

Ab dem 2. Februar 2025 greift die Regulierung
EU AI Act – Neue Regelungen und Pflichten
Der EU AI Act hat das Ziel, die Sicherheit, Grundrechte und ethischen Standards im Umgang mit KI-Systemen zu gewährleisten. In mehreren Stufen laufen dieses Jahr die Übergangsfristen aus, wichtige Elemente der europaweiten Regulierung sind ab heute wirksam. Weitere Bestimmungen folgen am 2. Mai und am 2. August 2025. Wie berichtet, basiert der AI Act auf einem Risiko-Prinzip und entsprechend sind ab sofort alle diejenigen KI-Systeme und Anwendungen untersagt, die als unannehmbares Risiko eingestuft worden sind.
Dazu gehört die ki-basierte Bewertung oder Einstufung von Personen basierend auf ihrem sozialen Verhalten oder persönlichen Merkmalen – das sogenannte Social Scoring. Ebenso der Einsatz von KI zur Erkennung von Emotionen in Arbeitsumgebungen oder Bildungseinrichtungen, es sei denn, dies ist aus medizinischen oder sicherheitsrelevanten Gründen erforderlich. Untersagt sind Systeme und Anwendungen, die Schwachstellen von Personengruppen ausnutzen – zum Beispiel von älteren oder behinderten Menschen. Und generell sind alle manipulative oder täuschenden Techniken verboten, die insbesondere geeignet sind, unser Verhalten erheblich zu beeinflussen und Entscheidungsfähigkeiten zu beeinträchtigen.
Anfang Mai will die EU-Kommission Leitlinien für die verantwortungsvolle Entwicklung und den Einsatz von Allgemeiner Künstlicher Intelligenz einführen, die dann ab dem 2. August 2025 verbindlich werden sollen. Dies bedeutet für Anbieter verschärfte Anforderungen und zusätzliche Transparenz- und Sicherheitsvorgaben und umfasst auch die Schulung des Personals, die Anpassung interner Prozesse und gegebenenfalls die Überarbeitung oder Einstellung bestimmter KI-Anwendungen.
Schulungspflichten und KI-Kompetenz
In Unternehmenskreisen herrscht derzeit große Verunsicherung, die Beobachter an die Einführung der Europäischen Datenschutzgrundverordnung erinnert: Die Stichworte sind Schulungspflichten und KI-Kompetenz von Mitarbeiterinnen und Mitarbeitern. Ebenfalls heute treten in der Tat wichtige neue Verpflichtungen für Unternehmen gemäß Artikel 4 der KI-Verordnung in Kraft. Zahlreiche Bildungsanbieter, Berater und Rechtsanwaltskanzleien nutzen dies für ein mehr oder weniger aggressives Marketing zu Seminaren, Trainings und Zertifikaten.
Die entsprechenden Regelungen und Schulungspflichten aus dem AI Act gelten für Anbieter und Betreiber von KI-Systemen, die nun verpflichtet sind, Maßnahmen zu ergreifen, daß ihr Personal sowie andere Personen, die in ihrem Auftrag mit dem Betrieb und der Nutzung von KI-Systemen befasst sind, über ein ausreichendes Maß an KI-Kompetenz verfügen. Unternehmen, die Anbieter oder Betreiber sind, müssen ab heute sicherstellen, daß ihre Mitarbeiter technisches, regulatorisches und anwendungsspezifisches Wissen haben. Der Gesetzgeber fordert ein grundlegendes Verständnis für die Funktionsweise von KI-Systemen, Kenntnisse über die gesetzlichen und ethischen Anforderungen im Umgang mit KI und das Verständnis für die spezifischen Anforderungen und Risiken in den jeweiligen Einsatzbereichen von KI-Systemen im Unternehmen.
Die konkrete Ausgestaltung und Form von geeigneten Schulungsmaßnahmen ist nicht geregelt, ebenso wenig gibt es eine offizielle Zertifizierung. Schulen und trainieren kann jeder, der über ausreichend Kenntnisse verfügt. Bis zu konkreteren Regelungen ist mit einer Flut an eigenkreierten Zertifikaten und Siegeln von Fortbildungs-Anbietern zu rechnen. Für betroffene oder interessierte Unternehmen ist vor allem wichtig, daß Schulungsmaßnahmen an die spezifischen Bedürfnisse und die im Unternehmen eingesetzten KI-Systeme angepasst werden. „Sachkunde“ gibt es nicht von der Stange. Umgekehrt empfehlen Experten, unabhängig von Rechtspflichten, ein proaktives Handeln in Form einer unternehmensweiten KI-Policy und begleitenden Schulungsmaßnahmen. Nicht die Angst vor Strafen sollten der Treiber sein, sondern die eigene KI-Strategie und die Sicherstellung von Wettbewerbsfähigkeit. In Zukunft dürften KI-Schulungen auch verstärkt ein wichtiger Pluspunkt im Employer-Branding sein – also Einfluß auf die Attraktivität von Arbeitgebern.
Wann ist man Anbieter oder Betreiber?
Eine der häufigsten Fragen für Unternehmen, die sich Gedanken oder Sorgen um die neue Pflicht zur Sicherstellung von KI-Kompetenz machen, ist der eigene Status und die Definition von "Anbieter" oder "Betreiber". Und auch Institutionen, Freiberufler und Privatpersonen sind unsicher, ob sie den neuen Regelungen unterliegen. Dabei ist wichtig zu verstehen, daß im Sinne des EU AI Act jede natürliche oder juristische Person zum Anbieter oder Betreiber werden kann. Die Regelungen und Pflichten gelten also nicht nur für Großunternehmen und es gibt prinzipiell erst mal keinen Freibrief im Sinne von "klein", "nicht-kommerziell" oder "gemeinnützig". Für Unternehmen und Organisationen, die KI-Modelle oder -Systeme programmieren, vertreiben oder lizenzieren als Anbieter gelten. Das können KI-Startups sein, Softwareentwickler oder unternehmenseigene Technik-Dienstleister. Als Betreiber gilt wiederum jede natürliche oder juristische Person, die ein KI-System in der Praxis einsetzt – sei es intern oder gegenüber Kunden. Hier muss jedoch weiter differenziert werden!
Der EU AI Act unterscheidet zwischen dem normalen Gebrauch einer KI und der verantwortlichen Betreibung eines KI-Systems mit daraus resultierenden, spezifischen Verpflichtungen. Ein simples Named-User-Abo für ChatGPT, das entweder zu privaten Zwecken oder zur internen Unterstützung eines Mitarbeiters im Unternehmen genutzt wird, bedingt nicht den Betreiber-Status. In diesem Fall nutzt man ein bestehendes KI-System, das von OpenAI als Anbieter entwickelt und betrieben wird. Die regulatorischen Verpflichtungen liegen daher bei OpenAI, nicht beim User. Als Betreiber wird ein Unternehmen aber schon dann betrachtet, wenn zum Beispiel Generative KI im Kundendienst, als Chatbot für Kunden oder in eigene Produkte und Plattformen eingebunden wird. Unternehmen, die Sprachmodelle für den On-Premise-Betrieb lizensieren, sind in der Regel immer Betreiber. In diesen Fällen sind sie dafür verantwortlich, daß die Nutzung des KI-Systems gesetzeskonform, transparent und risikoarm erfolgt. Entwickeln sie auf dieser Basis sogar eigene Chatbot-Systeme und lizensieren diese an weitere Unternehmen, kann zusätzlich der Anbieter-Status greifen.
KI-Audit empfehlenswert
Experten raten dringend dazu, den eigenen Status zu klären und im Auge zu behalten, denn dieser kann sich schnell ändern – und damit die verbundenen Pflichten. Das derzeit zu beobachtende "Angst-Marketing" von Schulungsanbietern sollte dagegen nicht zum übereilten Buchen von beliebigen Kursen und Trainings führen. Die eigene KI-Strategie, das unternehmensindividuelle KI-Setup und eine weitere Roadmap, der damit verbundene Betreiber-Status und die eigene KI-Policy sind wichtige Grundlagen für eine wirksame Schulungsstrategie. In jedem Fall wird dazu geraten sich frühzeitig mit den Regelungen des AI Act, den verschiedenen Risikokriterien und resultierenden Pflichten zu beschäftigen. Ein solches KI-Audit sollte insbesondere dann erfolgen, wenn das Unternehmen mit KI im Bewerbermanagement arbeitet oder zum Beispiel in die Segmente Gesundheit und Finanzwesen fällt. Alle automatisierten Entscheidungen, die eine KI übernehmen soll, bedingen einer sorgsamen Prüfung.
Service: Der vollständige Gesetzestext
Der EU AI Act im Schnellzugriff
Viele unserer News- und Debattenbeiträge haben einen Bezug zur europäischen KI-Regulierung. Hier auf dem KI Expertenforum können Sie zum besseren Verständnis einzelne Gesetzesartikel oder auch die vollständige Verordnung nachlesen: Zum Gesetzestext
#euaiact #regulierung #ki #pflichten #datenschutz #ethik #risikomanagement #sozialscoring #emotionserkennung #personalbewertung #manipulativetechniken #transparenz #datensicherheit #schulungspflichten #kikompetenz #unternehmen #bildungsanbieter #zertifikate #gesetzlicheanforderungen #kisysteme #anbieter #betreiber #gesetzeskonformität #risikokriterien #kipolicy #audit #datenschutzgrundverordnung #gesetzlichepflichten #ethischeanforderungen #automatisierteentscheidungen #gesundheitswesen #finanzwesen #risikomanagement #aikompetenz