Die Pflicht zur KI-Kompetenz nach Art. 4 KI-VO
Seit dem 2. Februar gilt Art. 4 KI-VO, der Unternehmen verpflichtet, sicherzustellen, dass alle Personen, die mit dem Betrieb oder der Nutzung von KI-Systemen zu tun haben, mit ausreichender KI-Kompetenz ausgestattet sind. Dies betrifft nicht nur eigene Mitarbeitende, sondern auch externe Dienstleister, Auftragnehmer oder Kunden, sofern sie organisatorisch eingebunden sind.
Die Verordnung selbst legt jedoch nicht genau fest, wie diese Kompetenz in der Praxis vermittelt oder nachgewiesen werden soll. Bisher diente nur die allgemeine Definition aus Art. 3 Nr. 56 KI-VO als Orientierung, wonach KI-Kompetenz das Wissen, die Fähigkeiten und das Verständnis umfasst, KI-Systeme sachkundig zu nutzen und deren Risiken zu erkennen.
Mittlerweile hat die EU-Kommission in einem FAQ-Katalog präzisiert, was unter KI-Kompetenz zu verstehen ist. Ziel von Art. 4 ist demnach, Mitarbeitenden die nötigen Fähigkeiten, Kenntnisse und das Verständnis für die eingesetzten Systeme zu vermitteln – unter Berücksichtigung ihrer Vorerfahrung, Ausbildung und Schulung. Es gibt jedoch keine starren Vorgaben oder verpflichtenden Inhalte. Stattdessen betont die Kommission die Notwendigkeit von Flexibilität angesichts der Vielfalt und Dynamik im KI-Bereich.
Hilfestellung bietet eine veröffentlichte Liste mit Mindestanforderungen, etwa zur Funktionsweise von KI, ihrem Einsatz im Unternehmen, unterschiedlichen Rollen (Anbieter oder Betreiber) sowie einem risikobewussten Umgang mit KI-Systemen – auch bei scheinbar einfachen Anwendungen wie ChatGPT.
Für die Einhaltung von Art. 4 KI-VO ist kein offizielles Zertifikat erforderlich. Unternehmen können Schulungen oder andere Maßnahmen intern dokumentieren.
Was droht bei Nichteinhaltung?
Art. 99 KI-VO enthält gestaffelte Bußgeldsanktionen. Die Durchsetzung der KI-VO erfolgt verhältnismäßig und berücksichtigt Faktoren wie Schwere und Art eines Verstoßes sowie dessen Vorsätzlichkeit oder Fahrlässigkeit. Das lässt sich für Verstöße, die nachweislich auf unzureichende Schulung zurückzuführen sind, wahrscheinlicher bejahen.
Art. 4 KI-VO ist seit dem 2. Februar 2025 in Kraft, wodurch Unternehmen bereits jetzt verpflichtet sind, Maßnahmen zur Förderung der KI-Kompetenz ihrer Mitarbeitenden zu ergreifen. Sanktionen bei Nichteinhaltung sind durch nationale Marktüberwachungsbehörden möglich, doch insbesondere die Konsequenzen eines Verstoßes gegen Art. 4 KI-VO sind vom deutschen Gesetzgeber noch zu klären. Laut EU-Kommission werden die nationalen Marktüberwachungsbehörden erst ab dem 2. August 2026 mit der Überwachung und Durchsetzung der Vorschriften beginnen.
Ausblick
Die EU-Kommission plant eine Anleitung für KI-Kompetenz durch weitere Praxisbeispiele, Webinare und Erläuterungen in ihrem FAQ bereitzustellen. Eine spezielle Webseite der EU-Kommission zu KI-Kompetenzen und -Fähigkeiten ist in Vorbereitung. Weitere Orientierung bietet neben dem FAQ der EU-Kommission auch der KI-Pakt der EU, in dem mehrere Unternehmen auf über 70 Seiten ihre Ansätze zur Umsetzung von Art. 4 KI-VO zusammengetragen haben.
Jeder, der ein KI-System in eigener Verantwortung nutzt, gilt als Betreiber. Somit fallen alle Unternehmen, die KI-Tools oder Software einsetzen, unter den Anwendungsbereich der KI-Verordnung und sind somit bestimmten Pflichten unterworfen. Die ersten Anforderungen der KI-Verordnung treten bereits am 02. Februar 2025 in Kraft.
Der Art. 4 KI-VO legt fest, dass Unternehmen bei allen Mitarbeitenden, die mit KI-Systemen arbeiten, die dafür erforderliche KI-Kompetenz sicherstellen müssen. Das bedeutet im Einzelnen:
Schulung und Weiterbildung: Unternehmen sind verpflichtet, ihre Mitarbeitenden regelmäßig zu schulen und weiterzubilden, um sicherzustellen, dass sie die technischen und ethischen Aspekte von KI-Systemen verstehen.
Bewusstsein für Risiken: Mitarbeitende sollen die potenziellen Risiken und Auswirkungen von KI-Systemen erkennen und angemessen darauf reagieren können.
Der Art. 5 KI-VO verbietet bestimmte Praktiken im Zusammenhang mit KI-Systemen, die als unvertretbares Risiko gelten. Dazu gehören
Unternehmen als Betreiber von KI-Systemen müssen nun also sicherstellen, dass sie die Vorgaben der KI-VO einhalten. Dafür sollten alle KI-Anwendungen im Unternehmen erfasst und den entsprechenden Risikokategorien zugeordnet werden. Unternehmen sollten überprüfen, ob ihre Systeme den Anforderungen der KI-VO entsprechen und sicherstellen, dass ihre KI-Systeme keine verbotenen Praktiken anwenden. Mit KI beschäftigte Mitarbeitende sollten hinreichend geschult werden, um die erforderliche KI-Kompetenz zu erhalten. Ebenso sind Transparenzpflichten für bestimmte KI-Systeme zu beachten.
Mit der KI-VO rücken Rechtskonformität, Sicherheit und Vertrauen noch stärker in den Fokus. Unternehmen, die frühzeitig entsprechende Maßnahmen einleiten, sichern sich nicht nur einen Wettbewerbsvorteil, sondern bauen auch eine stabile Basis für nachhaltig verantwortungsvolles Handeln auf. Eine sorgfältige Planung, fortlaufende Risikobewertung sowie die Schulung aller Mitarbeitenden zu den relevanten KI-Pflichten sind dabei essenziell. Nur so lassen sich potenzielle Risiken minimieren und zugleich die vielfältigen Vorteile von KI-Technologien voll ausschöpfen.
Wie wirkt sich das EU-KI-Gesetz auf Ihr KI-System aus? Machen Sie jetzt den EU AI Act Compliance Check
Gefördert werden soll insbesondere die Entwicklung vertrauenswürdiger und rechtssicherer Systeme, wobei die EU durch diese Verordnung eine Führungsrolle einnehmen soll. Laut Brando Benifei, dem Ko-Berichterstatter des Binnenmarktausschusses, handele es sich bei der Verordnung um „das weltweit erste verbindliche Gesetz zur künstlichen Intelligenz, um Risiken zu reduzieren, Chancen zu schaffen, Diskriminierung zu bekämpfen und Transparenz zu gewährleisten.“
Die wohl wichtigste Definition der Verordnung ist die des „KI-Systems“. Dies ist gem. Art. 3 Abs. 1 KI-VO „ein maschinengestütztes System, das so konzipiert ist, dass es mit unterschiedlichem Grad an Autonomie betrieben werden kann, das nach der Einführung Anpassungsfähigkeit zeigen kann und das für explizite oder implizite Ziele aus den Eingaben, die es erhält, ableitet, wie es Ergebnisse Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen erzeugen kann, die physische oder virtuelle Umgebungen beeinflussen können“.
Die Verordnung ordnet KI-Systeme nach ihrem Risiko ein. Es wird zwischen unannehmbaren Risiken, hohen Risiken, begrenzten Risiken und geringen Risiken differenziert:
Die KI-VO richtet sich an verschiedene Adressaten, wobei die meisten Verpflichtungen die „Anbieter“ von KI-Systemen trifft. Anbieter sind Unternehmen, welche entsprechende Systeme entwickeln oder in der EU in den Verkehr bringen. Nutzer meint dagegen nicht den Endnutzer eines KI-Systems, sondern natürliche oder juristische Personen, welche die Systeme beruflich einsetzen.
Die Verordnung wird am 20. Tag nach der Veröffentlichung im Amtsblatt der EU-Inkrafttreten, dies wird voraussichtlich im zweiten Quartal des Jahres 2024 sein, wobei Übergangsfristen für verschiedene Pflichten geregelt sind.
Mit der neuen KI-VO können durchaus umfangreiche Pflichten für Unternehmen entstehen, welche KI-Systeme anbieten. Maßgeblich ist dabei insbesondere die Einordnung in die verschiedenen Risikostufen. Gerade produzierende Unternehmen, welche die Nutzung von KI-Systemen nutzen oder dies planen, sollten die neue Verordnung im Blick behalten und gegebenenfalls eine Kategorisierung nach Risiken vornehmen. Darüber hinaus dürfte sich vor allem für den Endnutzer ein Mehrwert ergeben, da der Einsatz von KI in der EU durch die Verordnung künftig rechtssicherer werden wird.