Künstliche Intelligenz (KI) durchdringt immer mehr Lebensbereiche. Um in Europa einheitliche Standards zu schaffen, hat die EU mit der Verordnung (EU) 2024/1689 („AI Act“ bzw „KI-Verordnung“) erstmals ein umfassendes Regelwerk beschlossen. Dieses Regelwerk ist am 1. August 2024 in Kraft getreten und wird schrittweise angewendet. Nachfolgend ein Überblick, wie sich diese neue Rechtslage auf Unternehmen in Österreich auswirkt.
Hintergrund und Zielsetzung
Der AI Act entstand nach jahrelangen Verhandlungen zwischen EU-Parlament und Rat. Er soll einerseits hohe europäische Grundwerte wie Datenschutz und Sicherheit schützen, gleichzeitig aber auch Innovation im KI-Sektor fördern. Um den unterschiedlichen Gefahrenpotenzialen gerecht zu werden, folgt die Verordnung einem risikobasierten Ansatz: Je nach Risiko – von minimal bis inakzeptabel – gelten unterschiedliche Anforderungen für Künstliche Intelligenz (KI) im Unternehmen.
Phasen des Inkrafttretens
Obwohl die Verordnung bereits am 1. August 2024 in Kraft getreten ist, gilt sie nicht überall sofort. Sie wird in Etappen wirksam:
Ab 2. Februar 2025:
Verbot bestimmter KI-Systeme sowie eine Verpflichtung zur Schulung des Personals.
Ab 2. August 2026:
Zusätzliche Vorgaben, etwa Transparenzpflichten für generative KI.
Hochrisiko-KI-Systeme:
Erhalten eine verlängerte Übergangsfrist von bis zu 36 Monaten.
Breites Anwendungsfeld
Der AI Act betrifft alle, die KI-basierte Produkte oder Dienstleistungen anbieten oder selbst nutzen – vom Privatunternehmen bis zur öffentlichen Verwaltung.
Als KI-System gelten Programme, die automatisiert Entscheidungen, Prognosen, Empfehlungen oder Inhalte erstellen und so das Verhalten von Personen beeinflussen. Auch Handelsunternehmen, die zum Beispiel Chatbots oder andere KI-Komponenten integrieren, fallen in diesen Geltungsbereich.
Risikobasierter Ansatz für Künstliche Intelligenz (KI) im Unternehmen
Zentrales Element ist die Einstufung von KI-Systemen in vier Kategorien:
Inakzeptables Risiko
Beispiele: Social Scoring, Emotionserkennung am Arbeitsplatz (ohne rechtliche Erlaubnis) und manipulative KI. Solche Anwendungen sind untersagt, weil sie Sicherheit oder Grundrechte zu stark beeinträchtigen.
Hochrisiko-KI
KI-Systeme mit weitreichenden Auswirkungen, etwa in Strafverfolgung, Medizin oder bei Personalentscheidungen. Sie unterliegen umfangreichen Dokumentations-, Bewertungs- und Sicherheitsanforderungen sowie einer möglichen Konformitätsprüfung.
Begrenztes Risiko
Hier gilt vor allem eine Transparenzpflicht. Nutzer müssen z. B. erkennen können, wenn sie mit einer KI interagieren oder wenn Inhalte maschinell generiert sind.
Minimales Risiko
Darunter fallen Alltagsanwendungen wie Spamfilter. Außer den generellen Schulungspflichten ab 2025 entstehen meist keine zusätzlichen Auflagen.
Generative KI und allgemein einsetzbare KI-Systeme (GPAIS)
Eine wichtige Rolle spielen sogenannte „General Purpose AI Systems“ (GPAIS), wie ChatGPT. Diese können in verschiedenen Kontexten eingesetzt werden und unterliegen daher erhöhten Transparenzanforderungen. Anbieter solcher Systeme müssen offenlegen, welche Daten für das Training verwendet wurden und wie sie die Vorgaben zum Urheberrecht berücksichtigen. Bei besonders risikobehafteten Grundlagenmodellen sind zudem Melde- und Testpflichten vorgesehen. Nutzer sollen klar erkennen, dass ein Text, Bild oder eine sonstige Ausgabe von KI erzeugt wurde.
Verbote ab 2. Februar 2025
Ab diesem Datum sind bestimmte KI-Praktiken strikt untersagt, z.B.:
Manipulative Methoden, die Personen durch unterschwellige Techniken oder Täuschung beeinflussen
Ausnutzung menschlicher Schwächen (z. B. Alter, Behinderung), wodurch ein erheblicher Schaden entstehen kann
Social Scoring auf Basis des sozialen Verhaltens oder persönlicher Merkmale, das zu Benachteiligungen führt
Emotionserkennung im Arbeitsumfeld (außer bei medizinischer oder sicherheitsrelevanter Begründung)
Unkontrolliertes Sammeln biometrischer Daten, etwa automatisches Erstellen von Gesichtsdatenbanken aus Überwachungsaufnahmen
Unternehmen sollten daher ihre Softwarelösungen auf entsprechende Mechanismen prüfen und gegebenenfalls anpassen oder abschalten.
Pflichten zur KI-Kompetenz
Ebenfalls ab Februar 2025 verlangt der AI Act, dass Beschäftigte (und ggf. Lieferanten), die KI-Systeme verwenden, eine ausreichende Qualifikation besitzen. Solche Schulungen sollen sie in die Lage versetzen, technische, rechtliche und ethische Aspekte von KI zu verstehen. Dazu gehören:
Funktionsweise von KI (z.B. Trainingsdaten und Algorithmen)
Umgang mit Risiken wie Bias, Datenschutz, IT-Sicherheit
Transparenz- und Kennzeichnungspflichten
Wie genau die Schulung erfolgt, ist nicht vorgeschrieben. Wichtig ist jedoch eine Dokumentation der Inhalte und Teilnahme, um bei Kontrollen durch Behörden einen Nachweis zu erbringen.
Auflagen für Hochrisiko-KI
Wer ein hochrisikohaftes System einsetzt, muss besondere Vorgaben erfüllen. Typische Anforderungen sind:
Risikomanagement: Prüfung potenzieller Schäden für Grundrechte oder Sicherheit
Technische Tests: Sicherstellung, dass das KI-System seinen Zweck ohne unvertretbare Nachteile erfüllt
Dokumentation: Nachvollziehbare Aufzeichnungen, wie die KI entwickelt, getestet und überwacht wird
Konformitätsbewertung: In einigen Fällen externe Zertifizierungen oder Prüfungen.
Rolle der DSGVO
Die Datenschutz-Grundverordnung (DSGVO) bleibt weiterhin anwendbar, sobald KI-Systeme personenbezogene Daten verarbeiten. Viele KI-Anwendungen arbeiten mit umfangreichen Datenbeständen, weshalb Themen wie Datenminimierung, Zweckbindung und Rechte betroffener Personen weiterhin zentral sind. Ohne Einwilligung dürfen etwa keine personenbezogenen Daten Dritter in Tools wie ChatGPT eingegeben werden. In der Praxis ist eine enge Verzahnung zwischen DSGVO-Compliance und AI-Act-Vorgaben erforderlich.
Behörden, Verfahren und Sanktionen
Mit der Umsetzung des AI Act benennen die Mitgliedstaaten nationale Stellen, die den Vollzug sicherstellen. Bei Verstößen gegen bestimmte, im KI-Gesetz genannte Pflichten drohen erhebliche Geldbußen:
Bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes für schwerwiegende Zuwiderhandlungen
Bis zu 7,5 Millionen Euro bzw. 1 % des Umsatzes bei geringeren Verstößen
Neben Geldstrafen kann auch ein Verbot des weiteren KI-Einsatzes ausgesprochen werden. Betriebe sollten deshalb sicherstellen, dass ihre Prozesse den Vorschriften entsprechen.
Praktische Tipps für Unternehmen
Bestandsaufnahme - erfassen Sie, welche KI-Systeme (inkl. versteckter oder integrierter Funktionen) in Ihrer Organisation genutzt werden.
Risikobewertung - prüfen Sie anhand der Vorgaben, ob Ihr System als hoch-, begrenzt- oder minimal riskant einzustufen ist.
Mitarbeiterschulungen - planen Sie zeitnah ein Schulungskonzept. Dokumentieren Sie, welche Teams welche Inhalte erhalten und wie häufig dies wiederholt wird.
Verbotene KI - stellen Sie sicher, dass keine illegalen Praktiken wie manipulative Werbesysteme oder Emotionserkennung im Arbeitskontext eingesetzt werden.
DSGVO-Konformität - KI-gestützte Datenverarbeitung bedingt häufig eine Überprüfung auf DSGVO-Compliance, insbesondere bei sensiblen Daten.
Interne Richtlinien - erstellen Sie eigene KI-Policies: Wer darf KI einführen? Welche Genehmigungen sind erforderlich? Wie wird kontrolliert, dass Vorgaben eingehalten werden?
Chancen durch die neue Regulierung
Trotz des Mehraufwands kann die Regulierung Vorteile bringen. Verantwortungsvolle und transparente KI schafft Vertrauen bei Kunden und Geschäftspartnern. Unternehmen, die frühzeitig auf Compliance setzen, verschaffen sich Wettbewerbsvorteile und vermindern das Risiko teurer Bußgelder. Zudem lassen sich innovative Geschäftsmodelle auf einer soliden rechtlichen Basis entwickeln. Suchen Sie rechtzeitig professionellen Rat!
Rechtsanwalt KI
Rechtsanwalt Dr. Simon Harald Baier berät zu Fragen der KI in Unternehmen sowie zum Wirtschaftsrecht und Europarecht.