Data Protection Academy » Data Protection News » AI Regulation

AI Regulation and AI Act current status

Die KI-Verordnung: Ein Meilenstein für die Regulierung von künstlicher Intelligenz

Die Welt der Künstlichen Intelligenz (KI) entwickelt sich rasant. Immer komplexere KI-Systeme durchdringen unseren Alltag und verändern die Art und Weise, wie wir leben und arbeiten. Angesichts dieser Entwicklungen ist es unabdingbar, einen rechtlichen Rahmen zu schaffen, der den ethischen und sicheren Einsatz von KI gewährleistet. Die Europäische Union hat mit der KI-Verordnung, auch bekannt als AI Act, einen solchen Rahmen geschaffen. Dieser umfassende Rechtsakt zielt darauf ab, die Entwicklung und den Einsatz von KI in Europa zu regulieren und gleichzeitig Innovationen zu fördern.

In diesem Artikel werden wir uns eingehend mit der KI-Verordnung beschäftigen. Wir erklären, welche Ziele die Verordnung verfolgt, welche Arten von KI-Systemen sie betrifft und welche Pflichten für Unternehmen und Organisationen entstehen. Zudem gehen wir auf die wichtigsten Zeitpunkte und Fristen ein, die Unternehmen bei der Umsetzung der neuen Vorschriften beachten müssen.

Key information on the AI Regulation

  • The correct legal term in the EU and the official name of the German legislation is „KI-Verordnung“, dieser wird als KI-VO abgekürzt. Der internationale, englische Begriff lautet AI Act. Im deutschen wird oft umgangssprachlich vom KI-Gesetz gesprochen. Alle Begriffe beziehen sich auf die gleiche EU-Regelung.
  • The AI Regulation has already entered into force, but pursues a <strong step-by-step implementation obligation.
  • The AI Regulation pursues a risk-based approach und teilt KI-Systeme in die vier Risikokategorien unannehmbares Risiko (z. B. Social Scoring), hohes Risiko (z. B. KI in der medizinischen Diagnostik), begrenztes Risiko (z. B. Chatbots) und minimales Risiko (z. B. KI-gestützte Spiele) ein. Je nach Kategorie gelten unterschiedliche Anforderungen, um Sicherheit und Grundrechtsschutz zu gewährleisten.
  • The ordinance applies extraterritorial application und gilt nicht nur für in der EU ansässige Unternehmen, sondern auch für Organisationen außerhalb der EU, sofern ihre KI-Systeme innerhalb der EU genutzt werden. Dies stellt sicher, dass europäische Bürger weltweit vor Risiken durch KI-Systeme geschützt werden.
  • The AI Regulation aims to Balance zwischen Förderung von Innovation und Schutz der Grundrechte an, indem sie klare Regeln für den Einsatz von KI setzt. Sie schützt Grundrechte wie Datenschutz und Nichtdiskriminierung und schafft gleichzeitig einen stabilen Rechtsrahmen, um Investitionen in KI-Technologien zu fördern.

Content on the topic of AI regulation:

What is the EU AI Regulation?

Die KI-Verordnung der EU, auch als AI Act bezeichnet, ist ein umfassendes Regelwerk, das den Einsatz von KI-Systemen innerhalb der EU regelt. Ziel ist es, einen sicheren und ethischen Einsatz von KI zu gewährleisten und gleichzeitig Innovationen zu fördern.

Gesetzgeberische Ziele und Hintergründe der KI-Verordnung

Die KI-Verordnung (AI Act) ist ein wichtiges Gesetz, das die Entwicklung und den Einsatz von Künstlicher Intelligenz in der Europäischen Union regelt. Ihr Ziel ist es, einen ausgewogenen Rahmen zu schaffen, der sowohl den Schutz der Grundrechte gewährleistet as well as Innovationen fördert.

Key objectives of the AI Regulation:

  • Protection of fundamental rights: The regulation ensures that AI systems are not misused to violate fundamental rights such as data protection or non-discrimination.
  • Förderung von Innovation: Durch klare und einheitliche Regeln schafft die KI-Verordnung einen sicheren Rahmen für Unternehmen, um neue KI-Technologien zu entwickeln und einzusetzen.
  • Minimierung von Risiken: Besonders riskante KI-Anwendungen werden strenger reguliert, um potenzielle Gefahren für die Gesellschaft zu minimieren.
    Why is the AI Regulation necessary?

KI-Systeme sind längst Teil unseres Alltags. Während einfache Anwendungen wie Filmempfehlungen unproblematisch sind, können andere, wie etwa bei Kreditentscheidungen oder Social Scoring, erhebliche Auswirkungen auf das Leben von Menschen haben. Bisher gab es in der EU keine spezifischen Gesetze für KI, weshalb die KI-Verordnung eine wichtige Lücke schließt.

Zeitplan zur Umsetzung der KI-Verordnung (AI Act): Handlungsschritte für Organisationen

  • 12 July 2024

    Veröffentlichung des AI-Gesetzes im Amtsblatt der EU

    Die KI-VO wird offiziell veröffentlicht. Dies markiert den Beginn der Übergangsfrist.

    Action steps:

    • Informieren Sie sich über die Inhalte und Anforderungen der KI-VO.
    • Identifizieren Sie relevante Abschnitte des Gesetzes, die Ihre Organisation betreffen könnten.

  • 1 August 2024

    Entry into force of the KI-VO

    The KI-VO officially comes into force. At this point, there are no binding requirements yet and it will be applied gradually.

    Action steps:

    • Stellen Sie ein Team oder eine Arbeitsgruppe zusammen, die die Umsetzung der KI-VO überwacht.
    • Entwickeln Sie einen Fahrplan, um die Anforderungen rechtzeitig zu erfüllen.

  • 2 November 2024

    Frist für Mitgliedstaaten

    Die EU-Mitgliedstaaten müssen Behörden benennen, die für den Schutz der Grundrechte verantwortlich sind.

    Handlungsschritte für Organisationen:

    • Beobachten Sie die Benennung der zuständigen Behörden, um bei Bedarf rechtzeitig mit ihnen in Kontakt zu treten.
    • Bereiten Sie sich dich darauf vor, Informationsanforderungen oder Anfragen der Behörden zu beantworten.

  • 2 February 2025

    Eliminate prohibited AI systems and ensure AI expertise

    Ab diesem Datum dürfen KI-Systeme, die als unannehmbar gelten, nicht mehr verwendet werden. Dazu gehören:

    • Systems that manipulate human behaviour.
    • Systems that exploit vulnerabilities (e.g. of children).
    • Social scoring systems for evaluating people.

    Action steps:

    • Bestandsaufnahme: Prüfe alle eingesetzten und geplanten KI-Systeme auf verbotene Praktiken.
    • Risk ManagementDocument that no prohibited practices are used.
    • Dienstleister überprüfen: Kläre mit Drittanbietern, dass deren Systeme ebenfalls konform sind.

    Organisationen müssen die KI-Kompetenz Ihrer Mitarbeiter sicherstellen, informieren Sie sich hier zu den Action steps in connection with AI competence.

  • 2 August 2025

    Anwendbarkeit für KI-Systeme mit allgemeinem Verwendungszweck

    Ab diesem Datum gelten erweiterte Anforderungen, insbesondere für Basismodelle wie Chat-GPT.

    Action steps:

    • Develop guidelines: Create an internal AI policy that describes all processes and rules.
    • Verantwortlichkeiten klären: Bestimme, wer für den Einsatz und die Überwachung von KI-Systemen zuständig ist.
    • Transparenz schaffen: Führe ein Register aller KI-Systeme, das deren Zweck und mögliche Risiken dokumentiert.

  • 2 August 2026

    General applicability of the AI Regulation

    Die Vorschriften für Hochrisiko-KI-Systeme und Transparenzpflichten treten in Kraft.

    Action steps:

    • Konformität sicherstellen: Für Hochrisiko-KI-Systeme müssen Nachweise über Sicherheit und Rechtskonformität vorliegen. Ziehe ggf. externe Experten hinzu.
    • Mitarbeiter schulen: Sensibilisiere dein Team für den Umgang mit KI und potenzielle Risiken.
    • Klarheit für Nutzer: Kennzeichne deutlich, wenn Nutzer mit einer KI interagieren, z. B. durch Hinweise wie: „Entscheidung unterstützt durch KI.“
    • Externe Anbieter prüfen: Kläre, ob Drittanbieter-Systeme die neuen Anforderungen erfüllen.

  • 2 August 2027

    Anwendbarkeit der KI-VO für bestimmte Hochrisiko-KI-Systeme

    Übergangsfristen enden für Hochrisiko-KI-Systeme, die vor Inkrafttreten der Verordnung eingesetzt wurden.

    Action steps:

    • Bestandsanalyse: Identifiziere ältere KI-Systeme und prüfe, ob sie unter die Hochrisiko-Kategorie fallen.
    • Upgrades planen: Passe bestehende Systeme an oder ersetze sie durch neue, konforme Lösungen.
    • Zertifizierungen einholen: Arbeite mit akkreditierten Stellen zusammen, um die Konformität deiner Systeme zu gewährleisten.

Scope of application, links and the most important definitions of the AI Regulation

Nachfolgend ist der vollständige Gesetzestext der Verordnung(EU) 2024/1689 zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz linked.

The AI Regulation definiert einen umfassenden Rechtsrahmen für Künstliche Intelligenz. Sie legt zunächst fest, was genau als KI-System gilt und welche Systeme unter ihre Bestimmungen fallen. Anschließend teilt sie diese Systeme in verschiedene Risikokategorien ein, um spezifische Vorschriften für unterschiedliche Einsatzbereiche zu definieren. Dabei spielt es keine Rolle, wo sich der Entwickler oder Nutzer eines KI-Systems befindet: Die Verordnung gilt für alle KI-Systeme, die in der Europäischen Union in Verkehr gebracht oder genutzt werden.

Extraterritorial application of the AI Regulation

Vereinfacht gesagt bedeutet „extraterritoriale Anwendung“, dass ein Gesetz auch außerhalb des Territoriums eines Staates gilt. Im Falle der KI-VO bedeutet dies, dass er nicht nur für Organisationen gilt, die ihren Sitz in der EU haben, sondern auch für Organisationen mit Sitz außerhalb der EU, sofern ihre KI-Systeme in der EU genutzt werden. KI-Systeme werden weltweit entwickelt und eingesetzt. Um einen einheitlichen Rechtsrahmen für KI in der EU zu gewährleisten, ist es notwendig, auch Organisationen außerhalb der EU zu erreichen, deren Systeme in der EU genutzt werden. Durch die extraterritoriale Anwendung wird sichergestellt, dass auch EU-Bürger vor den Risiken geschützt werden, die durch den Einsatz von KI-Systemen entstehen können, selbst wenn diese Systeme von Organisationen außerhalb der EU entwickelt wurden.

Concrete examples:

  • Ein US-amerikanisches Unternehmen entwickelt ein KI-System für die Gesichtserkennung und verkauft dieses System an ein europäisches Unternehmen. Auch wenn das US-amerikanische Unternehmen seinen Sitz außerhalb der EU hat, unterliegt es den Bestimmungen des AI Acts, da das System in der EU eingesetzt wird.

Stakeholders affected by the AI Regulation

Die KI-Verordnung bezieht sich auf alle Akteure in der KI-Wertschöpfungskette. Betroffen sind Arbeitgeber, unabhängig von ihrer Größe, vom Start-up bis zum internationaler Konzern und sowohl für Organisationen, die eigene KI-Systeme entwickeln (Anbieter), als auch für Organisationen, die fremde KI-Systeme einsetzen (Betreiber). Dies umfasst nicht nur die direkten Entwickler und Nutzer von KI-Systemen, sondern auch alle anderen Beteiligten, wie etwa Zulieferer und Dienstleister.

„Anbieter“ ist eine natürliche oder juristische Person, Behörde, Einrichtung oder sonstige Stelle, die ein KI-System oder ein KI-Modell für allgemeine Zwecke entwickelt oder ein KI-System oder ein KI-Modell für allgemeine Zwecke entwickeln lässt und es unter ihrem eigenen Namen oder ihrer eigenen Marke in Verkehr bringt oder in Betrieb nimmt, unabhängig davon, ob dies entgeltlich oder unentgeltlich geschieht;

AI Regulation, Article 3 (3)

„Betreiber“: ein Anbieter, Produkthersteller, Verteiler, Bevollmächtigter, Importeur oder Händler;

AI Regulation, Article 3 (8)

Importeur“: eine in der Union ansässige oder niedergelassene natürliche oder juristische Person, die ein KI-System in Verkehr bringt, das den Namen oder die Marke einer in einem Drittland ansässigen natürlichen oder juristischen Person trägt;

AI Regulation, Article 3 (6)

„Händler“: eine natürliche oder juristische Person in der Lieferkette, die ein KI-System auf dem Unionsmarkt bereitstellt und nicht der Anbieter oder Einführer ist;

AI Regulation, Article 3 (7)

What is the difference between AI system, AI model and GPAI model?

The difference between a AI systema AI model and a GPAI model (General Purpose AI-Modell) liegt vor allem in ihrem Anwendungsbereich, ihrer Struktur und ihrem Zweck. Diese Unterscheidung ist für die Anwendung der KI-Verordnung von entscheidender Bedeutung, da für KI-Systeme und KI-Modelle Different requirements gelten. So unterliegen beispielsweise GPAI-Modelle besonderen Vorschriften. Die Unterscheidung hilft außerdem dabei, die Responsibilities of the various players (providers, operators) and the categorisation of a system as an AI system or AI model also influences the Risk assessment und damit die anzuwendenden Sicherheitsmaßnahmen.

AI system

A AI system ist eine Anwendung oder ein Werkzeug, das auf künstlicher Intelligenz basiert, um spezifische Aufgaben zu erfüllen. Es umfasst nicht nur das KI-Modell selbst, sondern auch die gesamte Infrastruktur und Software, die erforderlich ist, um die KI-Technologie für einen bestimmten Zweck nutzbar zu machen.

AI system

"AI system": a maschinengestütztes system, which is designed in such a way that it can be operated with varying degrees of Autonomy betrieben werden kann und nach seiner Einführung Anpassungsfähigkeit zeigt, und das für explizite oder implizite Ziele aus den Eingaben, die es erhält, ableitet, wie es Ausgaben wie Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen generieren kann, die physische oder virtuelle Umgebungen beeinflussen können;

AI Regulation, Article 3 (1)

  • Components: KI-Modelle, Algorithmen, Datenbanken, Benutzeroberflächen und Hardware.
  • Purpose: Die Lösung spezifischer Probleme oder die Erfüllung klar definierter Aufgaben, wie z. B. Chatbots, Gesichtserkennung, automatisierte Diagnosen oder Empfehlungssysteme.
  • Example: An autonomous vehicle is an AI system that combines various models (e.g. image recognition, speech processing) to navigate safely through traffic.

AI model

A AI model is the technical core of an AI system and consists of algorithms that have been trained with data to recognise patterns, make decisions or make predictions. It is the mathematical or statistical construct behind the actual "intelligence".

  • Components: Algorithms, neural networks and trained parameters.
  • Purpose: Processing data to deliver results based on patterns learnt during training.
  • Example: Ein KI-Modell für Spracherkennung könnte darauf trainiert sein, menschliche Sprache in Text umzuwandeln. Dieses Modell wird dann in ein KI-System (z. B. ein Sprachassistent) integriert.

GPAI model (General Purpose AI model)

A GPAI model (Allgemein einsetzbares KI-Modell) ist eine spezifische Art von KI-Modell, das für eine Vielzahl unterschiedlicher Anwendungen und Aufgaben genutzt werden kann. Es ist nicht auf einen bestimmten Zweck beschränkt und daher besonders flexibel einsetzbar.

  • Components: Fortgeschrittene, skalierbare KI-Architekturen, wie große Sprachmodelle (z. B. GPT) oder multimodale Modelle, die Text, Bild und andere Eingaben verarbeiten können.
  • Purpose: Breite Anwendbarkeit in unterschiedlichen Kontexten, z. B. Übersetzung, Textgenerierung, Problemlösung oder kreative Aufgaben.
  • Example: ChatGPT oder GPT-4 sind GPAI-Modelle, die sowohl als Textgenerator als auch für Code-Entwicklung, Übersetzungen oder Datenanalyse genutzt werden können.

What is the risk-based approach of the AI Regulation?

The risk-based approach of the AI Regulation schafft einen klaren Rahmen, um innovative KI-Technologien sicher und verantwortungsvoll einzusetzen. Ein risikobasierter Ansatz bedeutet, dass Maßnahmen, Regeln oder Vorschriften nicht pauschal für alle Fälle gelten, sondern sich nach dem spezifischen Risiko richten, das von einer Technologie, Aktivität oder einem System ausgeht. Im Kontext des AI Acts bedeutet das, dass KI-Systeme basierend auf ihrer potenziellen Gefährdung oder den Auswirkungen auf die Gesellschaft in die folgenden unterschiedliche Risikoklassen eingeteilt werden: unannehmbares Risiko, hohes Risiko, begrenztes Risiko und minimales Risiko.

Organisations should familiarise themselves with the risk categories and the respective requirements in order to ensure compliance and minimise potential liability risks. To this end, it is important to identify the risk categories of the AI systems used as a first step.

Risikoklasse für KI-Systeme:

KI-Systeme, die europäische Werte verletzen oder ein unzumutbares Risiko darstellen, sind verboten. Beispiele hierfür sind:

  • Social Scoring-Systeme zur Bewertung von Personen über ihr Verhalten.
  • Systeme, die manipulatives Verhalten fördern oder Schwachstellen von Personen gezielt ausnutzen.
  • Biometrische Echtzeit-Fernidentifizierungssysteme zu Strafverfolgungszwecken in öffentlichen Räumen (mit Ausnahmen).
  • Systems for recognising emotions in the workplace or in schools.

Practical tip: Organisationen sollten ihre eingesetzten oder geplanten KI-Systeme daraufhin überprüfen, ob sie in diese Kategorie fallen. Solche Anwendungen sind strikt verboten und dürfen nicht auf den Markt gebracht werden.

Hochrisiko-KI-Systeme sind solche, die die Gesundheit, Sicherheit oder Grundrechte von Menschen beeinträchtigen könnten. Dazu gehören:

  • Safety-critical applications, such as in medical products or vehicles.
  • Systeme, die über Bildungszugang, Arbeitsmöglichkeiten oder Kreditwürdigkeiten entscheiden.

Requirements: Anbieter müssen diese Systeme einer Ex-ante-Konformitätsbewertung unterziehen und umfassende technische Dokumentation bereitstellen. Darüber hinaus müssen:

  • Qualitäts- und Risikomanagementsysteme implementiert werden.
  • training data comply with the requirements of the AI Act (Art. 10).
  • Transparenz und Kontrollmöglichkeiten für die Nutzer sichergestellt sein.

Practical tip: Unternehmen sollten frühzeitig interne Prozesse aufsetzen, um diese Anforderungen zu erfüllen. Dazu gehören beispielsweise Mitarbeiterschulungen, die Erstellung einer Grundrechte-Folgenabschätzung und die Bereitstellung eines Ansprechpartners für den europäischen Markt.

KI-Systeme, die für die Interaktion mit Menschen bestimmt sind, unterliegen bestimmten Transparenzvorgaben:

  • Nutzer müssen darüber informiert werden, dass sie mit einem KI-System interagieren.
  • Synthetisch erzeugte Inhalte (z. B. Deepfakes) müssen als solche gekennzeichnet werden.

Practical tip: Anbieter von Chatbots oder Content-Generierungssystemen sollten klar kommunizieren, dass es sich um KI-basierte Systeme handelt. Eine einfache und sichtbare Kennzeichnung kann potenzielle Verstöße vermeiden.

KI-Systeme, die keiner der oben genannten Kategorien zugeordnet werden können, können ohne besondere Einschränkungen verwendet werden.

Practical tip: Unternehmen können solche Systeme ohne zusätzliche Regulierungsanforderungen einsetzen. Dennoch sollte eine regelmäßige Überprüfung stattfinden, falls sich der Einsatzbereich ändert.

Der AI Act widmet sich auch KI-Modellen mit allgemeinem Verwendungszweck, wie z. B. GPT-4. Diese Modelle, die in zahlreichen Kontexten genutzt werden können, unterliegen je nach Einsatzbereich spezifischen Anforderungen. Insbesondere Modelle mit systemischen Risiken müssen zusätzliche Anforderungen erfüllen.

Practical tip: Anbieter solcher Modelle sollten eine klare Dokumentation der Einsatzszenarien erstellen und sicherstellen, dass die Modelle für risikobehaftete Anwendungen entsprechend reguliert sind.

Welche Aufsichtsbehörde überwacht die Einhaltung der KI-Verordnung?

Die KI-Verordnung sieht vor, dass jeder EU-Mitgliedstaat eine eigene Behörde benennt, die für die Überwachung der Umsetzung zuständig ist. Deutschland muss also ebenfalls eine solche Behörde bestimmen. Die Frage nach der konkreten Aufsichtsbehörde für KI in Deutschland ist aktuell noch nicht abschließend geklärt.

Mögliche Kandidaten für diese Aufgabe sind unter anderem:

  • Federal Network Agency: Aufgrund ihrer technischen Expertise und Erfahrung in der Regulierung digitaler Märkte wird die Bundesnetzagentur häufig als möglicher Kandidat genannt.
  • Bundesamt für Sicherheit in der Informationstechnik (BSI): Das BSI ist für die IT-Sicherheit zuständig und könnte aufgrund seiner Expertise in diesem Bereich ebenfalls eine Rolle spielen.
  • Bundesministerium für Digitales und Verkehr (BMDV): Als ressortübergreifende Behörde könnte das BMDV eine koordinierende Funktion übernehmen.

What impact does the AI Regulation have on organisations?

Für Organisationen bringt die Verordnung sowohl Herausforderungen als auch Chancen:

  • Compliance requirements: Organisationen müssen ihre KI-Systeme auf Konformität prüfen und gegebenenfalls anpassen.
  • Competitive advantage: Einhaltung der Vorschriften kann das Vertrauen der Kunden erhöhen.
  • AI expertise: Organisationen müssen die KI-Kompetenz Ihrer Mitarbeiter sicherstellen.
  • Pressure to innovate: Organisationen sind gefordert, innovative und regelkonforme Lösungen zu entwickeln.
  • Labelling obligation: Organisationen müssen durch KI generierte Inhalte kennzeichnen.

Organisationen müssen die KI-Kompetenz von Mitarbeitern sicherstellen

Die EU-KI-Verordnung stellt Organisationen ab Februar 2025 vor eine neue Herausforderung: die Sicherstellung von KI-Kompetenz bei ihren Mitarbeitern. Das bedeutet, dass Organisationen sicherstellen müssen, dass die Personen, die mit der Entwicklung, dem Einsatz oder der Wartung von KI-Systemen betraut sind, über ausreichendes Wissen und Verständnis dieser Technologie verfügen. Diese neue Vorschrift zielt darauf ab, einen verantwortungsvollen Umgang mit Künstlicher Intelligenz zu fördern und potenzielle Risiken zu minimieren. Organisationen müssen sich daher darauf einstellen, ihre Mitarbeiter entsprechend zu schulen und weiterzubilden. Nur so können sie sicherstellen, dass KI-Systeme ethisch und rechtlich korrekt eingesetzt werden.

What does Article 4 of the AI Regulation say?

„Die Anbieter und Betreiber von KI-Systemen ergreifen Maßnahmen, um nach bestem Wissen und Gewissen sicherzustellen, dass ihr Personal und andere Personen, die in ihrem Auftrag mit dem Betrieb und der Nutzung von KI-Systemen befasst sind, über ausreichende KI-Kompetenz verfügen, wobei ihre technischen Kenntnisse, ihre Erfahrung, ihre Aus- und Weiterbildung und der Kontext, in dem die KI-Systeme eingesetzt werden sollen, sowie die Personen oder Personengruppen, bei denen die KI-Systeme eingesetzt werden sollen, berücksichtigt werden.“

What does AI expertise mean?

Unter KI-Kompetenz versteht man die Fähigkeit, Künstliche Intelligenz zu verstehen, verantwortungsvoll einzusetzen und ihre Auswirkungen abzuschätzen. Das beinhaltet sowohl technische Kenntnisse über die Funktionsweise von KI-Systemen als auch ein Bewusstsein für die sozialen, ethischen und rechtlichen Aspekte des Einsatzes von KI.

AI expertise covers three core areas:

  1. Grundlegendes Verständnis von KI: Ein solides Wissen über die Funktionsweise von KI-Systemen ist Voraussetzung für deren sinnvollen Einsatz.
  2. Kritische Einordnung von KI: Die Fähigkeit, die Chancen und Risiken von KI abzuwägen und ethische Aspekte zu berücksichtigen.
  3. Praktische Anwendung von KI: Konkrete Fähigkeiten im Umgang mit KI-Systemen, angepasst an den jeweiligen Einsatzbereich.

How can AI skills be taught?

Hier schreibt die KI-Verordnung keinen konkreten Lösungsweg vor. Jede Organisation muss ein eigenes Konzept entwickeln, das auf seine spezifischen Bedürfnisse zugeschnitten ist. Dazu gehören Schulungen, Weiterbildungen, die Entwicklung interner Richtlinien und die Förderung des Austauschs zwischen verschiedenen Abteilungen.

Die KI-Kompetenz sollte möglichst praxisnah vermittelt werden, um den Transfer in den Arbeitsalltag zu erleichtern. Zunächst sollten alle Mitarbeiter ein grundlegendes Verständnis von KI erhalten und angesichts der rasanten Entwicklung im Bereich der KI eine kontinuierliche Weiterbildung ermöglicht bekommen. Dabei müssen Datenschutzbestimmungen bei der Entwicklung und dem Einsatz von KI-Systemen berücksichtigt werden. Beziehen Sie daher alle Interessengruppen, wie Datenschutzbeauftragte, Informationssicherheitsbeauftragte, IT-Abteilung, Personalabteilung oder wenn vorhanden den Betriebsrats bei der Gestaltung von Schulungsmaßnahmen ein.

Vorschlag für einen Leitfaden für ein KI-Schulungskonzept:

Der Bedarf sollte sich also einerseits aus den konkreten Use Cases in der Organisation ergeben und andererseits aus übergreifenden Abfragen des Kompetenzstandes. Organisationen sollten Analyse von Bedarf / Kompetenz durchführen:

  • Individuelle Bedürfnisse: Ermittlung des spezifischen Wissensbedarfs basierend auf den eingesetzten KI-Systemen (Welche KI-Systeme werden eingesetzt?), den Rollen der Mitarbeiter und den bestehenden Kompetenzen (Verfügt der Mitarbeiter über Vorkenntnisse?).
  • Risk assessment: Berücksichtigung der Risiken, die mit dem Einsatz von KI verbunden sind (Welche Risikoklasse hat das KI-System?).

Auf Basis der Bedarfsanalyse lassen sich notwendige Schulungsmaßnahmen, in Form von Online-Kursen oder Präsenzschulungen ableiten. Um dieses Thema zu beschleunigen kann die Zusammenarbeit mit Schulungsdienstleistern sinnvoll sein. Je nach Ergebnis der Bedarfsanalyse sind verschiedene Schulungsinhalte sinnvoll:

  • Basics: Vermittlung grundlegender Kenntnisse über KI, deren Funktionsweise sowie rechtliche und auch ethische Aspekte. Hier sollte es vordergründig darum gehen, Mitarbeitern die Technologie näher zu bringen, um diese effektiv und sicher nutzen zu können. Ein grundlegendes Verständnis zu Begriffen, wie bspw. Machine Learning, senkt die Hemmschwelle. Das Verständnis hilft dabei ChatGPT und Co sinnvoll in den Arbeitsalltag zu integrieren.
  • Deepening: Um die KI-Kompetenzen der Mitarbeiter gezielt zu fördern, sollten weiterführende Schulungen angeboten werden, die auf konkrete Anwendungsbereiche zugeschnitten sind. Ein besonderer Fokus kann dabei auf Themen liegen, wie IT security and law (z.B. Zusammenhang Geschäftsgeheimnisgesetz oder Non-Disclosure Agreements), möglicher Threat scenarios (z.B. Bedrohung durch Deepfakes, Betrug, Rufschädigung und Manipulation durch KI) oder aber auch die Importance of AI compliance (e.g. compliance with legal regulations and ethical standards when using AI, the creation of internal guidelines and best practices in dealing with AI)

Neben den Schulungsmaßnahmen ist es wichtig eine KI-Governance zu etablieren und zugehörige Richtlinien und Standards in Ihre Organisation zu integrieren. Die Organisation stellt sicher, dass ein KI-System nur von nachweislich kompetenten Mitarbeitern genutzt wird und dokumentiert dies in einer übergreifenden Strategie. Zum Beispiel könnte der Zugang zu einem KI-System (Login und Passwort) mit einem erfolgreichen Training verknüpft sein. Durch folgende Punkte schaffen Sie einen klaren KI-Rahmen:

  • Guidelines and standards: Entwicklung von internen Richtlinien für den Umgang mit KI.
  • AI Guideline: Erstellung einer Leitlinie, inklusive Best Practices, ethische Grundsätze und Compliance-Anforderungen, für Mitarbeiter.
  • AI Officer: Je nach Größe der Organisation bzw. Umfang der KI-Nutzung kann auch der Einsatz eines KI-Beauftragten sinnvoll sein, der Risikobewertungen sowie Risikofolgenabschätzungen durchführt, die Implementierung, Überwachung und Koordination der KI-Strategien vorantreibt und die Planung und Koordination von Schulungen übernimmt. Gegebenenfalls können diese Themen auch in den Aufgabenbereich des Datenschutzbeauftragten oder Informationssicherheitsbeauftragten fallen.

Die KI-VO verlangt keine konkrete Dokumentation. Für den Arbeitgeber ist es dennoch ratsam, insbesondere Schulungsmaßnahmen (elektronisch) festzuhalten. Eine nachvollziehbare Dokumentation schützt Unternehmen vor Haftungsrisiken und belegt die Erfüllung der Verpflichtung nach Art. 4 KI-VO.

  • Proof: Dokumentation der durchgeführten Schulungen.
  • Liability protection: Schutz vor möglichen Haftungsansprüchen.

Consequences of inadequate implementation of Article 4 of the AI Regulation

Obwohl Artikel 4 KI-VO keine direkten Sanktionen vorsieht, ist er ein wichtiger Baustein für die rechtliche Beurteilung von Schadensfällen und arbeitsrechtlichen Auseinandersetzungen im Zusammenhang mit KI-Systemen. Organisationen sollten daher die Anforderungen von Artikel 4 ernst nehmen und geeignete Maßnahmen zur Schulung ihrer Mitarbeiter ergreifen.Key risks:

  • Liability: Bei Schäden, die durch fehlerhafte KI-Systeme verursacht werden, kann eine Organisation haftbar gemacht werden, wenn es nachweislich keine angemessenen Schulungsmaßnahmen durchgeführt hat. Gerichte könnten dies als Verstoß gegen die allgemeine Sorgfaltspflicht werten.
  • Consequences under labour law:
    • Mitarbeiteransprüche: Mitarbeiter könnten Ansprüche geltend machen, wenn sie durch den Einsatz von KI-Systemen geschädigt werden oder wenn ihnen angemessene Schulungen verweigert werden.
    • Kündigungen: In bestimmten Fällen könnten Arbeitgeber Schwierigkeiten haben, Mitarbeiter aufgrund fehlender KI-Kompetenzen zu kündigen, insbesondere wenn keine ausreichenden Schulungsangebote gemacht wurden.
  • Works council co-determination: Bei der Umsetzung von Schulungsmaßnahmen zur Erfüllung der Anforderungen von Artikel 4 KI-VO muss der Betriebsrat nach dem Betriebsverfassungsgesetz (BetrVG) beteiligt werden.

Online-Kurs um die KI-Kompetenz Ihrer Mitarbeiter zu schärfen

Die KI-Verordnung stellt Organisationen ab Februar 2025 vor klare Anforderungen: Mitarbeiter, die mit KI-Systemen arbeiten, müssen über fundierte KI-Kompetenzen verfügen. Ob Entwicklung, Einsatz oder Wartung – der verantwortungsvolle Umgang mit KI ist der Schlüssel zu einem ethischen und rechtlich einwandfreien Einsatz dieser Technologie. Mit unserer praxisnahen KI-Schulung machen Sie Ihr Team fit für die Zukunft und generieren Schulungsnachweise zur Dokumentation Ihrer Maßnahmen.

Further Information

Kennzeichnungspflicht für KI-generierte Inhalte nach der KI-Verordnung

Die KI-Verordnung (AI Act) schreibt vor, dass bestimmte KI-generierte Inhalte eindeutig als solche gekennzeichnet werden müssen. Das Ziel dieser Regelung ist es, Verbraucher zu schützen und sicherzustellen, dass sie sich bewusst sind, wenn sie mit künstlich erzeugten Inhalten konfrontiert werden. Die genaue Rechtsgrundlage für diese Kennzeichnungspflicht finden Sie in Article 50 of the AI Regulation. Dieser Artikel regelt die Transparenzanforderungen für KI-Systeme, die für die Interaktion mit natürlichen Personen bestimmt sind. Die konkrete Ausgestaltung der Kennzeichnungspflicht kann in Einzelfällen komplex sein und erfordert eine sorgfältige rechtliche Prüfung.

Specifically, this labelling obligation applies:

  • Deepfakes: Bilder, Videos oder Audioaufnahmen, die mithilfe von KI so manipuliert wurden, dass sie echt wirken, müssen als solche gekennzeichnet werden.
  • AI-generated content in general: Auch andere KI-generierte Inhalte, die das Potenzial haben, Nutzer*innen irrezuführen, sollten transparent gekennzeichnet werden.

Exemptions from the labelling requirement:

  • Künstlerische Werke: Wenn KI-generierte Inhalte Teil eines künstlerischen, fiktionalen oder analogen Werks sind, reicht es aus, die KI-Nutzung in geeigneter Weise offenzulegen, ohne das Werk zu beeinträchtigen.
  • Legally authorised purposes: Die Kennzeichnungspflicht entfällt, wenn die KI-generierten Inhalte für Zwecke der Strafverfolgung oder ähnlicher gesetzlicher Aufgaben verwendet werden.

Sanktionen bei Verstößen gegen die KI-Verordnung

Der Artikel 99 der KI-Verordnung regelt die Sanktionen für Verstöße gegen die Bestimmungen der Verordnung und sieht bei Verstößen hohe Geldbußen vor, ähnlich wie bei der DSGVO. Die Höhe der Bußgelder richtet sich entweder nach einem festen Betrag in Millionen Euro oder einem Prozentsatz des weltweiten Jahresumsatzes des Unternehmens, wobei der höhere Wert maßgeblich ist.

  • Prohibited AI practices: Up to 35 million euros or 7 % of global annual turnover.
  • Andere Verstöße: Up to EUR 15 million or 3 % of turnover.
  • Falsche Informationen an Behörden: Up to EUR 7.5 million or 1 % of turnover.

Conclusion: Responsibility and competitive advantages through the AI regulation

The AI Regulation is a significant step towards a verantwortungsvollen und ethischen Nutzung von Künstlicher Intelligenz in Europa. Sie bietet Organisationen einen klaren Rechtsrahmen und schafft gleichzeitig Vertrauen bei den Bürgerinnen und Bürgern. Die Umsetzung der KI-Verordnung erfordert von Organisationen eine sorgfältige Prüfung ihrer bestehenden KI-Systeme und die Entwicklung entsprechender Anpassungsmaßnahmen. Dabei ist es wichtig, die spezifischen Anforderungen der Verordnung zu berücksichtigen und die Zusammenarbeit mit Experten zu suchen.

The AI Regulation is not only a challenge, but also an opportunity. Organisationen, die sich frühzeitig mit den neuen Anforderungen auseinandersetzen, können sich einen Wettbewerbsvorteil verschaffen und ihre Position als Vorreiter im Bereich der ethischen KI festigen. In den kommenden Jahren wird die KI-Verordnung die Entwicklung von KI in Europa maßgeblich prägen. Es ist daher unerlässlich, sich mit den Inhalten der Verordnung vertraut zu machen und die notwendigen Maßnahmen zur Umsetzung zu ergreifen. In den kommenden Jahren wird die Verordnung die Weichen für die Entwicklung und den Einsatz von KI in Europa stellen und so die Innovationsfähigkeit der EU stärken.

Newsletter registration

Caroline Schwabe
Latest posts by Caroline Schwabe (see all)

Das könnte Sie auch interessieren:

NIS2: EU-Richtlinie für mehr Cybersicherheit

Was bedeutet die NIS-2-Richtlinie für Organisationen in Deutschland? Umsetzungspflichten, Sanktionen, Tipps zur Umsetzung.
Read more

EU Data Act: Pflichten für Organisationen

Seit 12. September 2025 ist er anwendbar, erhalten Sie einen Überblick über Inhalte, Auswirkungen und Anwendungsbereiche des EU-Datengesetzes.
Read more

The EU-U.S. Data Privacy Framework

On 10 July 2023, the EU-U.S. Data Privacy Framework entered into force. All background information on the adequacy decision.
Read more