AI Act: Neue EU-Verordnung macht KI-Kompetenz zur Pflicht
Wer mit KI arbeitet, muss ab dem 2. Februar 2025 über entsprechende KI-Kompetenzen verfügen und die Risiken kennen. Auf diesen einfachen Nenner lässt sich der AI Act der EU bringen.
Von der Planung über das offizielle Inkrafttreten bis zur jeweils nationalen Um- und Durchsetzung von Gesetzen und Verordnungen der EU vergehen so wie bei der DSGVO oft Jahre. Und so ist es auch mit dem AI Act, der seit August 2024 in Kraft ist, aber erst ab dem 2. Februar 2025 Unternehmen und Behörden dazu verpflichten soll, dass Personal, welches mit KI arbeitet, auch über entsprechendes Wissen verfügt. Die Umsetzung in den einzelnen Mitgliedsstaaten steht aber noch aus.
Daher müssen betroffene Unternehmen in Deutschland nicht gleich in Panik oder wilden Aktionismus verfallen. Denn noch gibt es kein nationales Durchführungsgesetz und auch keine nationale Kontaktstelle, zitiert der MDR-Ratgeber die Bundesnetzagentur zu dem Thema.
Besser frühzeitig Infos und Rat einholen
Es ist aber sinnvoll und in bestimmten Fällen sogar geboten, dass sich Unternehmen frühzeitig Rat und Informationen einholen. Dazu können sie sich an lokale oder überregionale IT-Dienstleister, Verbände wie Bitkom oder die Zentren im Netzwerk Mittelstand-Digital, die teilweise kostenlos Fragen zur neuen KI-Verordnung beantworten, wenden.
Konkret heißt es in der EU-Verordnung 2024/1689: „Die Anbieter und Betreiber von KI-Systemen ergreifen Maßnahmen, um nach besten Kräften sicherzustellen, dass ihr Personal und andere Personen, die in ihrem Auftrag mit dem Betrieb und der Nutzung von KI-Systemen befasst sind, über ein ausreichendes Maß an KI-Kompetenz verfügen, wobei ihre technischen Kenntnisse, ihre Erfahrung, ihre Ausbildung und Schulung und der Kontext, in dem die KI-Systeme eingesetzt werden sollen, sowie die Personen oder Personengruppen, bei denen die KI-Systeme eingesetzt werden sollen, zu berücksichtigen sind.“
Ein Selbststudium reicht meist nicht aus
Wie die Bundesnetzagentur schreibt, erscheint „ein einfaches Selbststudium der betroffenen Personen“ zum jetzigen Zeitpunkt nicht geeignet, um sich ausreichende KI-Kompetenzen anzueignen und damit die Vorgaben des AI Acts zu erfüllen. Experte Jonas Wöll von der Deutschen Industrie- und Handelskammer (DIHK) meint dazu: „In der Definition zu KI-Kompetenz ist vom sachkundigen Einsatz von KI-Systemen und einem Bewusstsein für Chancen, Risiken und möglichen Schäden die Rede – hieran sollten sich auch die Angebote orientieren.“
Derzeit arbeite die EU aber noch an den Leitlinien zur Umsetzung des AI Acts, die dann konkrete Hinweise enthalten sollten, woran Unternehmen sich orientieren können. Wie er es sieht, gilt eine Pflicht zur Schulung von KI-Kompetenz nicht nur für Anbieter von sogenannter Hochrisiko-KI, sondern für alle Anbieter oder Betreiber von KI-System oder -Modellen, selbst wenn die nur dem allgemeinen Verwendungszweck dienen. „Eine Ausnahme wäre nur, wenn die KI von Mitarbeitern rein persönlich, außerhalb der beruflichen Tätigkeit, verwendet wird“, so der DHIK-Experte.
Laut der Bundesnetzagentur sind keine Fristen zur Umsetzung von Schulungen bekannt, allerdings müsse sichergestellt sein, dass mit KI arbeitende Personen über ausreichende KI-Kompetenz verfügen. Anfangs würde das Thema laut Wöll eher unter die Sorgfaltspflicht fallen, um durch KI möglicherweise entstehende Schäden zu vermeiden.
Welche Risiken unannehmbar sind
Andernfalls könnte das jeweilige Unternehmen dafür verantwortlich gemacht werden. Eine Umsetzung durch nationale Aufsichtsbehörden wie der Bundesnetzagentur in Deutschland ist dem DHIK-Experten Wöll zufolge erst ab dem 2. August 2025 zu erwarten.
Die IHK München weist indes darauf hin, dass bei der EU-Verordnung der Risikoansatz gilt: je höher das Risiko, desto strenger die Anforderungen. Gegen Grundrechte verstoßende „unannehmbare“ Risiken sind ihr zufolge im Einklang mit dem AI Act tabu und entsprechende KI-Anwendungen direkt ab dem 2. Februar 2025 nicht mehr zulässig.
Unannehmbare Risiken im Sinne des AI Acts umfassen:
- Ausnutzung der Schwäche von besonders schutzbedürftigen Personen, wie etwa Kinder, Ältere, Menschen mit Behinderungen und chronisch Kranke
- Social Scoring genannte Bewertung von sozialen Verhalten, wenn Vermieter oder Arbeitgeber Personen aufgrund von Informationen aus den sozialen Medien ablehnen
- Biometrische Echtzeit-Fernidentifizierung wie Gesichtserkennung, mit der Ausnahme schwerer Straftaten wie geplanten Terroranschlägen
- Biometrische Kategorisierung, um daraus zum Beispiel Rückschlüsse auf ethnische Herkunft, Religionszugehörigkeit oder sexuelle Orientierung schließen zu können
- Emotionserkennung am Arbeitsplatz oder im Bildungswesen
- Kognitive Verhaltensmanipulation von gefährdeten Gruppen, etwa in Form von sprachgesteuertem Spielzeug, das Kinder zu gefährlichem Verhalten anleiten könnte.
Ausnahmen von der EU-Verordnung betreffen KI-Anwendungen für Forschung und Entwicklung, für die nationale Sicherheit und für den reinen privaten, nicht-kommerziellen Gebrauch. Der Rechtsrahmen des AI Acts erstreckt sich im anderen Fall auch auf Akteure innerhalb und außerhalb der EU, was Firmen in Überseegebieten einschließt.
Eine Schulungspflicht gib es also vorerst nicht, aber die IHK München empfiehlt betroffenen Unternehmen, kurz- bis mittelfristig Schulungs- und Trainingsprogramme aufzusetzen, welche die notwendigen technischen und – wichtig – ethischen Grundlagen für den Umgang mit KI vermitteln und in der Praxis sicherstellen. Dazu gehören auch regelmäßige Auffrischungskurse mit Best Practices für Beschäftigte, die Umgang mit KI-Systemen haben.
Quelle Titelbild: iStock / Ridvan Celik