Die neue KI-Verordnung (AI-Act): das erste KI-Gesetz der Welt
Der AI-Act, zu Deutsch „KI-Verordnung“, ist das erste Gesetz für künstliche Intelligenz der Welt. Von der EU initiiert und ausgearbeitet, soll die KI-Verordnung für Klarheit sorgen, wo und wie künstliche Intelligenz zum Einsatz kommen darf.
Seit der Einführung von ChatGPT durch OpenAI im November 2022 haben sich KI-Technologien rasend schnell ausgebreitet – in unserem Leben und in unserer Arbeitswelt, ohne Regulierung und gesetzlichen Rahmen. Mit dem AI-Act (Artificial Intelligence Act) hat die EU eine globale Vorreiterrolle übernommen: Erstmals werden konkrete Anforderungen für bestimmte Anwendungsfälle von KI-Systemen definiert. Ein wichtiger Schritt hin zur sicheren und transparenten Nutzung von KI-Technologien, um sowohl Verbraucher*innen als auch Unternehmen zu schützen.
Was regelt die KI-Verordnung?
Die KI-Verordnung verfolgt einen risikobasierten Ansatz, indem sie KI-Anwendungen nach ihrem potenziellen Risiko für die Gesellschaft einteilt: von minimalem bis hin zu sehr hohem und damit inakzeptablem Risiko.
Wichtig: Reguliert werden KI-Anwendungsfälle und nicht KI-Modelle. Das ist sinnvoll, denn ein KI-Modell beschreibt lediglich die Methode, wie eine KI mit Daten trainiert wird und lernt.
Je nach Risikoklasse des Anwendungsfalls sind bestimmte Anforderungen zu erfüllen. Besonders weitreichend sind diese bei KI-Anwendungen, die einem hohen Risiko unterliegen. Ob ein KI-System der Hochrisiko-Klasse zugeordnet wird, richtet sich nach einem Katalog, der dem AI-Act angehängt ist.
Ein Hochrisiko-Fall: KI-Anwendungen in der kritischen Infrastruktur
KI-Systeme, die in der Energie- oder Wasserversorgung eingesetzt werden, unterliegen nach dem AI-Act einem hohen Risiko und entsprechend strengen Regelungen und Verpflichtungen. Dazu gehören z. B. umfassende Dokumentationspflichten und Kontrollmechanismen, um die Funktionsfähigkeit und Sicherheit der Systeme kontinuierlich zu gewährleisten. Explizit gefordert wird auch eine menschliche Aufsicht: Fachkräfte müssen in der Lage sein, die Systeme zu kontrollieren und bei Bedarf einzugreifen, um Ausfälle oder Fehlfunktionen zu minimieren.
Noch ein Hochrisiko-Fall: KI-Systeme im Personalwesen
Das Interesse an künstlicher Intelligenz wächst auch im Personalwesen. Laut einer Umfrage des Digitalverbands Bitkom setzen bisher zwar nur wenige Unternehmen auf KI, viele planen jedoch den Einsatz, z. B. zum Schreiben von Arbeitszeugnissen, zur individuellen Weiterbildung der Beschäftigten oder zur Beantwortung interner HR-Fragen.
Die KI-Verordnung stuft KI-Systeme im Personalbereich jedoch grundsätzlich als Hochrisiko-KI ein. Systeme, die genutzt werden, um Stellenanzeigen gezielt zu platzieren, Bewerbungen zu analysieren oder zu bewerten, unterliegen strengen Anforderungen. Auch KI-Systeme, die dafür genutzt werden, um Entscheidungen über Beförderungen oder Kündigungen zu treffen, Aufgaben auf Basis individueller Verhaltensweisen oder persönlicher Merkmale zuzuweisen oder die Leistung und das Verhalten von Beschäftigten überwachen und bewerten sollen, gelten als risikoreich.
Unser Tipp: Um Unternehmen bei der sicheren und regelkonformen Nutzung im Personalwesen zu unterstützen, hat Bitkom einen Praxisleitfaden veröffentlicht, der Bestimmungen der KI-Verordnung erläutert und konkrete Anwendungsbeispiele bietet. Den Leitfaden können Sie hier als PDF herunterladen: Leitfaden Künstliche Intelligenz im Personalwesen
Geringes Risiko bei der Nutzung von Chatbots und KI-Content
Zu den KI-Anwendungsfällen mit geringem Risiko gehören z. B. Chatbots und die Produktion von Inhalten mithilfe von künstlicher Intelligenz. Hier regelt die KI-Verordnung vor allem neue Transparenzpflichten. Nutzer*innen von Chatbots müssen in Zukunft informiert werden, wenn sie mit einer KI interagieren.
Für Inhalte, die mithilfe von künstlicher Intelligenz erstellt wurden, wird eine Kennzeichnungspflicht eingeführt: Texte, Bilder und Videos, die überwiegend mit KI generiert wurden, müssen in Zukunft entsprechend gekennzeichnet werden. Aufgehoben wird die Kennzeichnungspflicht dann, wenn der KI-Content einer menschlichen redaktionellen Kontrolle unterzogen wurde und „eine natürliche oder juristische Person die redaktionelle Verantwortung für die Veröffentlichung der Inhalte trägt“ (Art. 50 KI-VO, Absatz 4).
Datenschutz und Urheberrechte nicht vergessen!
Unberührt von der KI-Verordnung bleiben alle Regelungen und Verordnungen im Zusammenhang mit Datenschutz, Urheberrechtsverletzungen und Persönlichkeitsrechten. KI-Systeme wie ChatGPT oder Copilot mit personenbezogenen Daten und urheberrechtlich geschützten Dokumenten zu füttern, ist also keine gute Idee. Allein deshalb ist es wichtig, dass Sie Ihre Mitarbeitenden im Umgang mit KI-Systemen schulen. Denn bei der Flut an frei zugänglichen Tipps und Vorschlägen zur Nutzung von KI im Arbeitsalltag geraten Datenschutz und Urheberrechte nur allzu schnell und häufig ohne böse Absichten ins Abseits.
Was bedeutet die KI-Verordnung für Unternehmen?
Für Unternehmen bedeutet die KI-Verordnung also eine Reihe von Verpflichtungen. Gleichzeitig profitieren sie von klaren rechtlichen Rahmenbedingungen, die Vertrauen fördern und Haftungsrisiken minimieren.
Grundsätzlich erforderlich ist eine Risikobewertung, also die Einordnung des genutzten Systems und seiner Anwendung in eine der Risikoklassen vor dessen Einsatz, um die daraus resultierenden Pflichten abzuleiten.
Unabhängig von ihrer Größe, werden Unternehmen außerdem dazu verpflichtet, ihre Mitarbeiter*innen, die KI-Systeme einsetzen, im Umgang mit künstlicher Intelligenz zu schulen. Das gilt auch bei der Anwendung von mittlerweile weit verbreiteten KI-Tools wie ChatGPT oder Microsoft Copilot.
Ab wann gilt die KI-Verordnung?
Die KI-Verordnung ist bereits am 2. August 2024 in Kraft getreten, allerdings gelten z. T. lange Übergangsfristen.
Am 2. Februar 2025 tritt ein Verbot von KI-Anwendungen mit inakzeptablem Risiko in Kraft. Dazu gehören z. B. KI-Systeme, die das Verhalten von Menschen durch manipulative Methoden beeinflussen oder gezielt menschliche Schwächen, wie Alter oder soziale Bedingungen, ausnutzen.
Außerdem müssen Unternehmen jetzt sicherstellen, dass Mitarbeitende, die mit KI-Systemen arbeiten, über die notwendige Kompetenz verfügen, um die Systeme verantwortungsvoll und sicher zu nutzen.
Weitere Vorgaben wie z. B. die Transparenzpflichten werden am 2. August 2026 wirksam.
Autorin: Heike Gruber
Heike Gruber ist Head of Marketing und digitaler Content bei der wvgw. In dieser Funktion beschäftigt sie sich intensiv mit den Anwendungsmöglichkeiten von künstlicher Intelligenz im Verlagsalltag und mit den Chancen und Risiken, die KI-Anwendungen mit sich bringen.