Datenschutzwissen

So erlangen Sie KI-Kompetenz nach der KI-Verordnung

Unternehmen, die KI einsetzen, müssen sicherstellen, dass die Nutzer über ausreichende Kenntnisse im Umgang mit KI verfügen. KI-Kompetenz ist entscheidend, um Chancen zu nutzen, Risiken zu minimieren und rechtliche Anforderungen zu erfüllen.

KI-Verordnung

Die KI-Verordnung (EU 2024/1689, KI-VO) ist seit dem 02. August 2024 in Kraft. Mit der KI-VO hat der EU-Gesetzgeber erstmals einen einheitlichen Rechtsrahmen für KI in der EU geschaffen. Die KI-VO sieht umfassende Pflichten für Unternehmen und öffentliche Stellen vor, die KI anbieten, bereitstellen, vertreiben oder nutzen. Als Verordnung gilt die KI-VO unmittelbar in allen EU-Mitgliedstaaten, eine Umsetzung in nationales Recht ist nicht erforderlich. Auch wenn die KI-VO bereits in Kraft ist, finden die einzelnen Anforderungen schrittweise Anwendung. Alle Anforderungen der KI-VO (mit einer Ausnahme) müssen bis zum 02. August 2026 umgesetzt sein. Die ersten Pflichten gelten ab dem 02. Februar 2025, so auch die Pflicht zur KI-Kompetenz.

KI-Systeme und Risikogruppen

Regelungsgegenstand der KI-VO sind primär KI-Systeme. Nach Art. 3 KI-VO ist ein KI-System „ein maschinengestütztes System, das für einen in unterschiedlichem Grade autonomen Betrieb ausgelegt ist und das […] anpassungsfähig sein kann und das aus den erhaltenen Eingaben für explizite oder implizite Ziele ableitet, wie Ausgaben […] erstellt werden, die physische oder virtuelle Umgebungen beeinflussen können“. Der Begriff ist also weit gefasst. Als Orientierungshilfe für die Beurteilung, ob ein KI-System vorliegt, hat die EU-Kommission Leitlinien zur Definition von KI-Systemen veröffentlicht. Neben KI-Systemen werden auch bestimmte Arten von KI-Modellen reguliert. Ausgenommen vom Anwendungsbereich sind nur wenige Bereiche, wie z. B. die wissenschaftliche Forschung und Entwicklung.

Die KI-VO verfolgt einen risikobasierten Ansatz und sieht unterschiedlich strenge Anforderungen für verbotene KI-Praktiken, Hochrisiko-KI-Systeme und KI-Systeme mit geringem oder minimalem Risiko vor. Je höher das Risiko eines Systems, desto strenger sind die regulatorischen Anforderungen. Darüber hinaus gibt es spezielle Anforderungen für General Purpose AI (GPAI), d. h. KI-Modelle mit allgemeinem Verwendungszweck, die sich wiederum nach dem Risiko des KI-Modells unterscheiden.

KI-Kompetenz-Pflicht

Art. 4 KI-VO verpflichtet Anbieter und Betreiber von KI-Systemen aller Art, Maßnahmen zu ergreifen, um sicherzustellen, dass ihr Personal sowie andere Personen, die in ihrem Auftrag KI-Systeme betreiben oder nutzen, über ausreichende KI-Kompetenz verfügen, wobei die Umstände des Einzelfalls und der jeweilige Kontext des KI-Einsatzes zu berücksichtigen sind. Diese Verpflichtung gilt für alle KI-Systeme, unabhängig von ihrer Risikoeinstufung und somit auch für KI mit minimalem Risiko.

Was bedeutet KI-Kompetenz?

KI-Kompetenz umfasst nach Art. 3 Nr. 56 KI-VO die Fähigkeiten, Kenntnisse und das Verständnis, die es Anbietern, Betreibern und Betroffenen unter Berücksichtigung ihrer jeweiligen Rechte und Pflichten im Rahmen der KI-VO ermöglichen, KI-Systeme sachkundig einzusetzen und sich der Chancen und Risiken von KI sowie des möglichen Schadens, den sie verursachen kann, bewusst zu sein. Eine weitergehende Erläuterung oder gar Checkliste zum Inhalt der KI-Kompetenz enthält die KI-VO nicht. Um aus der Zusammenschau der Legaldefinition und der Zielsetzung aus Erwägungsgrund 20 KI-VO fundierte und rechtmäßige Entscheidungen über KI zu gewährleisten, müssen zumindest folgende Aspekte gewährleistet sein:

  1. Technisches Wissen, wie die Funktionsweise der KI-Technologie,
  2. Risiko- und Chancenbewusstsein für einen bewussten Umgang mit KI,
  3. soziales und ethisches Verständnis, wie Fairness, Transparenz und Verantwortung sowie
  4. rechtliches Verständnis, u. a. zu Datenschutz, geistigem Eigentum, Schutz von Geschäftsgeheimnissen und der KI-VO.

Wer ist verpflichtet?

Die Pflicht zur KI-Kompetenz betrifft Anbieter und Betreiber von KI-Systemen. Anbieter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder sonstige Stelle, die ein KI-System oder GPAI entwickelt / entwickeln lässt und es unter ihrem eigenen Namen oder ihrer Handelsmarke in Verkehr bringt oder in Betrieb nimmt. Betreiber ist hingegen eine Stelle, die ein KI-System in eigener Verantwortung verwendet, mit Ausnahme einer rein persönlichen Tätigkeit. Unternehmen und öffentliche Stellen, die KI-Systeme in ihrer Organisation einsetzen und ihren Beschäftigten zur Verfügung stellen, handeln daher regelmäßig als Betreiber und sind nach Art. 4 KI-VO verpflichtet.

Umsetzung in der Praxis

KI-Kompetenz kann durch verschiedene Maßnahmen vermittelt werden. Auch wenn die KI-VO keinen spezifischen Maßnahmenkatalog vorgibt, haben sich folgende Maßnahmen bewährt: interne Richtlinien und Standards, Schulungen und interdisziplinäre Trainings, einschließlich rollen- und kontextspezifischer Weiterbildungen sowie Zertifizierungsprogramme. Auch die Benennung eines KI-Beauftragten wird in der Praxis diskutiert. Hierbei ist zu berücksichtigen, dass die KI-VO im Gegensatz zur Datenschutz-Grundverordnung, die eine eigene Vorschrift zur Bestellung eines Datenschutz-Beauftragten beinhaltet, keine ausdrückliche Verpflichtung zur Bestellung eines KI-Beauftragten vorsieht. Ein KI-Beauftragter ist daher nur eine von vielen Compliance-Maßnahmen.

Je intensiver Unternehmen KI einsetzen, desto eher empfiehlt es sich, das Thema KI in der Position eines KI-Beauftragten zu zentralisieren. Ob die Position des KI-Beauftragten mit der des Datenschutzbeauftragten zusammengelegt werden sollte, ist in der Praxis umstritten. Konflikte können diesbezüglich insbesondere im Hinblick auf die Unabhängigkeit des Datenschutz-Beauftragten entstehen. In jedem Fall muss die Person das erforderliche Fachwissen auf technischer, sozialer und ethischer sowie rechtlicher Ebene aufweisen. Die Auswahl der Maßnahmen folgt dem risikobasierten Ansatz der KI-VO, sodass die Maßnahmen je nach Vorwissen der Nutzer, Art des KI-Systems und dem Kontext auszugestalten sind. KI-Kompetenz ist eine Dauerpflicht, die unter Berücksichtigung des Stands der Technik und der dynamischen Rechtslage kontinuierlich zu gewährleisten ist.

Zur Durchsetzung der Maßnahmen sind entsprechende Kontroll- und Durchsetzungsbefugnisse intern festzulegen. Als Auslegungshilfe wird die EU-Kommission in Zusammenarbeit mit dem KI-Gremium Leitlinien erlassen. Das Europäische Büro für KI hat bereits ein Repository mit Maßnahmen zur KI-Kompetenz veröffentlicht.

Praxisbeispiel

Immer mehr Unternehmen und auch öffentliche Stellen setzen KI-Systeme ein, ohne sich konkret bewusst zu sein, dass diese Systeme KI darstellen und/oder unter die KI-VO fallen. Beispiele hierfür sind KI-Systeme zur Text- und Bildbearbeitung, zur Text- und Bildgenerierung oder zur automatisierten Datenanalyse. Während einige KI-Systeme in der Praxis als KI-System erkannt werden, ist dies bei einfachen Anwendungen seltener der Fall. Ein Beispiel ist der Einsatz von KI-gestützten Übersetzungsprogrammen. Sei es in der internen Textbearbeitung und Kommunikation oder auch in der Kommunikation nach außen – die Tendenz, KI-basierte Übersetzungsdienste, wie z. B. DeepL oder Google Translate, einzusetzen, steigt. Doch auch bei solch scheinbar unscheinbaren Tools ist eine rechtliche Prüfung nach der KI-VO durchzuführen:

Schritt 1: Anwendbarkeit der KI-VO

Zunächst ist zu prüfen, ob die KI-VO Anwendung findet. Für den sachlichen Anwendungsbereich ist zu prüfen, ob ein KI-System im Sinne der KI-VO vorliegt. Dies ist aufgrund des weiten Begriffsverständnisses der KI-VO regelmäßig der Fall. Sodann ist die Adressateneigenschaft des Unternehmens / der öffentlichen Stelle zu prüfen (sog. persönlicher Anwendungsbereich). Nicht nur Anbieter, sondern auch Betreiber, die das KI-System in eigener Verantwortung für nicht rein private Zwecke einsetzen, sind von der KI-Kompetenzpflicht betroffen. So kann bereits der bloße Einsatz eines KI-Übersetzungstools die Anwendbarkeit der KI-VO begründen. Auch der räumliche Anwendungsbereich nach dem sog. Marktortprinzip ist regelmäßig erfüllt, wobei hier die unterschiedlichen Anforderungen je nach Eigenschaft der Adressdaten zu berücksichtigen sind (Art. 2 Abs. 1 KI-VO).

Schritt 2: Risikoklassifizierung und Ermittlung d. Anforderungen

Sodann ist zu prüfen, in welche Risikoklasse die eingesetzte KI einzuordnen ist und welche rechtlichen Pflichten in Abhängigkeit von der Risikoklasse im Einzelfall zu berücksichtigen sind. KI-Übersetzungstools, die lediglich die Übersetzung von Texten automatisiert durchführen und dabei keine eigenen Texte generieren, dürften regelmäßig als KI mit minimalem Risiko eingestuft werden. Im Hinblick auf die KI-Kompetenzpflicht ist zu beachten, dass Anbieter und Betreiber von KI-Systemen unabhängig von ihrer Risikoklasse stets eine ausreichende KI-Kompetenz in ihrer Organisation sicherstellen müssen. Damit begründet bereits der Einsatz einfacher KI-Übersetzungstools die KI-Kompetenzpflicht.

Schritt 3: Konkrete Umsetzung

Nach der Ermittlung der im Einzelfall konkret relevanten Pflichten folgt deren konkrete Umsetzung. Hierzu sind unter Berücksichtigung der Umstände des Einzelfalls geeignete Umsetzungsmaßnahmen zu analysieren, umzusetzen und zu dokumentieren. Im Hinblick auf die Sicherstellung der KI-Kompetenz sind das konkrete KI-System, dessen Einsatzzweck und die Nutzergruppe zu begutachten. Die Umsetzung von KI-Kompetenz erfordert regelmäßig ein Bündel unterschiedlicher Maßnahmen, um das notwendige technische, soziale, ethische und rechtliche Verständnis sicherzustellen. In der Vergangenheit haben sich hierfür insbesondere interne Richtlinien sowie regelmäßige und anlassbezogene Schulungen je nach Anwendergruppe bewährt. Die Frage, ob ein KI-Beauftragter zu bestellen ist, ist als Compliance-Maßnahme vom Unternehmen / der öffentlichen Stelle zu entscheiden.

Schritt 4: Weitere Vorgaben und Monitoring

Neben der Anwendbarkeit der KI-VO und ihrer Vorgaben sollte stets geprüft werden, ob durch den Einsatz des konkreten KI-Systems weitere Rechtsbereiche betroffen sind, die einer näheren Prüfung bzw. Abstimmung mit der zuständigen Fachabteilung bedürfen. Dies betrifft u. a. die Bereiche Datenschutz, Schutz von Geschäftsgeheimnissen, IP-Recht, Arbeitsrecht oder Steuerrecht. Aufgrund der dynamischen Rechtslage im Bereich des EU-Digitalrechts und der sich ständig weiterentwickelnden Technologie ist ein regelmäßiges Monitoring erforderlich. Dies gilt sowohl für die eingesetzten KI-Systeme und deren Updates als auch für etwaige rechtliche und/oder technische Neuerungen. Nur so kann Compliance dauerhaft sichergestellt werden.

Was droht bei Verstößen?

Im Falle eines Verstoßes gegen die KI-Kompetenz-Pflicht erfolgt die Durchsetzung über die allgemeinen Sanktionsmechanismen der EU-Mitgliedstaaten. Das heißt, auch wenn die KI-VO nicht ausdrücklich eine Geldbuße für Verstöße gegen Art. 4 KI-VO vorsieht, besteht die Möglichkeit, dass die Mitgliedstaaten entsprechende nationale Maßnahmen erlassen. Dies bleibt abzuwarten. Darüber hinaus ist zu berücksichtigen, dass die Nichteinhaltung auch durch andere Rechtsvorschriften sanktioniert werden kann. So kann ein Verstoß gegen Art. 4 KI-VO als Verletzung der Sorgfaltspflicht oder eines Schutzgesetzes ausgelegt werden, was im zivilrechtlichen Kontext zu einer Haftung führen kann.

Rechtsberatung

Sie benötigen rechtliche Unterstützung zum Thema KI-Verordnung? Dann kontaktieren Sie bitte info@reuschlaw.de. Das Team an Rechtsanwält:innen berät Sie gerne.

Praxiswissen

Sie interessieren sich für mehr Informationen oder Schulungen zum Thema KI-Kompetenz? Dann schicken Sie einfach eine E-Mail an ki-kompetenz@menschundmedien.de – wir informieren Sie gerne.

Im Frühjahr 2025 geht unser Praxisratgeber „Künstliche Intelligenz“ online.
Mit allen relevanten Informationen und einer sofort einsetzbaren Mitarbeiterschulung ermöglicht er Ihnen, die Chancen neuer KI-Technologien zu nutzen und dabei die Risiken rechtssicher zu bewältigen.

Zurück

Abonnieren Sie unseren kostenlosen Datenschutz-Fachinformationsdienst und bleiben Sie stets aktuell informiert:

  • Datenschutz-Fokusthemen
  • Veröffentlichungen der Behörden
  • Relevante Gerichtsentscheidungen

Eine aktuelle Ausgabe ansehen

Als Dankeschön für Ihre Anmeldung erhalten Sie eine Gratis-Mustervorlage für die Umsetzung eines Löschkonzepts.

Datenschutz & Datensicherheit Das Fachinformationsportal

  • Aktuelles Fachwissen
  • Rechtssichere Entscheidungen
  • Praktische Arbeitshilfen
  • Schritt-für-Schritt-Anleitungen
  • Sofort einsetzbare Schulungen

Jetzt 4 Wochen testen