AI Act zur Nutzung künstlicher Intelligenz
Die EU hat mit dem "AI Act" weltweit die erste umfassende Regulierung für den Einsatz künstlicher Intelligenz (AI) geschaffen. Seit 01. Februar 2025 gelten in der EU daher neue Regeln für den Einsatz von künstlicher Intelligenz. So müssen zum Beispiel Unternehmen, die KI-Systeme beruflich verwenden, dafür sorgen, dass die Mitarbeitenden bis Ende 2025 über KI-Kompetenz verfügen.
Lesezeit:
Der AI Act soll einen Rahmen für den sicheren und vertrauenswürdigen Einsatz von KI-Systemen bieten. Der AI Act verfolgt dabei einen risikobasierenden Ansatz und qualifiziert KI-Systeme anhand eines Klassifizierungssystems; je nach Einstufung gelten besondere Pflichten für die Nutzung eines KI-Systems. KI-Systeme, die nicht unter eine dieser Risikoklassen fallen, sind nach dem AI Act ohne weitere Auflagen erlaubt. Für diese gelten lediglich die Bestimmungen zur AI-Kompetenz, die aber von allen Unternehmen zu beachten sind.
Was sind KI-Systeme?
KI-Systeme sind nach der Definition des AI Acts maschinengestützte Systeme, die für einen in unterschiedlichem Grad autonomen Betrieb ausgelegt sind, gegebenenfalls anpassungsfähig sein können, und aus den erhaltenen Eingaben "Ausgaben", wie z.B. Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen erstellen, die physische oder virtuelle Umgebungen beeinflussen können.
KI-Systeme können auch in bereits bestehende Anwendungen integriert sein, wie z.B. Chat-Bots, Spam Filter, Tools zur Bearbeitung von Kundenanfragen, Bewertungen, Übersetzung, Textprduktion, Bildgenerierung, Datenanalyse, Sprachgenerierung, Prozessautomatisierung etc.
Verbot bestimmter KI-Anwendungen
Seit 02.02.2025 sind bestimmte KI-Anwendungen explizit verboten (z.B. biometrische Kategorisierungssysteme, die politische oder religiöse Überzeugungen, sexuelle Orientierung oder ethnische Zugehörigkeit nutzen, KI zur Erkennung von Emotionen am Arbeitsplatz oder zur Erstellung eines Benotungssystems für soziales oder persönliches Verhalten usw.). Neben diesen Verbotenen KI-Systemen gibt es noch die Kategorien der Hochrisiko-KI-Systeme, sowie der KI-Modelle mit allgemeinem Verwendungszweck (GPAI). Unternehmen haben dafür zu sorgen, dass verbotene KI-Systeme nicht mehr zur Anwendung kommen.
Zentrale Aufgabe: Sicherstelltung der AI Kompetenz
Für Unternehmen, die ein KI-System der niedrigsten Risikoklasse in eigener Verantwortung bei der beruflichen Tätigkeit verwenden (sogenannte "Betreiber:innen"), gibt der AI Act vor, dass bis Ende 2025 sicherzustellen ist, dass alle Mitarbeitenden, die mit Betrieb oder Nutzung von KI-Systemen befasst sind, auch über die notwendige KI-Kompetenz verfügen.
Maßnahmen
Nach Artikel 4 des AI Acts müssen Betreiber Maßnahmen setzen, die gewährleisten, dass ihre Mitarbeitenden und alle, die die KI-Systeme in ihrem Namen nutzen, über ein ausreichendes Maß an KI-Kompetenz verfügen. "KI-Kompetenz" im Sinn des AI Acts meint die Fähigkeit der Mitarbeitenden, die KI-Systeme sachkundig zu nutzen, und sowohl deren Potenziale als auch deren Risiken im Sinne der sozialen, ethischen und rechtlichen Implikationen, auch im Sinne einer Schadenprävention, zu verstehen. Dabei ist es unbeachtlich, um welche Art von KI-Systemen oder KI-Modellen es sich handelt oder welcher Risikoklasse gemäß dem AI Act diese zuzuordnen sind.
Die Frage, welche konkreten Maßnahmen notwendig sind, um den Anforderungen des Atrikel 4 nachzukommen, lässt sich nicht pauschal, sondern immer nur anhand des jeweiligen Betriebs und der eingesetzten KI-Systeme beantworten.
Die ersten Schritte sind also, die bereits eingesetzten KI-Systeme und deren Einsatzzwecke zu erheben sowie die Entscheidung der Geschäftsleitung über die Nutzung von KI-Systemen zu klären. Nur auf dieser Basis lässt sich der Umfang der notwendigen und sinnvollen (Schulungs-) Maßnahmen ableiten. Dabei ist aber zu beachten, dass sich KI-Systeme und KI-Modelle rasch weiterentwickeln; daher sollte der tatsächliche Einsatz von KI-Systemen im Betrieb regelmäßig erhoben werden.
Im AI Act werden die zu setzenden Maßnahmen nicht näher konkretisiert und es werden für den Fall der Nichterfüllung auch keine Strafen festgelegt. Auch besteht keine Verpflichtung, die gesetzten Maßnahmen zu dokumentieren.
Dazu ist aber zu beachten, dass die Mitgliedsbetriebe eine Verantwortung trifft, für die sichere Nutzung ihrer KI-Systeme zu sorgen. Demgemäß kann es z.B. zu einer Schadenshaftung (wegen der Verletzung der allgemeinen Sorgfaltspflicht) kommen, wenn durch eine angemessene Schulung ein Schaden, der durch eine fehlerhafte Bedienung eines KI-Systems eingetreten ist, hätte verhindert werden können. Zur Abwehr allfälliger nachteiliger Folgen ist eine Dokumentation der gesetzten Maßnahmen sinnvoll!
In jedem Fall sollten daher folgende Maßnahmen gesetzt, und auch dokumentiert, werden:
- Schulungen: Hier empfehlen sich Grundlagenschulungen für alle Mitarbeitenden (soweit Berührungspunkte mit KI-Systemen im betrieblichen Ablauf überhaupt denkbar sind), sowie Spezialschulungen für die Geschäftsleitung, IT und diejenigen Personengruppen, die die KI-Systeme allenfalls nutzen.
- Betriebliche KI-Richtlinien: Mit diesen Richtlinien soll klar definiert werden, ob, und wenn ja, in welchem Ausmaß und welche KI-Anwendungen und Services, die auf KI beruhen, im dienstlichen Zusammenhang genutzt werden dürfen. Mit der Richtlinie schafft der Betrieb für die Mitarbeitenden klare Rahmenbedingungen (siehe Vorlage der WKO).
- Sonstiges: Ein eigener KI Beauftragter wird vom AI Act nicht gefordert. Dem Grunde nach sollte bei der Entscheidung über den Einsatz von KI-Systemen immer auch Compliance und datenschutzrechtliche Verpflichtungen (vertrauliche Daten über Gäste, etc) berücksichtigt werden. Regelmäßige Feedbackprozesse, auch im Hinblick auf die eingesetzten KI-Systeme, helfen dabei, die Sorgfaltsverpflichtungen unter dem AI Act zu erfüllen.
Was ist ab August 2026 zu beachten?
Ab August 2026 muss sichergestellt, dass Kundinnen und Kunden bei digitalen Interaktionen mit einem Betrieb wissen, ob mit einem KI-System interagieren oder mit Menschen interagiert wird.
Auch KI-generierte Inhalte (insbesondere die sogenannten "deepfakes") müssen ab diesem Zeitpunkt gekennzeichnet sein, wobei künstlerische und satirische Anwendungen von dieser Kennzeichnungspflicht ausgenommen sind.
Wie mit KI-generierten Bildern und Texten umgehen?
Vorbehaltlich der oben genannten Regeln gibt es in Österreich derzeit noch keine verbindlichen Vorgaben, wie mit KI-generierten Bildern oder Texten umgegangen werden darf. Zu bedenken ist aber, dass es insbesondere bei den sogenannten Image-to-Image Bildern, die auf einem menschgemachten Bild aufbauen, zu rechtlichen Konflikten aus bestehenden Urheberrechten kommen kann. Gleiches gilt auch für die Verwendung von KI-generierten Texten, weil beim jeweiligen Training des KI Systems Daten, wie Bilder und Texte, eingesetzt werden. In jedem Fall sind - insbesondere auch beim Einsatz kostenpflichtiger KI-Systeme für die Generierung von Bildern oder Texten - die diesbezüglichen Nutzungsbedingungen zu beachten.
Ergibt sich, dass ein KI-generiertes Bild frei verwendet werden darf, ist zu beachten, dass dieses Recht zur freien Verwendung dann auch für alle anderen gilt – KI-generierte Bilder auf der eigenen Website könnten daher auch von Wettbewerber:innen oder sonstigen Dritten verwendet werden!
Achtung: Artikel gibt nur einen groben Überblick.
Der Autor Mag. Stephan Schmalzl ist Partner bei Schima Mayer Starlinger Rechtsanwälte.
Stand: Februar 2025
