Am 2. Februar 2025 treten die ersten Pflichten und Verbote des »AI Acts« der EU in Kraft. Achtung: Auch wenn Firmen aktiv noch kein KI-Projekt gestartet haben, kann KI ungewollt durch die Hintertüre in die eigene ­Organisation gelangen.

Die KI-Verordnung (KI-VO) regelt erstmals den Einsatz von künstlicher Intelligenz in Österreich und in Europa. Bestimmte Pflichten für Unternehmen gelten bereits ab dem 2. Februar. Diese Pflichten treffen Anbieter und Betreiber von KI-Systemen: Anbieter von KI-Systemen oder von KI-Modellen entwickeln entsprechende Systeme oder lassen diese entwickeln. Betreiber verwenden ein KI-System beruflich auf eigene Rechnung und auf eigenes Risiko. Die private Verwendung von KI-Systemen unterliegt nicht der KI-VO (»Haushaltsausnahme«).

Betreiber von KI-Systemen können aber auch Organisationen sein, die noch kein eigenes KI-Projekt in Angriff genommen haben. Denn in vielen Fällen gelangt die KI durch die Hintertüre, zum Beispiel durch ein Softwareupdate einer bereits eingesetzten Software, in die Organisation. Die ab Februar umzusetzenden Pflichten betreffen zum einen die Durchführung von Maßnahmen zur Förderung der KI-Kompetenz, zum anderen das Verbot bestimmter Praktiken im KI-Bereich.

KI-Kompetenz
Die Pflicht, Maßnahmen zur Förderung der KI-Kompetenz der Mitarbeiterinnen und Mitarbeiter durchzuführen, trifft sowohl Anbieter als auch Betreiber von KI-Systemen. Achtung: Auch Betreiber, die KI-Systeme mit bloß minimalem Risiko einsetzen – und die keinen anderen Pflichten der KI-VO unterliegen –, sind davon betroffen. Wenn Organisationen KI-Systeme nutzen, haben sie sicherzustellen, dass ihr Personal und andere von ihnen beauftragte Personen über ein ausreichendes Maß an Kompetenz im Bereich KI verfügen. Zu berücksichtigen sind die technischen Kenntnisse der Mitarbeiter*innen, deren Erfahrung sowie Ausbildung und Schulung. Weiters sind der Kontext, in dem die KI-Systeme eingesetzt werden sollen, und die Personen oder Personengruppen, bei denen die KI-Systeme eingesetzt werden sollen, zu berücksichtigen.

Mitarbeiter*innen, die noch keine ausreichenden technischen Kenntnisse und Erfahrungen haben, müssen daher ausgebildet oder geschult werden, wie die eingesetzten KI-Systeme zu verwenden sind. Um die Durchführung der Fortbildungen nachweisen zu können, sind diese zu dokumentieren, zum Beispiel durch Kursbestätigungen. Nicht zwingend vorgesehen, jedoch sehr zu empfehlen, ist in diesem Zusammenhang auch die Erstellung einer »AI Policy«. Sie kann mehrere Themen umfassen (siehe Empfehlung der Experten unten).

Eine geeignete Ausbildung der Mitarbeiter*innen kann auch nach datenschutzrechtlichen Vorschriften als technische und organisatorische Maßnahme zur Gewährleistung der Sicherheit der Verarbeitung erforderlich sein. Zudem kann eine Verletzung der Pflicht zur Durchführung von Maßnahmen zur Förderung der KI-Kompetenz als eine Verletzung eines Schutzgesetzes oder einer (vertraglichen) Sorgfaltspflicht angesehen werden und daher zu Schadenersatzforderungen führen.

Verbotene Praktiken
Ab Februar sind auch bestimmte Praktiken im KI-Bereich verboten. Dazu gehören KI-Systeme, die Menschen unterschwellig beeinflussen oder absichtlich manipulieren oder täuschen – mit dem Ziel oder der Wirkung, deren Verhalten wesentlich zu verändern und dabei ihren freien Willen zu umgehen – und diesen Menschen dadurch einen erheblichen Schaden zufügen. Verboten sind auch Systeme, die die Vulnerabilität oder Schutzbedürftigkeit von Menschen aufgrund ihres Alters, einer Behinderung oder ihrer sozialen oder wirtschaftlichen Situation ausnutzen und diesen Menschen dadurch einen erheblichen Schaden zufügen. Ebenfalls nicht erlaubt sind Systeme, die Menschen auf Grundlage ihres sozialen Verhaltens oder ihrer persönlicher Eigenschaften oder Merkmale bewerten oder klassifizieren und dadurch schlechterstellen oder benachteiligen (»Social Scoring«).

Verboten sind weiters KI-Systeme, die Gesichtsbilder aus dem Internet oder aus Überwachungsaufnahmen auslesen, um Gesichtserkennungsdatenbanken zu erstellen. Ebenso ist es nicht erlaubt, Emotionserkennung von Menschen am Arbeitsplatz oder in Bildungseinrichtungen durchzuführen. Eine Ausnahme gilt für den medizinischen Bereich oder aus Sicherheitsgründen – etwa eine Müdigkeitserkennung von Piloten oder Berufskraftfahrern. Und ebenfalls nicht gestattet ist die biometrische Kategorisierung von Menschen, um daraus sensible Daten wie zum Beispiel ihre politischen Einstellungen abzuleiten. Auch hier gelten wieder Ausnahmen, etwa im Bereich der Strafverfolgung.

Verbotene Anwendungen, die typischerweise dem öffentlichen Sektor vorbehalten sind, betreffen zum Beispiel Risikobewertungen auf Grundlage von Profiling oder persönlicher Merkmale oder Eigenschaften, um zu beurteilen, ob ein Mensch künftig eine Straftat begehen wird (mit Ausnahme, wenn das KI-System nur Menschen unterstützt). Verboten sind zudem Systeme, die eine biometrische Echtzeit-Fernerkennung in öffentlich zugänglichen Räumen zu Strafverfolgungszwecken durchführen. Ausnahmen hier betreffen die gezielte Suche nach vermissten Kindern oder die Identifizierung von Tätern bestimmter Straftaten.

Insbesondere im Bereich des Marketings – beispielsweise die unterschwellige Beeinflussung oder Ausnutzung einer Vulnerabilität eines Website-Besuchers oder eines Chatbot-Benutzers –, aber auch im Rahmen von Bewerbungen oder bei KI-Systemen, die im Rahmen von Beschäftigungsverhältnissen oder der Tätigkeit von Bildungseinrichtungen verwendet werden, könnten verbotene Praktiken vorliegen. Diese wären zum Beispiel eine Emotionserkennung durch KI-Analyse bei Bewerbungsgesprächen, Bewerbungsschreiben oder bei Call-Center-Telefonaten.

Sanktionen
Bei Missachtung des Verbots der genannten KI-Praktiken drohen Geldbußen bis zu 35 Millionen Euro oder von bis zu sieben Prozent des gesamten weltweiten Jahresumsatzes. Es gibt derzeit jedoch noch keine diesbezüglichen nationalen Vorschriften zur Umsetzung einer Sanktionierung. Insbesondere wurde noch keine nationale Marktüberwachungsbehörde festgelegt. Eine Missachtung des Verbots könnte jedoch datenschutzrechtliche oder schadenersatzrechtliche Folgen haben.

Empfehlung der Experten

Die Integration von KI in geschäftliche Abläufe birgt Chancen, erfordert aber eine Auseinandersetzung mit rechtlichen Fragen. Erstellen Sie eine Nutzungsrichtlinie – eine AI Policy –, die folgende Punkte umfassen kann:

1. Auflistung der Verwendungszwecke der erlaubten KI-Systeme

2. Verbot aller nicht erlaubten KI-Systeme

3. Hinweis auf Risiken und Limi­tationen der KI (dies umfasst auch datenschutzrechtliche und urheberrechtliche Aspekte sowie den Schutz von Betriebs- und Geschäftsgeheimnissen)

4. Auflistung der KI-Grundsätze, die die verwendeten KI-Systeme einzuhalten haben

5. Hinweis auf die einzuhaltenden Nutzungsbedingungen und Betriebsanleitungen der Anbieter der KI-Systeme

6. Festlegung von ergänzenden KI-Nutzungsregeln (z. B. erlaubter Input und Output, menschliche Endentscheidung sowie Information und Transparenz bei der Verwendung von KI-Systemen) samt Hinweis auf Konsequenzen bei Nichtbeachtung der Nutzungsregeln

7. Auflistung von KI-Beauftragten, die Ansprechpersonen bei Fragen, Unsicherheiten oder Problemen sind

Über die Autoren

Dr. Rainer Knyrim und Mag. Stephan Varga, BSc, von Knyrim Trieb Rechtsanwälte beraten zu Datenschutzrecht, Arbeitsverfassungsrecht, Digitalisierungsrecht, Urheberrecht und IT-Recht.