Rechtsanwalt & Spezialist für Kryptorecht & KI-Recht, Zertifizierter Geldwäschebeauftragter (TÜV)
T (+49) 040 / 7344 086-0
Rechtsanwältin & Expertin für Kryptorecht
T (+49) 040 / 7344 086-0
Blog News
Mit dem Inkrafttreten der KI-Verordnung am 2. August 2024 hat die Europäische Union einen einheitlichen Rechtsrahmen geschaffen, um den Einsatz Künstlicher Intelligenz sicherer und transparenter zu gestalten. Im Fokus stehen der Schutz der Grundrechte, die Stärkung der Rechtssicherheit und die Etablierung verbindlicher Standards für den Betrieb von KI-Systemen.
Eine besonders relevante Bestimmung greift schon seit dem 2. Februar 2025: Anbieter und Betreiber von KI-Anwendungen sind dann verpflichtet, sicherzustellen, dass alle Personen, die mit Künstlicher Intelligenz arbeiten, über die notwendige KI-Kompetenz verfügen. Diese sollen innerhalb gezielter Schulungsprogramme für Mitarbeitende erworben werden.
Generell gilt: Wer KI-Systeme privat nutzt oder entwickelt, ohne sie Dritten zugänglich zu machen, ist von den Verpflichtungen ausgenommen. Auch bei Open-Source-KI-Modellen bestehen lediglich Anforderungen an die Einhaltung von Urheberrechten und die Bereitstellung standardisierter Informationen.
Anders sieht das bei Unternehmen aus. Für diese bedeutet der AI Act vor allem zunächst, dass bis Ende 2025 alle Mitarbeitenden, die mit KI-Systemen arbeiten, über entsprechende Kompetenzen verfügen müssen – unabhängig von Unternehmensgröße oder Risikoklassifizierung der KI. Die Pflicht basiert auf dem Artikel 4.
Die Anbieter und Betreiber von KI-Systemen ergreifen Maßnahmen, um nach bestem Wissen und Gewissen sicherzustellen, dass ihr Personal und andere Personen, die in ihrem Auftrag mit dem Betrieb und der Nutzung von KI-Systemen befasst sind, über ausreichende KI-Kompetenz verfügen, wobei ihre technischen Kenntnisse, ihre Erfahrung, ihre Aus- und Weiterbildung und der Kontext, in dem die KI-Systeme eingesetzt werden sollen, sowie die Personen oder Personengruppen, bei denen die KI-Systeme eingesetzt werden sollen, berücksichtigt werden.
Die KI-VO führt zudem eine differenzierte Risikoklassifizierung ein: KI-Systeme werden je nach Gefährdungspotenzial in vier Kategorien eingeteilt – von minimalem bis hin zu unannehmbarem Risiko. Anwendungen mit unvertretbarem Risiko, etwa manipulative Systeme, die das Verhalten von Nutzern gezielt beeinflussen, sind vollständig untersagt. Hochrisiko-Anwendungen, beispielsweise in der Personalrekrutierung oder der Kreditvergabe, unterliegen strengen Auflagen hinsichtlich Transparenz, Nachvollziehbarkeit und menschlicher Aufsicht.
Die Verpflichtungen variieren je nach Risikostufe der KI-Systeme und der Marktrolle des Unternehmens. Hochrisiko-KI, etwa in den Bereichen Medizin, Sicherheit oder Personalmanagement, unterliegt besonders strengen Auflagen, darunter Cybersicherheit, Risikomanagement, Dokumentation und menschliche Aufsicht. Unternehmen, die solche Systeme anbieten, müssen die Einhaltung dieser Vorgaben in der Regel eigenständig nachweisen.
Für KI-Modelle mit allgemeinem Verwendungszweck, wie Sprachmodelle, gelten weitere Pflichten: Anbieter müssen Informationen zu den Trainingsdaten sowie eine technische Dokumentation bereitstellen, um die Leistungsgrenzen der KI zu verdeutlichen. Zusätzliche Auflagen betreffen Modelle, die systemische Risiken darstellen.
Auch Transparenzanforderungen sind zentral: Alle KI-Systeme, die mit Menschen interagieren, einschließlich Emotionserkennung, müssen gekennzeichnet sein. KI-generierte Inhalte müssen erkennbar gemacht werden – bis spätestens Mitte 2026.
Während die meisten Vorgaben erst ab August 2026 gelten, müssen also zwei zentrale Pflichten bereits bis zum 2. Februar 2025 erfüllt sein:
Bei Verstößen drohen Bußgelder von bis zu 35 Millionen Euro.
Eine KI-kompetente Person erkennt die Chancen und Risiken von KI, versteht die potenziellen Schäden und kann fundierte Entscheidungen im Umgang mit KI-Systemen treffen. Dieses Wissen lässt sich in drei Dimensionen gliedern:
Die Geschäftsführung ist dafür verantwortlich, ein Schulungskonzept zu entwickeln, das diese Lernziele abdeckt.
Die einführende Begründung des AI Acts unterstreicht die Bedeutung von KI-Kompetenz aus drei zentralen Perspektiven. Erstens ermöglicht sie fundierte Entscheidungen über den Einsatz von KI-Systemen. Nur wer die Funktionsweise und potenziellen Auswirkungen von KI versteht, kann sicherstellen, dass der Nutzen maximiert wird, ohne dabei Grundrechte, Gesundheit, Sicherheit oder die demokratische Kontrolle zu gefährden. Der AI Act betont, dass KI-Kompetenz Anbietern, Betreibern und betroffenen Personen die notwendigen Werkzeuge an die Hand gibt, um informierte Entscheidungen zu treffen.
Zweitens unterstützt KI-Kompetenz die Einhaltung der Verordnung selbst. Die Kenntnisse, die entlang der gesamten KI-Wertschöpfungskette vermittelt werden, sind entscheidend, um die regulatorischen Vorgaben korrekt umzusetzen und Verstöße zu vermeiden. Nur durch ein solides Verständnis der rechtlichen Rahmenbedingungen kann die Compliance mit dem AI Act sichergestellt werden.
Drittens trägt eine umfassende KI-Kompetenz zur Verbesserung von Arbeitsbedingungen und zur Förderung von Innovation bei. Gezielte Schulungen und die Einführung passender Folgemaßnahmen stärken nicht nur das Vertrauen in KI-Systeme, sondern unterstützen auch deren sichere und effektive Integration in betrieblichen Abläufen. Langfristig fördert dies die Entwicklung und Konsolidierung vertrauenswürdiger KI in der gesamten EU.
Somit wird klar: KI-Kompetenz ist nicht nur eine formale Anforderung des AI Acts, sondern eine essenzielle Grundlage, um den verantwortungsvollen und sicheren Einsatz von KI-Systemen zu gewährleisten und gleichzeitig Innovationen voranzutreiben.
Die Vorgaben betreffen drei zentrale Gruppen: Anbieter und Betreiber von KI-Systemen, betroffene Personen sowie alle Akteure entlang der KI-Wertschöpfungskette.
Anbieter sind Organisationen oder Personen, die KI-Systeme entwickeln, deren Verwendungszweck bestimmen und sie in Verkehr bringen – ob entgeltlich oder unentgeltlich. Betreiber sind hingegen diejenigen, die KI-Systeme in eigener Verantwortung nutzen, sofern dies nicht rein privat geschieht. Beide Gruppen müssen sicherstellen, dass ihr Personal, einschließlich beauftragter Dienstleister, über die nötige KI-Kompetenz verfügt. Dazu zählen Softwareentwickler, Projektmanager, IT-Administratoren sowie Führungskräfte, die für die Implementierung von KI verantwortlich sind. Auch Qualitäts- und Rechtsabteilungen, die Konformität mit dem AI Act gewährleisten, fallen darunter.
Neben Anbietern und Betreibern verlangt der AI Act auch von betroffenen Personen ein grundlegendes Verständnis der KI-Systeme, die ihre Entscheidungen beeinflussen können. Hierzu gehören Patienten, die im Gesundheitssystem mit KI-basierter Diagnostik konfrontiert werden, Studierende und Schüler, die KI-gestützte Lernplattformen nutzen, sowie Kunden im Handel oder Finanzsektor. Auch Bürger, die mit KI-basierten Verwaltungsprozessen interagieren, und Mitarbeitende, die im Arbeitsalltag auf KI-gestützte Systeme treffen, gelten als betroffene Personen.
Der AI Act berücksichtigt auch alle Akteure entlang der KI-Wertschöpfungskette. Dazu zählen Unternehmen und Institutionen, die an der Entwicklung, Implementierung, Bereitstellung oder dem Betrieb von KI-Systemen beteiligt sind. Der KI-Lebenszyklus ist ein komplexer, iterativer Prozess, an dem sich zahlreiche Spezialisten beteiligen – von der Entwicklung über das Training bis hin zur Anwendung der KI. Ein reibungsloser Informationsaustausch zwischen den Akteuren ist essenziell, um den regulatorischen Anforderungen zu entsprechen.
Eine effektive Schulung zur KI-Kompetenz muss praxisnah, umfassend und auf die spezifischen Anforderungen der KI-Verordnung zugeschnitten sein. Im Mittelpunkt stehen die rechtlichen Rahmenbedingungen, technische Grundlagen und der sichere Umgang mit KI-Anwendungen im Unternehmenskontext.
Zentraler Bestandteil der Schulung sind die Vorgaben der KI-Verordnung, die ab dem 2. Februar 2025 gelten. Besonders wichtig sind die Verbote nach Artikel 5. Hierzu zählen KI-Systeme, die unterschwellige Beeinflussungstechniken nutzen, Social Scoring betreiben oder Emotionserkennung am Arbeitsplatz sowie in Bildungseinrichtungen ohne medizinischen oder sicherheitsrelevanten Zweck einsetzen. Auch der Einsatz biometrischer Kategorisierung zur Ableitung sensibler Daten wie ethnischer Herkunft oder politischer Überzeugungen ist verboten.
Die Schulungen müssen das risikobasierte Regelungssystem der KI-Verordnung erläutern. Auch wenn die speziellen Anforderungen für Hochrisiko-KI erst ab August 2026 greifen, ist es wesentlich, dass Unternehmen frühzeitig die Kriterien kennen. Hochrisiko-Systeme erfordern besondere Maßnahmen wie Risikobewertungen, Qualitätssicherung und kontinuierliche Überwachung.
Ein weiterer zentraler Schulungsinhalt ist das Datenschutzrecht. Mitarbeitende müssen verstehen, wie Unternehmensdaten beim Training von KI-Systemen zu behandeln sind. Dazu gehört die Anonymisierung von Datensätzen oder das Einholen der Einwilligung betroffener Personen. Auch die Information von Kunden und Mitarbeitenden über die Datenverarbeitung sowie der sorgfältige Umgang mit KI-generierten, personenbezogenen Outputs ist unerlässlich.
Im Rahmen der Schulung sollten auch urheberrechtliche Fragen behandelt werden. Mitarbeitende müssen wissen, unter welchen Bedingungen sie geschützte Werke Dritter – wie Texte, Bilder oder Videos – im Rahmen von KI-Trainings oder Prompts verwenden dürfen. Die unternehmensinterne KI-Richtlinie enthält hierzu in der Regel klare Vorgaben, die in der Schulung praxisnah erläutert werden sollten.
Jedes Unternehmen, das KI einsetzt, benötigt eine verbindliche KI-Richtlinie. Diese regelt nicht nur Datenschutz und Urheberrecht, sondern auch den sicheren Einsatz von KI-Systemen, den Schutz von Geschäftsgeheimnissen, die Qualitätssicherung und die Datensicherheit. In der Schulung sollten Mitarbeitende mit den Inhalten dieser Richtlinie vertraut gemacht werden, idealerweise anhand praxisnaher Fallbeispiele.
Ein weiterer Schwerpunkt der Schulungen ist die technische Handhabung von KI-Systemen. Mitarbeitende müssen verstehen, wie generative KI, maschinelles Lernen und neuronale Netze funktionieren und welche Risiken – wie unzuverlässige Ergebnisse oder sogenannte „Halluzinationen“ – damit verbunden sind. Praktische Schulungseinheiten sollten den sicheren Umgang mit KI-Tools vermitteln, etwa durch Qualitätskontrollen, bevor generierte Inhalte weiterverwendet werden. Dies gilt sowohl für gängige Systeme wie ChatGPT und Microsoft Copilot als auch für speziell entwickelte, unternehmensinterne Anwendungen.
Schulungen sind nicht nur zur Kompetenzvermittlung wichtig, sondern auch für den Schutz des Unternehmens. Verstöße gegen das Datenschutz- oder Urheberrecht durch Mitarbeitende werden dem Unternehmen zugerechnet. Durch regelmäßige Schulungen lassen sich solche Verstöße vermeiden. Selbst im Fall eines Verstoßes kann der Nachweis ordnungsgemäßer Schulungen dazu beitragen, Bußgelder, etwa nach der DSGVO, zu vermeiden oder erheblich zu reduzieren.
Möchten Sie mehr über die rechtlichen Anforderungen im Umgang mit Künstlicher Intelligenz erfahren? Sind Sie unsicher, ob Ihr Unternehmen den Vorgaben der KI-Verordnung entspricht oder wie Sie Ihre Mitarbeitenden optimal auf den sicheren Einsatz von KI-Systemen vorbereiten können? Benötigen Sie Unterstützung bei der Erstellung einer unternehmensinternen KI-Richtlinie oder der Schulung Ihres Teams im Bereich KI-Kompetenz?
Unser erfahrenes Team berät Sie umfassend zu allen Aspekten des KI-Rechts – von der Einhaltung der KI-Verordnung über den Datenschutz bis hin zum Urheber- und Wettbewerbsrecht. Wir unterstützen Sie dabei, Risiken zu minimieren und rechtssicher mit KI-Anwendungen wie ChatGPT und anderen Systemen zu arbeiten. Dazu gehören die Erstellung von Schulungskonzepten, die Bewertung Ihrer bestehenden KI-Systeme sowie die Prüfung, ob Ihre Prozesse den gesetzlichen Anforderungen entsprechen.
Wir stehen Ihnen jederzeit gerne für Rückfragen zur Verfügung – sei es telefonisch, per E-Mail oder persönlich. Wünschen Sie die kompetente Rechtsberatung des spezialisierten Teams von SBS LEGAL?