Datenschutz-Akademie » Datenschutz-News » KI-Verordnung

KI-Verordnung und KI-Gesetz aktueller Stand

Die KI-Verordnung: Ein Meilenstein für die Regulierung von künstlicher Intelligenz

Die Welt der Künstlichen Intelligenz (KI) entwickelt sich rasant. Immer komplexere KI-Systeme durchdringen unseren Alltag und verändern die Art und Weise, wie wir leben und arbeiten. Angesichts dieser Entwicklungen ist es unabdingbar, einen rechtlichen Rahmen zu schaffen, der den ethischen und sicheren Einsatz von KI gewährleistet. Die Europäische Union hat mit der KI-Verordnung, auch bekannt als AI Act, einen solchen Rahmen geschaffen. Dieser umfassende Rechtsakt zielt darauf ab, die Entwicklung und den Einsatz von KI in Europa zu regulieren und gleichzeitig Innovationen zu fördern.

In diesem Artikel werden wir uns eingehend mit der KI-Verordnung beschäftigen. Wir erklären, welche Ziele die Verordnung verfolgt, welche Arten von KI-Systemen sie betrifft und welche Pflichten für Unternehmen und Organisationen entstehen. Zudem gehen wir auf die wichtigsten Zeitpunkte und Fristen ein, die Unternehmen bei der Umsetzung der neuen Vorschriften beachten müssen.

Wichtigste Informationen zur KI-Verordnung

  • Der korrekte juristische Begriff in der EU und der offizielle Name des deutschen Gesetzeswerkes ist „KI-Verordnung“, dieser wird als KI-VO abgekürzt. Der internationale, englische Begriff lautet AI Act. Im deutschen wird oft umgangssprachlich vom KI-Gesetz gesprochen. Alle Begriffe beziehen sich auf die gleiche EU-Regelung.
  • Die KI-VO ist bereits in Kraft getreten, verfolgt aber eine
  • Die KI-Verordnung verfolgt einen risikobasierten Ansatz und teilt KI-Systeme in die vier Risikokategorien unannehmbares Risiko (z. B. Social Scoring), hohes Risiko (z. B. KI in der medizinischen Diagnostik), begrenztes Risiko (z. B. Chatbots) und minimales Risiko (z. B. KI-gestützte Spiele) ein. Je nach Kategorie gelten unterschiedliche Anforderungen, um Sicherheit und Grundrechtsschutz zu gewährleisten.
  • Die Verordnung findet extraterritoriale Anwendung und gilt nicht nur für in der EU ansässige Unternehmen, sondern auch für Organisationen außerhalb der EU, sofern ihre KI-Systeme innerhalb der EU genutzt werden. Dies stellt sicher, dass europäische Bürger weltweit vor Risiken durch KI-Systeme geschützt werden.
  • Die KI-Verordnung strebt eine Balance zwischen Förderung von Innovation und Schutz der Grundrechte an, indem sie klare Regeln für den Einsatz von KI setzt. Sie schützt Grundrechte wie Datenschutz und Nichtdiskriminierung und schafft gleichzeitig einen stabilen Rechtsrahmen, um Investitionen in KI-Technologien zu fördern.

Inhalt zum Thema KI-Verordnung:

Was ist die KI-Verordnung der EU?

Die KI-Verordnung der EU, auch als AI Act bezeichnet, ist ein umfassendes Regelwerk, das den Einsatz von KI-Systemen innerhalb der EU regelt. Ziel ist es, einen sicheren und ethischen Einsatz von KI zu gewährleisten und gleichzeitig Innovationen zu fördern.

Gesetzgeberische Ziele und Hintergründe der KI-Verordnung

Die KI-Verordnung (AI Act) ist ein wichtiges Gesetz, das die Entwicklung und den Einsatz von Künstlicher Intelligenz in der Europäischen Union regelt. Ihr Ziel ist es, einen ausgewogenen Rahmen zu schaffen, der sowohl den Schutz der Grundrechte gewährleistet als auch Innovationen fördert.

Zentrale Ziele der KI-Verordnung:

  • Schutz der Grundrechte: Die Verordnung stellt sicher, dass KI-Systeme nicht dazu missbraucht werden, um Grundrechte wie Datenschutz oder Nichtdiskriminierung zu verletzen.
  • Förderung von Innovation: Durch klare und einheitliche Regeln schafft die KI-Verordnung einen sicheren Rahmen für Unternehmen, um neue KI-Technologien zu entwickeln und einzusetzen.
  • Minimierung von Risiken: Besonders riskante KI-Anwendungen werden strenger reguliert, um potenzielle Gefahren für die Gesellschaft zu minimieren.
    Warum ist die KI-Verordnung notwendig?

KI-Systeme sind längst Teil unseres Alltags. Während einfache Anwendungen wie Filmempfehlungen unproblematisch sind, können andere, wie etwa bei Kreditentscheidungen oder Social Scoring, erhebliche Auswirkungen auf das Leben von Menschen haben. Bisher gab es in der EU keine spezifischen Gesetze für KI, weshalb die KI-Verordnung eine wichtige Lücke schließt.

Zeitplan zur Umsetzung der KI-Verordnung (AI Act): Handlungsschritte für Organisationen

  • 12. Juli 2024

    Veröffentlichung des AI-Gesetzes im Amtsblatt der EU

    Die KI-VO wird offiziell veröffentlicht. Dies markiert den Beginn der Übergangsfrist.

    Handlungsschritte:

    • Informieren Sie sich über die Inhalte und Anforderungen der KI-VO.
    • Identifizieren Sie relevante Abschnitte des Gesetzes, die Ihre Organisation betreffen könnten.

  • 1. August 2024

    Inkrafttreten der KI-VO

    Die KI-VO tritt offiziell in Kraft. Zu diesem Zeitpunkt gelten noch keine verbindlichen Anforderungen, die Anwendung erfolgt schrittweise.

    Handlungsschritte:

    • Stellen Sie ein Team oder eine Arbeitsgruppe zusammen, die die Umsetzung der KI-VO überwacht.
    • Entwickeln Sie einen Fahrplan, um die Anforderungen rechtzeitig zu erfüllen.

  • 2. November 2024

    Frist für Mitgliedstaaten

    Die EU-Mitgliedstaaten müssen Behörden benennen, die für den Schutz der Grundrechte verantwortlich sind.

    Handlungsschritte für Organisationen:

    • Beobachten Sie die Benennung der zuständigen Behörden, um bei Bedarf rechtzeitig mit ihnen in Kontakt zu treten.
    • Bereiten Sie sich dich darauf vor, Informationsanforderungen oder Anfragen der Behörden zu beantworten.

  • 2. Februar 2025

    Verbotene KI-Systeme eliminieren und KI-Kompetenz sicherstellen

    Ab diesem Datum dürfen KI-Systeme, die als unannehmbar gelten, nicht mehr verwendet werden. Dazu gehören:

    • Systeme, die menschliches Verhalten manipulieren.
    • Systeme, die Schwachstellen (z. B. von Kindern) ausnutzen.
    • Sozialpunktesysteme zur Bewertung von Menschen.

    Handlungsschritte:

    • Bestandsaufnahme: Prüfe alle eingesetzten und geplanten KI-Systeme auf verbotene Praktiken.
    • Risikomanagement: Dokumentiere, dass keine verbotenen Praktiken genutzt werden.
    • Dienstleister überprüfen: Kläre mit Drittanbietern, dass deren Systeme ebenfalls konform sind.

    Organisationen müssen die KI-Kompetenz Ihrer Mitarbeiter sicherstellen, informieren Sie sich hier zu den Handlungsschritte im Zusammenhang mit der KI-Kompetenz.

  • 2. August 2025

    Anwendbarkeit für KI-Systeme mit allgemeinem Verwendungszweck

    Ab diesem Datum gelten erweiterte Anforderungen, insbesondere für Basismodelle wie Chat-GPT.

    Handlungsschritte:

    • Richtlinien entwickeln: Erstelle eine interne KI-Policy, die alle Prozesse und Regeln beschreibt.
    • Verantwortlichkeiten klären: Bestimme, wer für den Einsatz und die Überwachung von KI-Systemen zuständig ist.
    • Transparenz schaffen: Führe ein Register aller KI-Systeme, das deren Zweck und mögliche Risiken dokumentiert.

  • 2. August 2026

    Allgemeine Anwendbarkeit der KI-VO

    Die Vorschriften für Hochrisiko-KI-Systeme und Transparenzpflichten treten in Kraft.

    Handlungsschritte:

    • Konformität sicherstellen: Für Hochrisiko-KI-Systeme müssen Nachweise über Sicherheit und Rechtskonformität vorliegen. Ziehe ggf. externe Experten hinzu.
    • Mitarbeiter schulen: Sensibilisiere dein Team für den Umgang mit KI und potenzielle Risiken.
    • Klarheit für Nutzer: Kennzeichne deutlich, wenn Nutzer mit einer KI interagieren, z. B. durch Hinweise wie: „Entscheidung unterstützt durch KI.“
    • Externe Anbieter prüfen: Kläre, ob Drittanbieter-Systeme die neuen Anforderungen erfüllen.

  • 2. August 2027

    Anwendbarkeit der KI-VO für bestimmte Hochrisiko-KI-Systeme

    Übergangsfristen enden für Hochrisiko-KI-Systeme, die vor Inkrafttreten der Verordnung eingesetzt wurden.

    Handlungsschritte:

    • Bestandsanalyse: Identifiziere ältere KI-Systeme und prüfe, ob sie unter die Hochrisiko-Kategorie fallen.
    • Upgrades planen: Passe bestehende Systeme an oder ersetze sie durch neue, konforme Lösungen.
    • Zertifizierungen einholen: Arbeite mit akkreditierten Stellen zusammen, um die Konformität deiner Systeme zu gewährleisten.

Anwendungsbereich, Links und die wichtigsten Definitionen der KI-Verordnung

Nachfolgend ist der vollständige Gesetzestext der Verordnung(EU) 2024/1689 zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz verlinkt.

Die KI-Verordnung definiert einen umfassenden Rechtsrahmen für Künstliche Intelligenz. Sie legt zunächst fest, was genau als KI-System gilt und welche Systeme unter ihre Bestimmungen fallen. Anschließend teilt sie diese Systeme in verschiedene Risikokategorien ein, um spezifische Vorschriften für unterschiedliche Einsatzbereiche zu definieren. Dabei spielt es keine Rolle, wo sich der Entwickler oder Nutzer eines KI-Systems befindet: Die Verordnung gilt für alle KI-Systeme, die in der Europäischen Union in Verkehr gebracht oder genutzt werden.

Extraterritoriale Anwendung der KI-Verordnung

Vereinfacht gesagt bedeutet “extraterritoriale Anwendung”, dass ein Gesetz auch außerhalb des Territoriums eines Staates gilt. Im Falle der KI-VO bedeutet dies, dass er nicht nur für Organisationen gilt, die ihren Sitz in der EU haben, sondern auch für Organisationen mit Sitz außerhalb der EU, sofern ihre KI-Systeme in der EU genutzt werden. KI-Systeme werden weltweit entwickelt und eingesetzt. Um einen einheitlichen Rechtsrahmen für KI in der EU zu gewährleisten, ist es notwendig, auch Organisationen außerhalb der EU zu erreichen, deren Systeme in der EU genutzt werden. Durch die extraterritoriale Anwendung wird sichergestellt, dass auch EU-Bürger vor den Risiken geschützt werden, die durch den Einsatz von KI-Systemen entstehen können, selbst wenn diese Systeme von Organisationen außerhalb der EU entwickelt wurden.

Konkrete Beispiele:

  • Ein US-amerikanisches Unternehmen entwickelt ein KI-System für die Gesichtserkennung und verkauft dieses System an ein europäisches Unternehmen. Auch wenn das US-amerikanische Unternehmen seinen Sitz außerhalb der EU hat, unterliegt es den Bestimmungen des AI Acts, da das System in der EU eingesetzt wird.

Von der KI-Verordnung betroffene Akteure

Die KI-Verordnung bezieht sich auf alle Akteure in der KI-Wertschöpfungskette. Betroffen sind Arbeitgeber, unabhängig von ihrer Größe, vom Start-up bis zum internationaler Konzern und sowohl für Organisationen, die eigene KI-Systeme entwickeln (Anbieter), als auch für Organisationen, die fremde KI-Systeme einsetzen (Betreiber). Dies umfasst nicht nur die direkten Entwickler und Nutzer von KI-Systemen, sondern auch alle anderen Beteiligten, wie etwa Zulieferer und Dienstleister.

“Anbieter” ist eine natürliche oder juristische Person, Behörde, Einrichtung oder sonstige Stelle, die ein KI-System oder ein KI-Modell für allgemeine Zwecke entwickelt oder ein KI-System oder ein KI-Modell für allgemeine Zwecke entwickeln lässt und es unter ihrem eigenen Namen oder ihrer eigenen Marke in Verkehr bringt oder in Betrieb nimmt, unabhängig davon, ob dies entgeltlich oder unentgeltlich geschieht;

KI-Verordnung, Artikel 3 (3)

“Betreiber”: ein Anbieter, Produkthersteller, Verteiler, Bevollmächtigter, Importeur oder Händler;

KI-Verordnung, Artikel 3 (8)

Importeur”: eine in der Union ansässige oder niedergelassene natürliche oder juristische Person, die ein KI-System in Verkehr bringt, das den Namen oder die Marke einer in einem Drittland ansässigen natürlichen oder juristischen Person trägt;

KI-Verordnung, Artikel 3 (6)

“Händler”: eine natürliche oder juristische Person in der Lieferkette, die ein KI-System auf dem Unionsmarkt bereitstellt und nicht der Anbieter oder Einführer ist;

KI-Verordnung, Artikel 3 (7)

Was ist der Unterschied zwischen KI-System, KI-Modell und GPAI-Modell?

Der Unterschied zwischen einem KI-System, einem KI-Modell und einem GPAI-Modell (General Purpose AI-Modell) liegt vor allem in ihrem Anwendungsbereich, ihrer Struktur und ihrem Zweck. Diese Unterscheidung ist für die Anwendung der KI-Verordnung von entscheidender Bedeutung, da für KI-Systeme und KI-Modelle unterschiedliche Anforderungen gelten. So unterliegen beispielsweise GPAI-Modelle besonderen Vorschriften. Die Unterscheidung hilft außerdem dabei, die Verantwortlichkeiten der verschiedenen Akteure (Anbieter, Betreiber) klar zuzuordnen und die Einstufung eines Systems als KI-System oder KI-Modell beeinflusst auch die Risikobewertung und damit die anzuwendenden Sicherheitsmaßnahmen.

KI-System

Ein KI-System ist eine Anwendung oder ein Werkzeug, das auf künstlicher Intelligenz basiert, um spezifische Aufgaben zu erfüllen. Es umfasst nicht nur das KI-Modell selbst, sondern auch die gesamte Infrastruktur und Software, die erforderlich ist, um die KI-Technologie für einen bestimmten Zweck nutzbar zu machen.

KI-System

“KI-System”: ein maschinengestütztes System, das so konzipiert ist, dass es mit unterschiedlichem Grad an Autonomie betrieben werden kann und nach seiner Einführung Anpassungsfähigkeit zeigt, und das für explizite oder implizite Ziele aus den Eingaben, die es erhält, ableitet, wie es Ausgaben wie Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen generieren kann, die physische oder virtuelle Umgebungen beeinflussen können;

KI-Verordnung, Artikel 3 (1)

  • Bestandteile: KI-Modelle, Algorithmen, Datenbanken, Benutzeroberflächen und Hardware.
  • Zweck: Die Lösung spezifischer Probleme oder die Erfüllung klar definierter Aufgaben, wie z. B. Chatbots, Gesichtserkennung, automatisierte Diagnosen oder Empfehlungssysteme.
  • Beispiel: Ein autonomes Fahrzeug ist ein KI-System, das verschiedene Modelle (z. B. Bilderkennung, Sprachverarbeitung) kombiniert, um sicher durch den Verkehr zu navigieren.

KI-Modell

Ein KI-Modell ist der technische Kern eines KI-Systems und besteht aus Algorithmen, die mit Daten trainiert wurden, um Muster zu erkennen, Entscheidungen zu treffen oder Vorhersagen zu treffen. Es ist das mathematische oder statistische Konstrukt, das hinter der eigentlichen “Intelligenz” steht.

  • Bestandteile: Algorithmen, neuronale Netzwerke und trainierte Parameter.
  • Zweck: Verarbeitung von Daten, um Ergebnisse basierend auf den im Training gelernten Mustern zu liefern.
  • Beispiel: Ein KI-Modell für Spracherkennung könnte darauf trainiert sein, menschliche Sprache in Text umzuwandeln. Dieses Modell wird dann in ein KI-System (z. B. ein Sprachassistent) integriert.

GPAI-Modell (General Purpose AI-Modell)

Ein GPAI-Modell (Allgemein einsetzbares KI-Modell) ist eine spezifische Art von KI-Modell, das für eine Vielzahl unterschiedlicher Anwendungen und Aufgaben genutzt werden kann. Es ist nicht auf einen bestimmten Zweck beschränkt und daher besonders flexibel einsetzbar.

  • Bestandteile: Fortgeschrittene, skalierbare KI-Architekturen, wie große Sprachmodelle (z. B. GPT) oder multimodale Modelle, die Text, Bild und andere Eingaben verarbeiten können.
  • Zweck: Breite Anwendbarkeit in unterschiedlichen Kontexten, z. B. Übersetzung, Textgenerierung, Problemlösung oder kreative Aufgaben.
  • Beispiel: ChatGPT oder GPT-4 sind GPAI-Modelle, die sowohl als Textgenerator als auch für Code-Entwicklung, Übersetzungen oder Datenanalyse genutzt werden können.

Was ist der risikobasierte Ansatz der KI-VO?

Der risikobasierten Ansatz der KI-VO schafft einen klaren Rahmen, um innovative KI-Technologien sicher und verantwortungsvoll einzusetzen. Ein risikobasierter Ansatz bedeutet, dass Maßnahmen, Regeln oder Vorschriften nicht pauschal für alle Fälle gelten, sondern sich nach dem spezifischen Risiko richten, das von einer Technologie, Aktivität oder einem System ausgeht. Im Kontext des AI Acts bedeutet das, dass KI-Systeme basierend auf ihrer potenziellen Gefährdung oder den Auswirkungen auf die Gesellschaft in die folgenden unterschiedliche Risikoklassen eingeteilt werden: unannehmbares Risiko, hohes Risiko, begrenztes Risiko und minimales Risiko.

Organisationen sollten sich mit den Risikokategorien und den jeweiligen Anforderungen vertraut machen, um Compliance sicherzustellen und potenzielle Haftungsrisiken zu minimieren. Dazu ist es wichtig im ersten Schritt die Risikoklassen der eingesetzten KI-Systeme zu identifizieren.

Risikoklasse für KI-Systeme:

KI-Systeme, die europäische Werte verletzen oder ein unzumutbares Risiko darstellen, sind verboten. Beispiele hierfür sind:

  • Social Scoring-Systeme zur Bewertung von Personen über ihr Verhalten.
  • Systeme, die manipulatives Verhalten fördern oder Schwachstellen von Personen gezielt ausnutzen.
  • Biometrische Echtzeit-Fernidentifizierungssysteme zu Strafverfolgungszwecken in öffentlichen Räumen (mit Ausnahmen).
  • Systeme zur Emotionserkennung am Arbeitsplatz oder in Schulen.

Praxis-Tipp: Organisationen sollten ihre eingesetzten oder geplanten KI-Systeme daraufhin überprüfen, ob sie in diese Kategorie fallen. Solche Anwendungen sind strikt verboten und dürfen nicht auf den Markt gebracht werden.

Hochrisiko-KI-Systeme sind solche, die die Gesundheit, Sicherheit oder Grundrechte von Menschen beeinträchtigen könnten. Dazu gehören:

  • Sicherheitskritische Anwendungen, wie in Medizinprodukten oder Fahrzeugen.
  • Systeme, die über Bildungszugang, Arbeitsmöglichkeiten oder Kreditwürdigkeiten entscheiden.

Anforderungen: Anbieter müssen diese Systeme einer Ex-ante-Konformitätsbewertung unterziehen und umfassende technische Dokumentation bereitstellen. Darüber hinaus müssen:

  • Qualitäts- und Risikomanagementsysteme implementiert werden.
  • Trainingsdaten den Vorgaben des AI Acts entsprechen (Art. 10).
  • Transparenz und Kontrollmöglichkeiten für die Nutzer sichergestellt sein.

Praxis-Tipp: Unternehmen sollten frühzeitig interne Prozesse aufsetzen, um diese Anforderungen zu erfüllen. Dazu gehören beispielsweise Mitarbeiterschulungen, die Erstellung einer Grundrechte-Folgenabschätzung und die Bereitstellung eines Ansprechpartners für den europäischen Markt.

KI-Systeme, die für die Interaktion mit Menschen bestimmt sind, unterliegen bestimmten Transparenzvorgaben:

  • Nutzer müssen darüber informiert werden, dass sie mit einem KI-System interagieren.
  • Synthetisch erzeugte Inhalte (z. B. Deepfakes) müssen als solche gekennzeichnet werden.

Praxis-Tipp: Anbieter von Chatbots oder Content-Generierungssystemen sollten klar kommunizieren, dass es sich um KI-basierte Systeme handelt. Eine einfache und sichtbare Kennzeichnung kann potenzielle Verstöße vermeiden.

KI-Systeme, die keiner der oben genannten Kategorien zugeordnet werden können, können ohne besondere Einschränkungen verwendet werden.

Praxis-Tipp: Unternehmen können solche Systeme ohne zusätzliche Regulierungsanforderungen einsetzen. Dennoch sollte eine regelmäßige Überprüfung stattfinden, falls sich der Einsatzbereich ändert.

Der AI Act widmet sich auch KI-Modellen mit allgemeinem Verwendungszweck, wie z. B. GPT-4. Diese Modelle, die in zahlreichen Kontexten genutzt werden können, unterliegen je nach Einsatzbereich spezifischen Anforderungen. Insbesondere Modelle mit systemischen Risiken müssen zusätzliche Anforderungen erfüllen.

Praxis-Tipp: Anbieter solcher Modelle sollten eine klare Dokumentation der Einsatzszenarien erstellen und sicherstellen, dass die Modelle für risikobehaftete Anwendungen entsprechend reguliert sind.

Welche Aufsichtsbehörde überwacht die Einhaltung der KI-Verordnung?

Die KI-Verordnung sieht vor, dass jeder EU-Mitgliedstaat eine eigene Behörde benennt, die für die Überwachung der Umsetzung zuständig ist. Deutschland muss also ebenfalls eine solche Behörde bestimmen. Die Frage nach der konkreten Aufsichtsbehörde für KI in Deutschland ist aktuell noch nicht abschließend geklärt.

Mögliche Kandidaten für diese Aufgabe sind unter anderem:

  • Bundesnetzagentur: Aufgrund ihrer technischen Expertise und Erfahrung in der Regulierung digitaler Märkte wird die Bundesnetzagentur häufig als möglicher Kandidat genannt.
  • Bundesamt für Sicherheit in der Informationstechnik (BSI): Das BSI ist für die IT-Sicherheit zuständig und könnte aufgrund seiner Expertise in diesem Bereich ebenfalls eine Rolle spielen.
  • Bundesministerium für Digitales und Verkehr (BMDV): Als ressortübergreifende Behörde könnte das BMDV eine koordinierende Funktion übernehmen.

Welche Auswirkungen hat die KI-Verordnung auf Organisationen?

Für Organisationen bringt die Verordnung sowohl Herausforderungen als auch Chancen:

  • Compliance-Auflagen: Organisationen müssen ihre KI-Systeme auf Konformität prüfen und gegebenenfalls anpassen.
  • Wettbewerbsvorteil: Einhaltung der Vorschriften kann das Vertrauen der Kunden erhöhen.
  • KI-Kompetenz: Organisationen müssen die KI-Kompetenz Ihrer Mitarbeiter sicherstellen.
  • Innovationsdruck: Organisationen sind gefordert, innovative und regelkonforme Lösungen zu entwickeln.
  • Kennzeichnungspflicht: Organisationen müssen durch KI generierte Inhalte kennzeichnen.

Organisationen müssen die KI-Kompetenz von Mitarbeitern sicherstellen

Die EU-KI-Verordnung stellt Organisationen ab Februar 2025 vor eine neue Herausforderung: die Sicherstellung von KI-Kompetenz bei ihren Mitarbeitern. Das bedeutet, dass Organisationen sicherstellen müssen, dass die Personen, die mit der Entwicklung, dem Einsatz oder der Wartung von KI-Systemen betraut sind, über ausreichendes Wissen und Verständnis dieser Technologie verfügen. Diese neue Vorschrift zielt darauf ab, einen verantwortungsvollen Umgang mit Künstlicher Intelligenz zu fördern und potenzielle Risiken zu minimieren. Organisationen müssen sich daher darauf einstellen, ihre Mitarbeiter entsprechend zu schulen und weiterzubilden. Nur so können sie sicherstellen, dass KI-Systeme ethisch und rechtlich korrekt eingesetzt werden.

Was besagt der Artikel 4 der KI-VO?

“Die Anbieter und Betreiber von KI-Systemen ergreifen Maßnahmen, um nach bestem Wissen und Gewissen sicherzustellen, dass ihr Personal und andere Personen, die in ihrem Auftrag mit dem Betrieb und der Nutzung von KI-Systemen befasst sind, über ausreichende KI-Kompetenz verfügen, wobei ihre technischen Kenntnisse, ihre Erfahrung, ihre Aus- und Weiterbildung und der Kontext, in dem die KI-Systeme eingesetzt werden sollen, sowie die Personen oder Personengruppen, bei denen die KI-Systeme eingesetzt werden sollen, berücksichtigt werden.”

Was bedeutet KI-Kompetenz?

Unter KI-Kompetenz versteht man die Fähigkeit, Künstliche Intelligenz zu verstehen, verantwortungsvoll einzusetzen und ihre Auswirkungen abzuschätzen. Das beinhaltet sowohl technische Kenntnisse über die Funktionsweise von KI-Systemen als auch ein Bewusstsein für die sozialen, ethischen und rechtlichen Aspekte des Einsatzes von KI.

Die KI-Kompetenz umfasst drei Kernbereiche:

  1. Grundlegendes Verständnis von KI: Ein solides Wissen über die Funktionsweise von KI-Systemen ist Voraussetzung für deren sinnvollen Einsatz.
  2. Kritische Einordnung von KI: Die Fähigkeit, die Chancen und Risiken von KI abzuwägen und ethische Aspekte zu berücksichtigen.
  3. Praktische Anwendung von KI: Konkrete Fähigkeiten im Umgang mit KI-Systemen, angepasst an den jeweiligen Einsatzbereich.

Wie kann KI-Kompetenz vermittelt werden?

Hier schreibt die KI-Verordnung keinen konkreten Lösungsweg vor. Jede Organisation muss ein eigenes Konzept entwickeln, das auf seine spezifischen Bedürfnisse zugeschnitten ist. Dazu gehören Schulungen, Weiterbildungen, die Entwicklung interner Richtlinien und die Förderung des Austauschs zwischen verschiedenen Abteilungen.

Die KI-Kompetenz sollte möglichst praxisnah vermittelt werden, um den Transfer in den Arbeitsalltag zu erleichtern. Zunächst sollten alle Mitarbeiter ein grundlegendes Verständnis von KI erhalten und angesichts der rasanten Entwicklung im Bereich der KI eine kontinuierliche Weiterbildung ermöglicht bekommen. Dabei müssen Datenschutzbestimmungen bei der Entwicklung und dem Einsatz von KI-Systemen berücksichtigt werden. Beziehen Sie daher alle Interessengruppen, wie Datenschutzbeauftragte, Informationssicherheitsbeauftragte, IT-Abteilung, Personalabteilung oder wenn vorhanden den Betriebsrats bei der Gestaltung von Schulungsmaßnahmen ein.

Vorschlag für einen Leitfaden für ein KI-Schulungskonzept:

Der Bedarf sollte sich also einerseits aus den konkreten Use Cases in der Organisation ergeben und andererseits aus übergreifenden Abfragen des Kompetenzstandes. Organisationen sollten Analyse von Bedarf / Kompetenz durchführen:

  • Individuelle Bedürfnisse: Ermittlung des spezifischen Wissensbedarfs basierend auf den eingesetzten KI-Systemen (Welche KI-Systeme werden eingesetzt?), den Rollen der Mitarbeiter und den bestehenden Kompetenzen (Verfügt der Mitarbeiter über Vorkenntnisse?).
  • Risikobewertung: Berücksichtigung der Risiken, die mit dem Einsatz von KI verbunden sind (Welche Risikoklasse hat das KI-System?).

Auf Basis der Bedarfsanalyse lassen sich notwendige Schulungsmaßnahmen, in Form von Online-Kursen oder Präsenzschulungen ableiten. Um dieses Thema zu beschleunigen kann die Zusammenarbeit mit Schulungsdienstleistern sinnvoll sein. Je nach Ergebnis der Bedarfsanalyse sind verschiedene Schulungsinhalte sinnvoll:

  • Grundlagen: Vermittlung grundlegender Kenntnisse über KI, deren Funktionsweise sowie rechtliche und auch ethische Aspekte. Hier sollte es vordergründig darum gehen, Mitarbeitern die Technologie näher zu bringen, um diese effektiv und sicher nutzen zu können. Ein grundlegendes Verständnis zu Begriffen, wie bspw. Machine Learning, senkt die Hemmschwelle. Das Verständnis hilft dabei ChatGPT und Co sinnvoll in den Arbeitsalltag zu integrieren.
  • Vertiefungen: Um die KI-Kompetenzen der Mitarbeiter gezielt zu fördern, sollten weiterführende Schulungen angeboten werden, die auf konkrete Anwendungsbereiche zugeschnitten sind. Ein besonderer Fokus kann dabei auf Themen liegen, wie IT-Sicherheit und Recht (z.B. Zusammenhang Geschäftsgeheimnisgesetz oder Non-Disclosure Agreements), möglicher Bedrohnungsszenarien (z.B. Bedrohung durch Deepfakes, Betrug, Rufschädigung und Manipulation durch KI) oder aber auch die Bedeutung von KI-Compliance (z.B. Einhaltung rechtlicher Vorschriften und ethischer Standards beim Einsatz von KI, die Erstellung von internen Richtlinien und Best Practices im Umgang mit KI)

Neben den Schulungsmaßnahmen ist es wichtig eine KI-Governance zu etablieren und zugehörige Richtlinien und Standards in Ihre Organisation zu integrieren. Die Organisation stellt sicher, dass ein KI-System nur von nachweislich kompetenten Mitarbeitern genutzt wird und dokumentiert dies in einer übergreifenden Strategie. Zum Beispiel könnte der Zugang zu einem KI-System (Login und Passwort) mit einem erfolgreichen Training verknüpft sein. Durch folgende Punkte schaffen Sie einen klaren KI-Rahmen:

  • Richtlinien und Standards: Entwicklung von internen Richtlinien für den Umgang mit KI.
  • KI-Leitlinie: Erstellung einer Leitlinie, inklusive Best Practices, ethische Grundsätze und Compliance-Anforderungen, für Mitarbeiter.
  • KI-Beauftragter: Je nach Größe der Organisation bzw. Umfang der KI-Nutzung kann auch der Einsatz eines KI-Beauftragten sinnvoll sein, der Risikobewertungen sowie Risikofolgenabschätzungen durchführt, die Implementierung, Überwachung und Koordination der KI-Strategien vorantreibt und die Planung und Koordination von Schulungen übernimmt. Gegebenenfalls können diese Themen auch in den Aufgabenbereich des Datenschutzbeauftragten oder Informationssicherheitsbeauftragten fallen.

Die KI-VO verlangt keine konkrete Dokumentation. Für den Arbeitgeber ist es dennoch ratsam, insbesondere Schulungsmaßnahmen (elektronisch) festzuhalten. Eine nachvollziehbare Dokumentation schützt Unternehmen vor Haftungsrisiken und belegt die Erfüllung der Verpflichtung nach Art. 4 KI-VO.

  • Nachweis: Dokumentation der durchgeführten Schulungen.
  • Haftungsschutz: Schutz vor möglichen Haftungsansprüchen.

Folgen bei unzureichender Umsetzung von Artikel 4 KI-VO

Obwohl Artikel 4 KI-VO keine direkten Sanktionen vorsieht, ist er ein wichtiger Baustein für die rechtliche Beurteilung von Schadensfällen und arbeitsrechtlichen Auseinandersetzungen im Zusammenhang mit KI-Systemen. Organisationen sollten daher die Anforderungen von Artikel 4 ernst nehmen und geeignete Maßnahmen zur Schulung ihrer Mitarbeiter ergreifen.Zentrale Risiken:

  • Haftung: Bei Schäden, die durch fehlerhafte KI-Systeme verursacht werden, kann eine Organisation haftbar gemacht werden, wenn es nachweislich keine angemessenen Schulungsmaßnahmen durchgeführt hat. Gerichte könnten dies als Verstoß gegen die allgemeine Sorgfaltspflicht werten.
  • Arbeitsrechtliche Konsequenzen:
    • Mitarbeiteransprüche: Mitarbeiter könnten Ansprüche geltend machen, wenn sie durch den Einsatz von KI-Systemen geschädigt werden oder wenn ihnen angemessene Schulungen verweigert werden.
    • Kündigungen: In bestimmten Fällen könnten Arbeitgeber Schwierigkeiten haben, Mitarbeiter aufgrund fehlender KI-Kompetenzen zu kündigen, insbesondere wenn keine ausreichenden Schulungsangebote gemacht wurden.
  • Betriebsratsmitbestimmung: Bei der Umsetzung von Schulungsmaßnahmen zur Erfüllung der Anforderungen von Artikel 4 KI-VO muss der Betriebsrat nach dem Betriebsverfassungsgesetz (BetrVG) beteiligt werden.

Online-Kurs um die KI-Kompetenz Ihrer Mitarbeiter zu schärfen

Die KI-Verordnung stellt Organisationen ab Februar 2025 vor klare Anforderungen: Mitarbeiter, die mit KI-Systemen arbeiten, müssen über fundierte KI-Kompetenzen verfügen. Ob Entwicklung, Einsatz oder Wartung – der verantwortungsvolle Umgang mit KI ist der Schlüssel zu einem ethischen und rechtlich einwandfreien Einsatz dieser Technologie. Mit unserer praxisnahen KI-Schulung machen Sie Ihr Team fit für die Zukunft und generieren Schulungsnachweise zur Dokumentation Ihrer Maßnahmen.

Weitere Informationen

Kennzeichnungspflicht für KI-generierte Inhalte nach der KI-Verordnung

Die KI-Verordnung (AI Act) schreibt vor, dass bestimmte KI-generierte Inhalte eindeutig als solche gekennzeichnet werden müssen. Das Ziel dieser Regelung ist es, Verbraucher zu schützen und sicherzustellen, dass sie sich bewusst sind, wenn sie mit künstlich erzeugten Inhalten konfrontiert werden. Die genaue Rechtsgrundlage für diese Kennzeichnungspflicht finden Sie in Artikel 50 der KI-Verordnung. Dieser Artikel regelt die Transparenzanforderungen für KI-Systeme, die für die Interaktion mit natürlichen Personen bestimmt sind. Die konkrete Ausgestaltung der Kennzeichnungspflicht kann in Einzelfällen komplex sein und erfordert eine sorgfältige rechtliche Prüfung.

Konkret betrifft diese Kennzeichnungspflicht:

  • Deepfakes: Bilder, Videos oder Audioaufnahmen, die mithilfe von KI so manipuliert wurden, dass sie echt wirken, müssen als solche gekennzeichnet werden.
  • KI-generierte Inhalte im Allgemeinen: Auch andere KI-generierte Inhalte, die das Potenzial haben, Nutzer*innen irrezuführen, sollten transparent gekennzeichnet werden.

Ausnahmen von der Kennzeichnungspflicht:

  • Künstlerische Werke: Wenn KI-generierte Inhalte Teil eines künstlerischen, fiktionalen oder analogen Werks sind, reicht es aus, die KI-Nutzung in geeigneter Weise offenzulegen, ohne das Werk zu beeinträchtigen.
  • Gesetzlich zugelassene Zwecke: Die Kennzeichnungspflicht entfällt, wenn die KI-generierten Inhalte für Zwecke der Strafverfolgung oder ähnlicher gesetzlicher Aufgaben verwendet werden.

Sanktionen bei Verstößen gegen die KI-Verordnung

Der Artikel 99 der KI-Verordnung regelt die Sanktionen für Verstöße gegen die Bestimmungen der Verordnung und sieht bei Verstößen hohe Geldbußen vor, ähnlich wie bei der DSGVO. Die Höhe der Bußgelder richtet sich entweder nach einem festen Betrag in Millionen Euro oder einem Prozentsatz des weltweiten Jahresumsatzes des Unternehmens, wobei der höhere Wert maßgeblich ist.

  • Verbotene KI-Praktiken: Bis zu 35 Mio. Euro oder 7 % des weltweiten Jahresumsatzes.
  • Andere Verstöße: Bis zu 15 Mio. Euro oder 3 % des Umsatzes.
  • Falsche Informationen an Behörden: Bis zu 7,5 Mio. Euro oder 1 % des Umsatzes.

Fazit: Verantwortung und Wettbewerbsvorteile durch die KI-Verordnung

Die KI-Verordnung ist ein bedeutender Schritt hin zu einer verantwortungsvollen und ethischen Nutzung von Künstlicher Intelligenz in Europa. Sie bietet Organisationen einen klaren Rechtsrahmen und schafft gleichzeitig Vertrauen bei den Bürgerinnen und Bürgern. Die Umsetzung der KI-Verordnung erfordert von Organisationen eine sorgfältige Prüfung ihrer bestehenden KI-Systeme und die Entwicklung entsprechender Anpassungsmaßnahmen. Dabei ist es wichtig, die spezifischen Anforderungen der Verordnung zu berücksichtigen und die Zusammenarbeit mit Experten zu suchen.

Die KI-Verordnung ist nicht nur eine Herausforderung, sondern auch eine Chance. Organisationen, die sich frühzeitig mit den neuen Anforderungen auseinandersetzen, können sich einen Wettbewerbsvorteil verschaffen und ihre Position als Vorreiter im Bereich der ethischen KI festigen. In den kommenden Jahren wird die KI-Verordnung die Entwicklung von KI in Europa maßgeblich prägen. Es ist daher unerlässlich, sich mit den Inhalten der Verordnung vertraut zu machen und die notwendigen Maßnahmen zur Umsetzung zu ergreifen. In den kommenden Jahren wird die Verordnung die Weichen für die Entwicklung und den Einsatz von KI in Europa stellen und so die Innovationsfähigkeit der EU stärken.

Caroline Schwabe
Neueste Anzeigen von Caroline Schwabe (Alle anzeigen)

Das könnte Sie auch interessieren:

NIS2: EU-Richtlinie für mehr Cybersicherheit

Was bedeutet die NIS-2-Richtlinie für Organisationen in Deutschland? Umsetzungspflichten, Sanktionen, Tipps zur Umsetzung.
Weiterlesen

Das EU-U.S. Data Privacy Framework

Am 10. Juli 2023 ist das EU-U.S. Data Privacy Framework in Kraft getreten. Alle Hintergrundinformationen zum Angemessenheitsbeschluss.
Weiterlesen

HinSchG: Schutz hinweisgebender Personen

Die Hinweisgeberschutzgesetz: Regelungen und Pflichten für Unternehmen, Anforderungen an Meldestellen, Whitepaper inklusive Checkliste!
Weiterlesen