Countdown zur KI-Compliance

Die Verabschiedung der europäischen KI-Verordnung 2024/1689 (AI Act) setzt einen neuen Standard in der Regulierung künstlicher Intelligenz. Doch welche Fristen müssen Unternehmen beachten, um ihre Systeme und Abläufe rechtzeitig anzupassen? Nach ihrer Veröffentlichung im Amtsblatt der EU trat die KI-VO Anfang August 2024 in Kraft. Darauf folgte eine gestaffelte Übergangsphase, die grundsätzlich bis August 2026 läuft. Viele Bestimmungen werden deshalb erst nach Ablauf dieser zwei Jahre verbindlich. Einige Regelungen treten jedoch bereits früher in Geltung: Ab Februar 2025 sind Art 4 KI-VO (KI-Kompetenz) und Art 5 KI-VO (Verbotene KI-Praktiken) einzuhalten. Sanktionen bei Verstößen werden allerdings erst ab August 2025 verhängt.

Bevor ein Unternehmen mit der Einführung von Compliance-Maßnahmen beginnt, sollten zumindest die folgenden Fragen beantwortet werden:

• Ist der KI-Einsatz notwendig bzw stellt KI einen Mehrwert dar? Besonders häufig setzen Unternehmen auf KI, weil sie befürchten, den Anschluss zu verlieren, wenn sie es nicht tun – oft nur, weil auch ihre Wettbewerber diese Technologie nutzen. Doch es sollte berücksichtigt werden, dass viele der derzeit verfügbaren KI-Systeme noch nicht ausreichend ausgereift sind, um sie im Alltag effektiv einzusetzen. In vielen Fällen kann es sinnvoller sein, abzuwarten, bis diese Technologien tatsächlich marktreif sind. Oftmals erfordert der Einsatz von KI-Systemen gerade deshalb eine sorgfältige und zeitaufwendige Überprüfung durch Menschen, um Vermutungen, erfundene Inhalte (Halluzinationen) und andere Fehler zu identifizieren und zu korrigieren.
  
  Nach der Evaluierung bestehender Prozesse und Techniken ergeben sich im Anschluss weitere Fragen: Ist diese KI die bestmögliche Lösung für die angestrebte Aufgabe? Gibt es (risikoärmere) Alternativen? Lohnt sich die KI überhaupt wirtschaftlich (Kosten-Nutzen-Abwägung)? Welche Auswirkungen hat die KI auf das Unternehmen insgesamt, den Betrieb, die einzelne Abteilung und die Mitarbeiter (zB Effizienz, Arbeitsprozesse, Betriebsklima, etc)?
   
• Risikoeinstufung: Es sollte sorgfältig geprüft werden, welche potenziellen Risiken je nach Anwendungsbereich (Einsatzgebiet – in welcher Abteilung und zu welchem Zweck?) und Funktionalität der KI auftreten können. Insbesondere ist zu bewerten, ob und in welchem Umfang die Grundrechte und Grundfreiheiten der betroffenen Personen – wie Mitarbeitende, Kunden oder Lieferanten – beeinträchtigt werden könnten. Als Querschnittsmaterie durchdringt KI sämtliche Rechtsgebiete (Datenschutz und -sicherheit, Wahrung von Betriebs- und Geschäftsgeheimnissen, ethische Fragestellungen sowie Arbeits-, Urheber-, Gleichbehandlungs-, Verbraucherschutz- und Wettbewerbsrecht). Abhängig von der Einschätzung sollte eine Zuordnung zu den in der KI-VO definierten Risikokategorien erfolgen.
  
  Ebenso ist stets zu klären, von wo aus die KI betrieben wird, etwa on-premise oder in der Cloud. Insbesondere bei cloudbasierten Lösungen können problematische Datentransfers in Drittstaaten auftreten. Vielfach wird der Ansatz gewählt, KI über APIs (Programmierschnittstellen) in bestehende Unternehmensstrukturen zu integrieren. Dies bietet den Vorteil einer schnellen Implementierung, Kosteneffizienz und Flexibilität, da Unternehmen keine eigene Infrastruktur aufbauen müssen. Gleichzeitig birgt sie jedoch Risiken, wie die Abhängigkeit von Drittanbietern, potenzielle Datenschutzprobleme und eingeschränkte Kontrolle über die eingesetzten KI-Funktionen. All das bedarf zumindest einer vertraglichen Absicherung.
   
• Vor der Einführung sollten relevante „Stakeholder“ einbezogen werden: oberstes Management, Betriebsrat, Datenschutzbeauftragter, IT, Legal, Gleichstellungsbeauftragter, eventuell externe Experten. Gerade die Einbindung dieser Personen hilft nicht nur, die Akzeptanz der KI-Technologie im Unternehmen zu erhöhen, sondern stellt auch sicher, dass alle rechtlichen, ethischen und praktischen Aspekte berücksichtigt werden.

Als eine Kernbestimmung gilt Art 4 KI-VO, der bereits nächstes Monat Geltung erlangt. Er verpflichtet alle KI-Anbieter und -Betreiber, Maßnahmen zu ergreifen, um nach besten Kräften sicherzustellen, dass Personal und andere Personen, die in ihrem Auftrag mit dem Betrieb und der Nutzung von allen KI-Systemen befasst sind, über ein ausreichendes Maß an „KI-Kompetenz“ verfügen müssen. KI-Kompetenz umfasst dabei alle Fähigkeiten, die Kenntnisse und das Verständnis, die es Anbietern, Betreibern und Betroffenen unter Berücksichtigung ihrer jeweiligen Rechte und Pflichten im Rahmen der KI-VO ermöglichen, KI-Systeme sachkundig einzusetzen sowie sich der Chancen und Risiken von KI und möglicher Schäden, die sie verursachen kann, bewusst zu werden.

Art 4 gilt für alle Anbieter und Betreiber, unabhängig von der Art oder Risikoklasse des eingesetzten KI-Systems. Das betrifft daher auch GPAI-Systeme, generative KI-Systeme und Large Language Models („LLMs“, wie zB ChatGPT). Für hochriskante KI-Systeme gelten – ab August 2026 – zusätzlich die Vorgaben zur menschlichen Aufsicht (vgl Art 14 KI-VO), die vorschreiben, dass diese Systeme während ihrer Nutzung von natürlichen Personen wirksam überwacht werden müssen. 

Konkret empfiehlt sich als Mindeststandard:

1. Ist-Stand Erhebung aller KI-Systeme: wo kommt KI zu Einsatz bzw. soll KI in Zukunft zum Einsatz kommen? Sind die technischen Voraussetzungen für einen differenzierten Einsatz bereits gegeben (zB Datenklassifizierungen, technische Schranken). 
2. Schulungsprogramme: eine dokumentierte Basisweiterbildung für alle mit KI arbeitenden Mitarbeiter
3. Rollenbasierte Weiterbildung: Führungskräfte, Datenschutzbeauftragte und Mitarbeiter, die direkt mit KI-Systemen arbeiten, sollten zusätzlich vertiefte und spezialisierte Kenntnisse erwerben. 
4. Einführung einer „KI-Policy“: Die Einführung einer verbindlichen internen KI-Richtlinie ist ein zentraler Schritt für Unternehmen, um den Einsatz von KI zu regulieren und Compliance zu gewährleisten. Eine derartige Policy kann durch die freiwillige Teilnahme an von der EU-Kommission etablierten Verhaltenskodizes ergänzt werden, um das Engagement für verantwortungsvollen KI-Einsatz zu unterstreichen.
   
   Inhaltliche Mindestanforderungen einer KI-Policy:
   + Einhaltung des IT-Freigabeprozesses/ keine Verwendung privater Accounts 
   + Klärung von Verantwortlichkeiten: zB wie werden Fehler berichtigt?
   + Verbotene Praktiken und unerwünschte Einsatzgebiete: Notwendig ist eine klare Auflistung von KI-Praktiken, die gemäß Art 5 KI-VO untersagt sind, sowie weiterer unerwünschter Einsatzszenarien.
   + Beschreibung der KI-Systeme
   + Einbeziehung des Datenschutzbeauftragten
   + Insb. bei generativer KI: 
   
   ++ Input-Regeln: Die Policy sollte festlegen, welche Daten in freigegebene KI-Systeme eingegeben werden dürfen, abgestuft nach Sensibilitätsgrad. Eine Dokumentation ist erforderlich, insbesondere, wenn (personenbezogene) Daten als Test- oder Trainingsdaten für das KI-System verwendet werden. Die Rechtmäßigkeit der Datenquelle und die Wahrung von Urheber- und Verwertungsrechten Dritter müssen sichergestellt sein.
   ++ Output-Regeln: Da KI-Systeme fehlerhafte oder ungenaue Ergebnisse liefern oder sogar Schäden verursachen können, muss der Output stets geprüft und gegebenenfalls korrigiert werden. Die Policy sollte Bestimmungen zu menschlicher Kontrolle und Aufsicht (zB „Human-in-the-Loop“, Stop- oder Panic-Button) enthalten, um unerwünschte Ergebnisse notfalls direkt zu stoppen. Meldepflichten und (interne) Kommunikationsstrategien sollten klar definiert werden, um einen strukturierten Umgang mit (potenziellen) Verstößen sicherzustellen.
    
5. Bestellung eines „KI-Beauftragten“: Zwar verpflichtet die KI-VO Unternehmen nicht ausdrücklich zur Ernennung eines solchen Beauftragten, jedoch ist es sinnvoll, eine zentrale Ansprechperson für alle KI-bezogenen Themen zu benennen.

Die Umstellung des Betriebs auf KI stellt ohne Zweifel einen anspruchsvollen Schritt dar, der nicht über Nacht umgesetzt werden kann. Vielmehr erfordert dieser Prozess eine umfassende technische und rechtliche Beratung und Begleitung. Dabei muss jedoch betont werden, dass es in vielen Bereichen nicht notwendig sein wird, völlig neue Ansätze zu entwickeln. Besonders in Bezug auf die erforderliche Konformität von KI-Anwendungen mit der DSGVO – die durch die KI-VO nicht berührt wird – können Unternehmen auf bewährte datenschutzrechtliche Instrumente und Erfahrungen zurückgreifen und diese auf KI-Systeme übertragen. Die Identifikation von potenziellen Risiken, die Grundrechte, insbesondere das Recht auf Schutz personenbezogener Daten, beeinträchtigen könnten, gehört mittlerweile in vielen Unternehmen zum Standard (Stichwort: Datenschutzfolgeabschätzung und Riskmanagement).

Letztlich erfordert die erfolgreiche Umsetzung der KI-Compliance langfristiges Engagement, regelmäßige Überprüfungen und Anpassungen an einen sehr dynamischen Rechtsrahmen. Unternehmen, die frühzeitig handeln und eine fundierte Basis schaffen, werden jedoch nicht nur rechtliche Sicherheit gewinnen, sondern auch ihre Innovationskraft nachhaltig stärken können. Besonders wichtig ist, dass Unternehmen spätestens jetzt eine klare Strategie entwickeln. Die Einhaltung von Fristen, die Einführung von Schulungsprogrammen und die Implementierung einer unternehmensweiten KI-Policy bilden hierfür die zentralen Pfeiler.

Zudem sind bestehende Prozesse zu evaluieren und eine realistische Einschätzung der Einsatznotwendigkeit sowie der potenziellen Risiken von KI vorzunehmen. Auch die kontinuierliche Beobachtung der regulatorischen Entwicklungen ist unerlässlich. Die europäische KI-VO wird vermutlich nur der Anfang sein – weitere spezifische Regelungen und Leitlinien sind im Werden und in der Gesamtheit der europäischen Daten- und Digitalisierungsstrategie zu sehen. Unternehmen, die frühzeitig Mechanismen zur Anpassung an neue Vorschriften etablieren, sichern sich einen klaren Wettbewerbsvorteil.