Die KI-Verordnung (KI-VO) – was Unternehmen jetzt wissen und tun müssen
Die fortschreitende Entwicklung von Künstlicher Intelligenz (KI) bringt nicht nur Chancen, sondern auch erhebliche rechtliche Herausforderungen mit sich. Besonders in Bezug auf Datenschutz und die neuen regulatorischen Anforderungen der EU-KI-Verordnung (KI-VO) müssen Unternehmen aktiv werden. Dieses Insight beleuchtet die wesentlichen Aspekte der KI-VO, ihre Auswirkungen auf den Datenschutz und den konkreten Handlungsbedarf für Unternehmen.
Die Europäische Union hat mit der KI-Verordnung (KI-VO) einen neuen gesetzlichen Rahmen für den Einsatz von KI-Technologien geschaffen. Diese Verordnung definiert, welche Anforderungen an die Entwicklung, Implementierung und Nutzung von KI gestellt werden.
Ab dem 2. Februar 2025 gelten erste verpflichtende Maßnahmen:
- Anbieter und Betreiber von KI-Systemen müssen sicherstellen, dass ihre Mitarbeitenden über ein ausreichendes Maß an KI-Kompetenz verfügen.
- Bestimmte risikoreiche KI-Praktiken werden ausdrücklich verboten.
- Unternehmen müssen sich auf eine erweiterte Rechenschaftspflicht einstellen.
Die vollständige KI-Verordnung tritt jedoch erst ab dem 2. August 2026 in Kraft.
KI und Datenschutz: Welche Risiken bestehen?
Die Nutzung von KI-Technologien kann Datenschutzrisiken mit sich bringen. Die DSGVO (Datenschutz-Grundverordnung) bleibt weiterhin maßgeblich für den Schutz personenbezogener Daten, doch die KI-VO bringt neue Anforderungen hinzu.
Typische Datenschutzrisiken beim Einsatz von KI:
- Automatisierte Entscheidungen: KI-Systeme, die Bewerberauswahl, Kreditwürdigkeitsprüfungen oder Kundenanalysen durchführen, könnten unzulässige Profilbildungen erzeugen.
- Datenweitergabe an Dritte: KI-Modelle nutzen oft große Datenmengen, deren Herkunft und Verarbeitung unter Datenschutzgesichtspunkten kritisch hinterfragt werden müssen.
- Fehlende Transparenz: Viele KI-Systeme sind Black-Box-Modelle, bei denen nicht nachvollziehbar ist, wie Entscheidungen getroffen werden.
- Unkontrollierter Zugriff auf vertrauliche Informationen: Mitarbeitende könnten sensible Geschäfts- oder Kundendaten unbewusst in KI-Systeme eingeben, die nicht den Datenschutzbestimmungen entsprechen.
Unsere Experten sind für Sie da
Schulungspflichten für Unternehmen – ab 2025 verpflichtend
Seit dem 2. Februar 2025 sind Unternehmen verpflichtet sicherzustellen, dass ihre Mitarbeitenden über die nötigen Kenntnisse und Fähigkeiten verfügen, um KI-Systeme sicher und im Einklang mit den geltenden Vorschriften zu nutzen. Das bedeutet konkret, dass alle relevanten Beschäftigten, die mit KI-gestützten Tools arbeiten, an speziellen Schulungsprogrammen teilnehmen müssen. Dazu zählen unter anderem:
- Entwickler und Techniker, die KI-Systeme erstellen oder an deren Weiterentwicklung arbeiten.
- Anwender, die KI-Tools im täglichen Geschäftsbetrieb nutzen, etwa in der Kundenbetreuung oder im Marketing.
- Entscheidungsträger und Führungskräfte, die auf Basis von KI-generierten Daten oder Empfehlungen Entscheidungen treffen.
Frühzeitige Maßnahmen helfen nicht nur, rechtliche Risiken zu minimieren, sondern stärken auch das Vertrauen von Kunden und Geschäftspartnern. Wir unterstützen Sie gemeinsam mit unserem Partner GDPC GbR bei der Umsetzung und Entwicklung maßgeschneiderter Schulungskonzepte.
Welche Systeme fallen unter die KI-Verordnung und welche Risiken bestehen?
Die KI-VO betrifft alle Unternehmen, die Künstliche Intelligenz in irgendeiner Form einsetzen. Dazu gehören unter anderem folgende Technologien und Anwendungen:
Diese Systeme kommen immer häufiger im Kundenservice zum Einsatz. Sie helfen bei der Beantwortung von Kundenanfragen, indem sie automatisiert Texte verstehen und passende Antworten generieren. Ein bekanntes Beispiel ist ChatGPT.
Risiko: Speicherung von Kundendaten
Hierbei handelt es sich um KI-gestützte Prozesse, die in Bereichen wie der Kreditwürdigkeitsprüfung oder der Bewerberauswahl verwendet werden. Sie erleichtern die Entscheidungsfindung, können aber auch Risiken bergen, wenn sie nicht transparent und fair gestaltet sind.
Risiko: Diskriminierung & Bias
Diese Technologien kommen in Bereichen wie der Gesichtserkennung, medizinischer Diagnostik oder der Qualitätskontrolle zum Einsatz. Sie analysieren und interpretieren visuelle Daten und treffen auf dieser Grundlage Entscheidungen.
Risiko: Verletzung der Privatshäre
KI kann eingesetzt werden, um Muster aus großen Datenmengen zu erkennen und auf dieser Basis Vorhersagen zu treffen. Beispiele sind personalisierte Werbung, Marktanalysen und Empfehlungen in Onlineshops.
Risiko: Profilbildung und unerlaubte Datennutzung
Hierzu gehören KI-basierte Anwendungen wie Transkriptionssoftware oder Sprachassistenten, die gesprochene Sprache verstehen und in Text umwandeln können.
Risiko: Verarbeitung sensibler Informationen
Verpflichtungen für Unternehmen
Unternehmen, die KI-gestützte Systeme einsetzen, sind dazu verpflichtet, Datenschutz und Ki-Regulierung proaktiv zu adressieren.
Neben der rechtlichen Pflicht zur Schulung gibt es noch weitere gute Gründe, warum Unternehmen ihre Mitarbeitenden im Umgang mit KI schulen sollten:
Ein unsachgemäßer Umgang mit KI-Technologien kann zu erheblichen Risiken führen, insbesondere in Bezug auf den Datenschutz und die Datensicherheit. Wenn KI-Systeme nicht richtig konzipiert oder genutzt werden, können sensible Daten, wie z. B. Geschäftsgeheimnisse oder persönliche Informationen, unbeabsichtigt offengelegt werden.
KI-Systeme sind äußerst leistungsfähig, aber auch fehleranfällig. Fehlerhafte Algorithmen oder unvollständige Daten können zu verzerrten oder diskriminierenden Ergebnissen führen. Eine umfassende Schulung hilft dabei, die Mitarbeitenden für diese Risiken zu sensibilisieren und sie zu einem verantwortungsvollen Umgang zu befähigen.
Die KI-VO legt nicht nur fest, welche Technologien eingesetzt werden dürfen, sondern auch, wie der Einsatz dieser Technologien überwacht und reguliert werden muss. Schulungen stellen sicher, dass alle Mitarbeitenden die gesetzlichen Anforderungen kennen und einhalten.
Gut geschulte Mitarbeitende können KI-basierte Systeme effizienter und zielführender einsetzen. Das bedeutet, dass Ihr Unternehmen von den Vorteilen der KI profitieren kann, ohne in Risiken zu geraten.
Was Sie jetzt tun können!
Um den Anforderungen der KI-VO seit dem 2. Februar 2025 gerecht zu werden, sollten Sie sofort mit Schulungen für alle relevanten Mitarbeitenden beginnen. Achten Sie darauf, dass diese die nötigen Kenntnisse für den sicheren und gesetzeskonformen Einsatz von KI erwerben. Ergänzend sind technische und organisatorische Maßnahmen wie regelmäßige Audits und Sicherheitsvorkehrungen sinnvoll.
- Alle Mitarbeitenden, die mit KI-Systemen arbeiten, müssen über den sicheren Umgang mit diesen Technologien unterwiesen werden.
- Dies umfasst insbesondere Entwickler, Implementierer und Anwender von KI-gestützten Systemen.
- Unternehmen müssen eine Risikoanalyse durchführen, um festzustellen, welche Datenschutzrisiken durch den Einsatz von KI entstehen.
- Hochrisiko-KI-Systeme benötigen spezielle Maßnahmen zur Transparenz, Dokumentation und menschlichen Aufsicht.
- Falls ein KI-System in großem Umfang personenbezogene Daten verarbeitet, ist eine Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO erforderlich.
- Unternehmen sollten sicherstellen, dass KI-Modelle datenschutzfreundlich konzipiert werden (Privacy by Design & by Default).
- Datenminimierung und Verschlüsselung sind essenziell.
- Falls KI-Anwendungen von externen Dienstleistern genutzt werden, müssen Verträge zur Auftragsverarbeitung (AVV) geprüft und gegebenenfalls aktualisiert werden.
