HANDWERK BW informiert: KI-Verordnung der EU
Sie ist am 01. August 2024 in Kraft getreten, vollständig anzuwenden ist sie ab 02. August 2026. Ab 02. Februar 2025 tritt jedoch bereits die Pflicht in Kraft, „nach besten Kräften sicherzustellen“, dass im Betrieb ausreichende KI-Kompetenz bei den Personen und Personengruppen vorhanden ist, die KI nutzen (Artikel 4 KI-VO). Im Folgenden fassen wir kurz zusammen, was Betriebe, die bereits KI-Systeme im Unternehmensalltag benutzen (Microsoft Copilot, ChatGPT oder DeepL gehören dazu!), aufgrund der KI-VO beachten müssen.
Die KI-VO klassifiziert KI-Anwendungen anhand zweier Begriffe - der eigenen Rolle in der KI-Wertschöpfungskette und dem Risiko.
Je nachdem unter welche Begriffe die KI-Nutzung in Ihrem Unternehmen fällt, unterscheiden sich die Pflichten, die sich aus der Verordnung ergeben:
Unterscheidung zwischen „KI-Anbieter“ und „KI-Betreiber“
Nach Art. 2 Abs. 1 KI-VO gelten die Regelungen der Verordnung für Anbieter, Betreiber, Einführer, Händler, Produkthersteller und Bevollmächtigte von Anbietern von KI-Systemen in der EU. Speziell die Regelungen für Anbieter und Betreiber sind für KMU in der Praxis relevant.
Anbieter i.S.v. Art. 3 Nr. 3 KI-VO sind Unternehmen, die KI-Systeme entwickeln und sie in der EU nutzen, verkaufen oder unentgeltlich anbieten. Hier sind insbesondere die Artikel 16 bis 21 sowie 49 KI-VO zu beachten.
Betreiber i.S.v. Art. 3 Nr. 4 KI-VO sind natürliche oder juristische Personen, Behörden, Einrichtungen oder sonstige Stellen, die ein KI-System in eigener Verantwortung verwenden, es sei denn, das KI-System wird im Rahmen einer persönlichen und nicht beruflichen Tätigkeit verwendet. Arbeitgeber, die lediglich fremdentwickelte KI-Anwendungen im Betrieb nutzen, sind damit regelmäßig solche sog. Betreiber.
Fazit: In aller Regel sind die KMU, die Stand heute KI nutzen, als Betreiber zu werten. Unsere Ausführungen konzentrieren sich entsprechend im Folgenden auf die Rolle als Betreiber.
Unterscheidung der Regulierung anhand des Risikos
Die KI-VO teilt KI-Anwendungen und die entsprechende Regulierung in vier Kategorien ein:
Unannehmbares Risiko – Einsatz verboten
Hohes Risiko – Einsatz streng reguliert
Begrenztes Risiko – Einsatz wenig reguliert
Minimales Risiko – Einsatz nicht reguliert
Gemeint sind damit KI-Systeme, von denen eine eindeutige
Bedrohung ausgeht, weil sie z. B. manipulieren, täuschen oder Merkmale von Personen (Alter,
Geschlecht, Herkunft etc.) kalkuliert ausnutzen. Der Einsatz solcher Systeme ist grundsätzlich verboten.
Für KI-Systeme, von denen ein hohes Risiko ausgeht, gelten strenge Bestimmungen.
Anhang III der KI-VO beschreibt, welche KI-Systeme als Hochrisiko-KI gelten. Als Beispiel kann die Arbeitsbezogene Verwendung von KI im Rahmen der Beschäftigung und des
Personalmanagements (z. B. Bewerberauswahl; Entscheidungen über Fortbildungen,
Beförderungen, Versetzungen oder Kündigungen; Überwachung und Bewertung von
Mitarbeiterverhalten und -leistungen; automatisierte Entscheidungsfindung im
Beschäftigungsverhältnis) genannt werden.
Für bestimmte KI-Systeme gelten nach Art. 50 KI-VO lediglich Transparenzpflichten, da von ihnen ein nur geringes Risiko ausgeht. Menschen sollen wissen, dass sie mit einer KI interagieren oder ihr begegnen, damit sie über die weitere Nutzung entscheiden oder Informationen einordnen können, z. B.:
beim Interagieren mit Chatbots,
bei KI-generierten Texten oder
bei anderen KI-generierten Inhalten, wie Audio- und Videoinhalte (sog. Deepfakes)
Für alle übrigen KI-Systeme gelten keine Vorschriften, weil von ihnen nur ein minimales Risiko ausgeht. Die überwiegende Mehrheit aller derzeit in der EU angewandten KI-Systeme fällt unter diese Kategorie. Das sind z. B. KI-gestützte Spam-Filter
Fazit: Achtung: Entscheidend ist nicht, was das KI-System kann, sondern wozu es eingesetzt wird. Diese Risikoklassifizierung muss der Anbieter des KI-Systems vornehmen.
In aller Regel werden die KI-Anwendungen, die Sie in Ihrem Betriebsalltag verwenden, in eine der beiden letztgenannten Kategorien (geringes Risiko / nicht reguliert) fallen. Unsere Handlungsempfehlungen befassen sich entsprechend lediglich mit diesen Fällen.
Handlungsempfehlungen
Entsprechend werden für KMU, die mit KI-Systemen arbeiten, folgende beiden Pflichten relevant, die unabhängig von der Risikoklassifizierung von sg. Betreibern beim Einsatz von KI-Systemen erfüllt werden müssen:
Nach Art. 4 KI-VO müssen sie Maßnahmen ergreifen, um „nach besten Kräften“ sicherzustellen, dass alle Beschäftigten, die mit der Nutzung von KI-Anwendungen befasst sind, über die notwendige Kompetenz verfügen. Dabei sind technische Vorkenntnisse, Erfahrungen, Qualifikation sowie der Kontext, in dem die KI-Systeme eingesetzt werden sollen, zu berücksichtigen (Achtung: Pflicht gilt bereits ab 02. Februar 2025).
Außerdem gelten auch im Betrieb die allgemeinen Transparenzpflichten nach Art. 50 KI-VO. Beschäftigte müssen also bei direkter Interaktion mit KI-Systemen oder bei Veröffentlichung von KI-generierten Inhalten darüber informiert werden, dass es sich um eine KI handelt.
Unsere Empfehlung also:
Überblick verschaffen: Eine Liste aller im Unternehmen eingesetzten KI-Systeme, der Rolle des Unternehmens (Anbieter / Betreiber) und der Risikoklassifizierung erstellen.
Schulung der Beschäftigten und Transparenzvorgaben gegenüber Dritten: Es müssen Schulungs- und Informationskonzepte für die KI benutzenden oder mit KI interagierenden Mitarbeitenden erstellt werden. Unter Anderem bieten hier die bewährten Weiterbildungsinstitute zunehmend Schulungen an.
Rechtliche Vorgaben berücksichtigen: Datenschutz- und Urheberrechte sowie Geschäftsgeheimnisschutz müssen natürlich weiterhin beachtet werden. Machen Sie sich hier v.a. bewusst, inwieweit Sie möglichst darauf verzichten können, personenbezogene Daten in ein KI-System einzuspeisen bzw. welche (Daten-)Sicherheitsvorkehrungen zu treffen sind.
Prüfung, Kontrolle und Monitoring: Es sollte ein Prozess zur fortwährenden Prüfung und Kontrolle der KI-VO von bereits eingesetzten und in Zukunft neu eingesetzten KI-Systemen etabliert werden.
Wir bedanken uns bei den Kolleginnen und Kollegen der Bundesvereinigung der Deutschen Arbeitgeberverbände, deren Handlungsempfehlung zur KI-Verordnung Grundlage für diesen Text war.