelten mangels Entwicklung nicht als Anbieter, da sie meist nur fremde AI in Verkehr bringen oder gar nur intern nutzen. Wer also einen Chatbot für den Kundenservice einsetzt, den er nicht selbst entwickelt hat, hat lediglich Betreiberpflichten zu erfüllen. Solange die Nutzung erlaubt ist, gilt v.a. nur eine Kennzeichnungspflicht nach Art. 50 Abs. 4 UAbs. 2 des AI Act. Daneben muss der Betreiber darauf achten, dass die AI die Voraussetzungen des AI Act (v.a. Risikobewertung) während der gesamten Nutzung fortlaufend einhält.
Fallbeispiel AI Data Mining bei Unternehmen
Dies lässt sich an einem Fallbeispiel illustrieren: Ein Unternehmen "crawlt" und "minet" öffentlich verfügbare Daten von anderen Unternehmen mittels einer spezialisierten, von dritter Stelle angebotenen, aber selbst trainierten AI. Die Daten werden aufbereitet und diese den Kunden angeboten.
AI Act
Da die AI keinen allgemeinen Zweck verfolgt, sondern einen spezialisierten und sein Risiko akzeptabel ist, findet der AI Act noch keine Anwendung, sondern erst ab August 2026. Das "Profiling" ist hier nicht von natürlichen Personen; die AI interagiert auch nicht mit Menschen. Daher ist das Risiko als gering einzustufen.
Das Unternehmen ist hier nur Betreiber im Sinne des AI Act, da es weder das KI-System entwickelt hat (lassen), denn Trainieren ist keine Entwicklung, noch bringt es selbst die AI in den Verkehr, sondern nur die mit ihr generierten Ergebnisse. Das bedeutet, das Unternehmen muss über den Einsatz von AI informieren und überwachen, dass die Voraussetzungen des AI während der Nutzung eingehalten werden.
Weitere Rechtsgebiete: DSGVO, UWG und UrhG
Es lohnt sich aber auch ein Blick in weitere betroffene Rechtsgebiete: Datenschutz ist nur bei der Verarbeitung von personenbezogenen Daten betroffen. Bei Unternehmensdaten könnten dies persönliche Emailadressen oder Namen von Funktionsträgern wie Geschäftsführern sein. Bei einer Verarbeitung sind die Betroffenen nach Art. 14 DSGVO zu informieren, wobei das generelle Bereitstellen einer Datenschutzerklärung nach Art. 13 DSGVO nicht genügt.
Die Datennutzung könnte auch unlauter sein im Sinne des UWG. Hier ist darauf zu achten, dass sie nicht irreführend, verunglimpfend oder nachahmend ist, § 4 Nr. 2, 3 und § 5 UWG.
Probleme könnte das Urheberrecht bereiten. Wenn die Datenquelle eine Schöpfungshöhe erreicht, ist sie urheberrechtlich geschützt. Wenn sich der Urheber in der Datenquelle die Nutzungsrechte vorbehalten hat, ist das Data Mining unzulässig nach § 44b III 1 UrhG.
Fazit
Wie Sie sehen, ist der AI Act für die meisten Tech-Unternehmen kein schwerwiegender Eingriff und erfordert nur wenige Schritte der Umsetzung. Allerdings berührt die Nutzung von künstlicher Intelligenz oft mehrere Rechtsgebiete, von denen jedes die Nutzung rechtlich zu Fall bringen kann. Daher lohnt es sich, einen Rechtsanwalt mit einer breiten Ausrichtung im gesamten Wirtschaftsrecht mit der Prüfung Ihrer Geschäftsmodelle und dem Entwurf Ihrer allgemeinen Geschäftsbedingungen zu beauftragen.
Erschienen am 15.09.2025