Pflichten aus der KI-Verordnung ab Februar 2025
Die KI-Verordnung gilt ab dem 02.08.2026. Einige Pflichten bzw. Regelungen gelten jedoch bereits ab dem 02.02.2025. Welche Pflichten aus der KI-Verordnung ab Februar 2025 gelten, erfährst du hier. Grundsätzlich musst du dabei zwei Punkte ab Februar beachten. Mit hoher Wahrscheinlichkeit trifft dich bzw. dein Unternehmen zumindest ein Punkt:
- Ab Februar gelten bestimmte Verbote im KI-Bereich.
- Als Anbieter oder Betreiber von KI musst du im Unternehmen entsprechende KI-Kompetenz bereitstellen.
Verbotene Praktiken
Die KI-Verordnung kennt eine Reihe von verbotenen Praktiken. Diese Praktiken sind in Art. 5 der KI-Verordnung aufgezählt und umfassen u. a.:
- das Inverkehrbringen, die Inbetriebnahme oder die Verwendung eines KI-Systems, das Techniken der unterschwelligen Beeinflussung außerhalb des Bewusstseins einer Person oder absichtlich manipulative oder täuschende Techniken mit dem Ziel oder der Wirkung einsetzt, das Verhalten einer Person oder einer Gruppe von Personen wesentlich zu verändern, indem ihre Fähigkeit, eine fundierte Entscheidung zu treffen, deutlich beeinträchtigt wird, wodurch sie veranlasst wird, eine Entscheidung zu treffen, die sie andernfalls nicht getroffen hätte – und zwar in einer Weise, die dieser Person, einer anderen Person oder einer Gruppe von Personen erheblichen Schaden zufügt oder mit hinreichender Wahrscheinlichkeit zufügen wird.
- das Inverkehrbringen, die Inbetriebnahme oder die Verwendung eines KI-Systems, das eine Vulnerabilität oder Schutzbedürftigkeit einer natürlichen Person oder einer bestimmten Gruppe von Personen aufgrund ihres Alters, einer Behinderung oder einer bestimmten sozialen oder wirtschaftlichen Situation mit dem Ziel oder der Wirkung ausnutzt, das Verhalten dieser Person oder einer Person aus dieser Gruppe in einer Weise wesentlich zu verändern, die dieser Person oder einer anderen Person erheblichen Schaden zufügt oder mit hinreichender Wahrscheinlichkeit zufügen wird;
- …
- das Inverkehrbringen, die Inbetriebnahme für diesen spezifischen Zweck oder die Verwendung von KI-Systemen, die Datenbanken zur Gesichtserkennung durch das ungezielte Auslesen von Gesichtsbildern aus dem Internet oder von Überwachungsaufnahmen erstellen oder erweitern.
Eine vollständige Aufzählung findest du in Art. 5 der KI-Verordnung.
KI-Kompetenz
Weitaus relevanter dürfte die Pflicht zur Bereitstellung von KI-Kompetenz sein. Ab Februar 2025 musst du nämlich als Anbieter oder Betreiber von KI Maßnahmen ergreifen, die die KI-Kompetenz in deinem Unternehmen sicherstellen. Das Ganze ergibt sich aus Art. 4 der KI-Verordnung. Der Artikel ist dabei recht schwammig und macht dir keine konkreten Vorgaben:
„Die Anbieter und Betreiber von KI-Systemen ergreifen Maßnahmen, um nach besten Kräften sicherzustellen, dass ihr Personal und andere Personen, die in ihrem Auftrag mit dem Betrieb und der Nutzung von KI-Systemen befasst sind, über ein ausreichendes Maß an KI-Kompetenz verfügen, wobei ihre technischen Kenntnisse, ihre Erfahrung, ihre Ausbildung und Schulung und der Kontext, in dem die KI-Systeme eingesetzt werden sollen, sowie die Personen oder Personengruppen, bei denen die KI-Systeme eingesetzt werden sollen, zu berücksichtigen sind.“
Wer ist Anbieter oder Betreiber?
Du bist Anbieter eines KI-Systems, wenn du als natürliche oder juristische Person, Behörde, Einrichtung oder sonstige Stelle ein KI-System oder ein KI-Modell mit allgemeinem Verwendungszweck
- entweder entwickelst oder entwickeln lässt und es unter deinem eigenen Namen oder deiner Handelsmarke in Verkehr bringst,
- oder das KI-System unter deinem eigenen Namen oder deiner Handelsmarke in Betrieb nimmst.
Dabei spielt es keine Rolle, ob du dafür Geld verlangst oder nicht. Also auch dann, wenn du KI kostenfrei anbietest, musst du die Pflichten erfüllen.
Du bist demgegenüber Betreiber eines KI-Systems, wenn du das System als natürliche oder juristische Person, Behörde, Einrichtung oder sonstige Stelle in eigener Verantwortung verwendest, es sei denn, du verwendest das KI-System im Rahmen einer persönlichen und nicht beruflichen Tätigkeit. Der Begriff des Betreibers ist also sehr weit gefasst. Bereits wenn du in deinem Unternehmen Photoshop, ChatGPT oder auch nur MS365 mit Copilot einsetzt, bist du damit Betreiber im Sinne der KI-Verordnung.
Was muss ich machen?
Die KI-Verordnung macht keine genauen Vorgaben, wie du KI-Kompetenz umsetzen musst. Als Erstes solltest du jemanden haben, der sich mit KI auskennt. Diese Person oder Personen sollten technisches Know-how besitzen und verstehen, wie die eingesetzte KI funktioniert. Darüber hinaus sollten diese Personen auch als Ansprechpartner für ethische und rechtliche Fragestellungen fungieren. Damit musst du nicht gleich einen Informatiker oder Juristen einstellen, aber diese Personen sollten zumindest in der Lage sein, bestimmte Risiken einzuschätzen. Hier kannst du einen KI-Beauftragten bestellen. Das ist aber keine Pflicht. Im Netz findest du verschiedene Schulungen zum KI-Beauftragten. Schau dir das aber genau an – verpflichtend sind solche Schulungen nicht. Darüber hinaus sind diese Schulungen meist sehr teuer.
Hinweis:
Auch wenn du es eventuell im Netz oft anders liest: Die Bestellung eines KI-Beauftragten ist keine Pflicht aus der KI-Verordnung. Auch muss diese Person nicht „zertifiziert“ sein.
Unabhängig von einem Ansprechpartner solltest du deine Mitarbeiter schulen. Auch hier macht dir die KI-Verordnung keine genauen Vorgaben. Du kannst die Schulung zum Beispiel als eLearning durchführen. Hier haben wir sogar ein Angebot für die Schulung deiner Mitarbeiter.
Wie genau du die KI-Kompetenz in deinem Unternehmen umsetzt, um deine Pflichten aus der KI-Verordnung ab Februar 2025 zu erfüllen, erfährst du in unserem Artikel: KI-Kompetenz im Unternehmen umsetzen.
Was droht bei Verstößen gegen Pflichten aus der KI-Verordnung ab Februar 2025?
Einige Verstöße gegen die KI-Verordnung können mit Bußgeldern geahndet werden.
Wenn du gegen die in Artikel 5 genannten Verbote der KI-Praktiken verstößt, kann eine Geldbuße von bis zu 35.000.000 EUR oder – im Falle von Unternehmen – von bis zu 7 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt werden. Wie in der DSGVO gilt hier auch der höhere Betrag.
Verstöße gegen die Pflicht zur KI-Kompetenz ziehen zwar kein Bußgeld nach sich, können sich aber auf deine Haftung auswirken.
Hol dir jetzt unseren Newsletter!
Du willst beim Thema Datenschutz und Informationssicherheit auf dem Laufenden bleiben? Dann melde dich jetzt zu meinem Update Datenschutz an. Das Update kommt ca. 1 mal im Monat und informiert über neue Trends, Urteile, Entscheidungen und von mir veröffentlichte Ratgeber und Muster zum Datenschutz. Außerdem gibt es Updates zu meiner Arbeitsweise und meinen Produkten.