Mit der Verordnung über künstliche Intelligenz (KI-VO) hat die Europäische Union erstmals einen umfassenden Rechtsrahmen für den Einsatz von künstlicher Intelligenz (KI) geschaffen. Der AI-Act, wie die Verordnung auf Englisch genannt wird, gilt unmittelbar in allen EU-Mitgliedstaaten und wird stufenweise in Kraft treten. Erste Bestimmungen, darunter das Verbot bestimmter KI-Praktiken und die Verpflichtung zur KI-Kompetenz, gelten bereits seit 02. Februar 2025. Weitere Regelungen folgen, unter anderem zu Strafbestimmungen (ab 02. August 2025) und zur Regulierung von Hochrisiko-KI-Systemen (ab 02. August 2026).
Die Verordnung soll nicht nur einen einheitlichen europäischen Standard für den Umgang mit KI-Systemen schaffen, sondern auch Investitionen und Innovation fördern, während gleichzeitig ein hohes Schutzniveau für Grundrechte, Sicherheit und Gesundheit sichergestellt wird.
Was versteht man unter künstlicher Intelligenz?
KI bezeichnet Systeme, die in der Lage sind, Daten zu analysieren, Muster zu erkennen und eigenständig Schlussfolgerungen zu ziehen. Sie kann Texte, Bilder, Videos, Stimmen oder Computercodes generieren und wird zunehmend in Unternehmen eingesetzt. Die möglichen Anwendungsbereiche sind breit gefächert und reichen von der automatisierten Kundenkommunikation über Marketing- und Personalmanagement-Aufgaben bis hin zur Erkennung von Unregelmäßigkeiten in steuerlichen oder buchhalterischen Daten.
Während KI viele Prozesse effizienter gestalten kann, ist sie nicht fehlerfrei. Die menschliche Kontrolle bleibt essenziell, um Fehinterpretationen und fehlerhafte Ergebnisse zu vermeiden.
Verpflichtende KI-Kompetenz in Unternehmen ab 2. Februar 2025
Unternehmen, die KI-Systeme entwickeln oder nutzen, sind seit 02. Februar 2025 verpflichtet, sicherzustellen, dass ihre Mitarbeiter:innen über ausreichende KI-Kompetenz verfügen (Artikel 4 KI-VO). Dies betrifft nicht nur festangestellte Arbeitnehmer:innen, sondern auch externe Dienstleister:innen oder Kooperationspartner:innen.
Die erforderliche Fachkompetenz kann durch interne Leitlinien, betriebliche Richtlinien oder Schulungen vermittelt werden. Unternehmen sollten darauf achten, dass ihre Mitarbeitenden über:
- die technischen Grenzen von KI,
- Datenschutzvorgaben (DSGVO),
- Urheberrechte (UrhG),
- den Schutz von Betriebs- und Geschäftsgeheimnissen
- sowie mögliche Haftungsfragen informiert sind.
Für die Praxis empfiehlt sich, dass interne Richtlinien zur Nutzung von KI klarstellen sollten, dass KI-gestützte Prozesse der menschlichen Überprüfung unterliegen. In Betrieben mit einem Betriebsrat kann auch eine formale Betriebsvereinbarung über den Einsatz von KI-Systemen abgeschlossen werden. Arbeitnehmer:innen, die im Betrieb mit KI-Tools arbeiten, sollten ehestmöglich über die eingesetzten KI-Tools, die technischen Grenzen von KI, Datenschutz, Urheberrecht, Sicherheitsaspekte und damit zusammenhängende Haftungsfragen geschult werden!
Risikoklassen für KI-Systeme: Stufenweise Regulierung
Die KI-Verordnung teilt KI-Systeme in unterschiedliche Risikostufen ein, die jeweils spezifische Anforderungen mit sich bringen:
- Verbotene KI-Praktiken (Artikel 5 KI-VO)
- KI-Systeme mit hohem Risiko (Artikel 6 und Anhang III KI-VO)
- KI-Systeme zur direkten Interaktion mit Menschen (Artikel 50 KI-VO)
- KI-Systeme mit allgemeinem Verwendungszweck (General-purpose AI – GPAI, Artikel 53 KI-VO)
Die jeweiligen Vorschriften richten sich nach dem Risikoniveau der Anwendung: Während bestimmte KI-Praktiken bereits seit Februar 2025 verboten sind, gelten für Hochrisiko-KI-Systeme ab August 2026 strengere Pflichten.
Verbotene KI-Praktiken seit 2. Februar 2025
Seit 2. Februar 2025 sind bestimmte KI-Anwendungen in der EU verboten – Strafsanktionen für Verstöße treten allerdings erst ab 2. August 2025 in Kraft. Zu den untersagten Praktiken zählen unter anderem:
- Manipulative KI-Techniken, die das Verhalten von Personen zu ihrem Nachteil beeinflussen.
- Emotionserkennung am Arbeitsplatz, außer für medizinische oder sicherheitsrelevante Zwecke (z. B. Konzentrationsüberwachung bei Flugpersonal).
- Biometrische Kategorisierung, wenn sie dazu dient, sensible Daten wie ethnische Zugehörigkeit, politische Einstellungen oder sexuelle Orientierung zu erheben.
Praxisempfehlung:
Unternehmen sollten ihre eingesetzten KI-Tools überprüfen, um sicherzustellen, dass keine verbotene Technologie genutzt wird. Ist eine Anwendung betroffen, muss sie sofort eingestellt werden.
KI-Systeme zur direkten Interaktion mit Menschen: Transparenzpflichten ab 2. August 2026
Ab 2. August 2026 gelten zusätzliche Transparenzanforderungen für Unternehmen, die KI-gestützte Systeme in der direkten Kommunikation mit Menschen einsetzen. Dies betrifft vor allem KI-generierte Inhalte wie Deepfakes, deren Einsatz offengelegt werden muss (Artikel 50 Abs. 4 KI-VO).
Hochrisiko-KI-Systeme: Strenge Vorgaben ab 2. August 2026
Bestimmte KI-Systeme gelten als Hochrisiko-Technologien und unterliegen ab 2. August 2026 besonders strengen Anforderungen. Zu den betroffenen Bereichen zählen unter anderem kritische Infrastruktur (zB Krankenhäuser, Stromnetze), Bildung und Personalmanagement (zB Bewerbungsfilterung, Leistungsbeurteilungen, Arbeitsplatzüberwachung) oder automatisierte Entscheidungen über Beschäftigungsbedingungen (zB Beförderungen oder Kündigungen).
Unternehmen, die Hochrisiko-KI einsetzen, müssen:
- Technische und organisatorische Maßnahmen zur sicheren Nutzung treffen.
- Menschliche Aufsicht über die KI-Systeme gewährleisten.
- Automatisch generierte Protokolle mindestens sechs Monate aufbewahren.
- Mitarbeiter:innen und den Betriebsrat über den Einsatz dieser Systeme informieren.
Sanktionen bei Nichteinhaltung der KI-Verordnung
Die KI-Verordnung sieht empfindliche Strafen für Unternehmen vor, die gegen die Vorschriften verstoßen. Ab 2. August 2025 können Verstöße mit Geldstrafen von bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes (Artikel 99 KI-VO) geahndet werden. Zusätzlich sind die Mitgliedstaaten für die Festlegung weiterer Sanktionen und Verfahrensvorschriften zuständig. Es bleibt abzuwarten, welche konkreten Bestimmungen in Österreich erlassen werden.
Wichtiger Hinweis: Die Verpflichtung zur Schulung von Mitarbeiter:innen im Umgang mit KI-Systemen ist zwar nicht direkt strafbewehrt, jedoch kann das Fehlen von Schulungen dazu führen, dass Rechtsverstöße begangen werden. Unternehmen sollten daher sicherstellen, dass alle relevanten Mitarbeitenden rechtzeitig informiert und geschult werden.
Was Unternehmen jetzt tun sollten
Die KI-Verordnung der EU bringt tiefgreifende Veränderungen für Unternehmen, die KI-Technologie nutzen. Um die neuen Vorschriften einzuhalten, sollten Unternehmen:
- KI-Systeme überprüfen und sicherstellen, dass keine verbotenen Praktiken genutzt werden.
- Schulungen für Mitarbeiter:innen einführen, um die erforderliche KI-Kompetenz zu gewährleisten.
- Transparenzpflichten und Datenschutzrichtlinien anpassen.
- Strenge Vorgaben für Hochrisiko-KI-Systeme berücksichtigen.
Stand: 03.03.2025
Quelle: Kraft & Kronberger Fachpublikationen
Foto: Tara Winstead