KI-Gesetz tritt in Kraft: Was müssen Unternehmen und Mitarbeiter beachten?

Transparenzpflichten

Sowohl für die Anbieter als auch die Betreiber von KI-Systemen fallen Transparenzpflichten an. Beispielsweise...

• müssen Anbieter dafür sorgen, dass bei der Nutzung ihrer KI deutlich zu erkennen ist, dass es sich um ein KI-System handelt.
• sollten KI-Systeme des Anbieters dafür genutzt werden, synthetische Audio-, Bild-, Video,- oder Textinhalte zu erzeugen, muss erkennbar sein, dass sie von einer KI kreiert oder manipuliert wurden.
• nutzt ein Betreiber eine KI um einen Deepfake zu erstellen, muss dies in einigen Fällen offengelegt werden.
• muss der Betreiber eines KI-Systems, das der Emotionserkennung- und biometrischen Kategorisierung dient, über deren Einsatz informieren.

KI-Kategorien

Verbotene Praktiken im KI-Bereich

Das KI-Gesetz definiert und beschreibt in Art. 5 verbotene Praktiken im Zusammenhang mit KIs und KI-Systemen. Hierunter fallen  zum Beispiel Systeme, die gezielt dafür eingesetzt werden, um unterschwellig das Verhalten der Menschen zu manipulieren und zu steuern. Sollte das Verbot ignoriert werden, drohen Geldbußen bis zu 35 Millionen EUR oder im Fall von Unternehmen bis zu 7 % des gesamten weltweiten Jahresumsatzes.

Hochrisiko-KI-Systeme

Das KI-Gesetz besagt, dass es sich um ein Hochrisiko-KI-System handelt, falls die KI ein Produkt oder eine Sicherheitskomponente eines Produktes ist, das unter Produktsicherheitsvorschriften der EU fällt. So handelt es sich beispielsweise um ein Hochrisiko-KI-System, wenn die KI im Zusammenhang mit der Produktion von Aufzügen oder Sicherheitsbauteilen von Aufzügen zum Einsatz kommt. Ebenfalls wird ein KI-System in die Kategorie der Hochrisiko-KI-Systeme eingeordnet, wenn es in einem bestimmten  Bereich eingesetzt wird. Zu diesen Bereichen zählen unter anderem die kritische Infrastruktur und die allgemeine und berufliche Bildung. Für die Anbieter als auch die Anwender solcher KI-Systeme existieren besondere Pflichten, zum Beispiel ein Risiko- als auch ein Qualitätsmanagementsystem zu betreiben. Während die Anwender beispielsweise dafür sorgen müssen, dass das KI-System eine menschliche Überwachung erhält. Diese muss hierbei durch qualifizierte, trainierte und befugte Mitarbeiter erfolgen.

KI-Modelle mit allgemeinem Verwendungszweck

Bei KI-Modellen mit allgemeinem Verwendungszweck handelt es sich kurz gesagt um eine KI, die mehrere Anwendungszwecke erfüllt und in nachgelagerte Systeme oder Anwendungen integriert werden kann. Ein bekanntes Beispiel für eine derartige KI  ist ChatGPT. Die Anbieter solcher KI-Modelle müssen verschiedenen Pflichten nachkommen. So bestehen  zum Beispiel Pflichten, technische Dokumentationen zu erstellen und die Urheberrechtsvorschriften einzuhalten. Für KI-Modelle mit systemischem Risiko bestehen zusätzliche weitere Pflichten und Vorgaben.

Wie müssen Unternehmen damit umgehen?

Das KI-Gesetz bringt viele neue Pflichten und Vorgaben für Unternehmen, die KI-Systeme anbieten aber auch nutzen. Daher empfehlen wir den Unternehmen, sich über ihre Verpflichtungen zu informieren. In diesem Zuge sollte geprüft werden, ob man eine KI anbietet oder nutzt. Auch sollte überprüft werden, um welche Art von  KI-System es sich handelt.  Wenn es sich um ein Hochrisiko-KI-System handelt, fallen selbst für den Nutzer umfangreiche Pflichten an. Wichtig an dieser Stelle ist es auch zu erwähnen, dass zwar beispielsweise für die Nutzung  einer KI mit allgemeinem Verwendungszweck im KI-Gesetzes keine direkten Pflichten erwähnt werden, jedoch ein Unternehmen dennoch in dieser Situation eine gewisse Sorgfaltspflicht? hat. Denn das KI-Gesetz bestimmt, dass Mitarbeiter aber auch andere Personen die KI-Systeme für die Arbeit nutzen, geschult werden müssen. Dabei ist  nicht von Bedeutung, ob das Unternehmen KI-Systeme anbietet oder betreibt. Ebenfalls ist es unwichtig, welche Art von KI-System genutzt wird. Daher empfehlen wir dringend, die Mitarbeiter rechtzeitig zu schulen. Eine derartige Schulung bieten wir auf unserer Plattform ETES Education an.

Unternehmen, die KI einsetzen oder dies planen, sollten in diesem Sinne:

1. prüfen, ob und inwiefern das Unternehmen von dem KI-Gesetz betroffen ist und, ob der Einsatz von KI in (näherer) Zukunft angestrebt wird.
2. prüfen, ob bereits eingesetzte KI, unter Hochrisiko KI oder unter eine andere der definierten Kategorien fallen.
3. bei geplantem Einsatz den Datenschutzbeauftragten informieren und bei der Umsetzung mit einbeziehen.
4. notwendige Auftragsverarbeitungsvereinbarungen (gem. Art. 28 DS-GVO) mit KI-Anbietern abschließen, sofern das KI-System von einem externen Anbieter betrieben wird und die Datenspeicherung nicht lokal erfolgt.
5. mit dem Datenschutzbeauftragten besprechen, wie erforderliche Schulungen zu KI umgesetzt werden können.
6. prüfen, ob betroffene Personen ausreichend vor dem unbefugten Veröffentlichen ihrer persönlichen Daten geschützt sind und eine Datenschutz-Folgenabschätzung (DSFA) notwendig ist.
7. notwendige organisatorische und technische Maßnahmen ergreifen, um Verstöße gegen das KI-Gesetz, die DS-GVO und das Kunsturhebergesetz zu verhindern.
8. sicherstellen, dass Informationspflichten nach Art. 13 und Art. 14 DS-GVO eingehalten und Betroffenenrechte umgesetzt werden können.
9. Mitarbeiter vor und während dem Einsatz von KI-Systemen schulen.

Für all diese Fragen zum Thema Künstliche Intelligenz und deren Einsatz  stehen wir Ihnen selbstverständlich gerne zur Verfügung. Kommen Sie gerne auf uns zu!