Künstliche Intelligenz (KI) im Unternehmen: Neuerungen durch den europäischen AI Act für Österreich

Künstliche Intelligenz (KI) ist in immer mehr Bereichen unseres Alltags präsent. Mit der Verordnung (EU) 2024/1689 („AI Act“ oder „KI-Verordnung“) hat die EU nun erstmals ein umfassendes Regelwerk beschlossen, das zum 1. August 2024 in Kraft getreten ist. Welche Auswirkungen ergeben sich daraus für österreichische Unternehmen?

1. Hintergrund und Zielsetzung

Der AI Act wurde nach langjährigen Verhandlungen verabschiedet. Er bezweckt den Schutz hoher europäischer Standards wie Datenschutz und Sicherheit, will aber auch Innovation im KI-Sektor fördern. Zentral ist ein risikobasierter Ansatz, der KI-Systeme je nach ihrem Gefahrenpotenzial – von minimal bis inakzeptabel – unterschiedlichen Anforderungen unterwirft.

2. Etappenweises Inkrafttreten

Obwohl der AI Act bereits gültig ist, erfolgt seine Umsetzung gestaffelt:

• Ab 2. Februar 2025:
  Bestimmte KI-Systeme sind verboten, außerdem gilt eine Schulungspflicht für Mitarbeitende.

• Ab 2. August 2026:
  Weitere Transparenzvorgaben, etwa für generative KI, werden wirksam.

• Hochrisiko-KI-Systeme:
  Können eine längere Übergangsfrist von bis zu 36 Monaten in Anspruch nehmen.

3. Breites Anwendungsfeld

Die Verordnung erfasst alle Anbieter und Anwender von KI-Technologie, einschließlich öffentlicher Stellen. Ein „KI-System“ ist jede Software, die automatisierte Vorhersagen, Empfehlungen oder Entscheidungen trifft und dadurch menschliches Verhalten beeinflussen kann. Auch Handelsunternehmen, die z. B. Chatbots nutzen, fallen darunter.

4. Risikoklassen

Der AI Act unterscheidet vier Kategorien:

1. Inakzeptables Risiko
   Beispiele sind „Social Scoring“, Emotionserkennung am Arbeitsplatz oder manipulative KI. Solche Anwendungen sind strikt verboten.

2. Hochrisiko-KI
   Betrifft Systeme mit großem Einfluss auf Sicherheit oder Grundrechte (z. B. Medizin, Strafverfolgung). Anbieter müssen u. a. strenge Dokumentation, Risikomanagement und ggf. Konformitätsbewertungen vorweisen.

3. Begrenztes Risiko
   Transparenzpflichten stehen im Vordergrund. Nutzer sollen klar erkennen, wenn eine KI beteiligt ist oder Inhalte maschinell erzeugt wurden.

4. Minimales Risiko
   Alltagsanwendungen (z. B. Spamfilter). Außer grundlegenden Schulungen ergeben sich meist keine weiteren Auflagen.

5. Generative KI und GPAIS

Generative KI wie ChatGPT oder Bildgeneratoren zählt zu den „General Purpose AI Systems“ (GPAIS). Solche Systeme müssen erhöhte Transparenzpflichten erfüllen, z. B. Auskunft über verwendete Trainingsdaten und Einhaltung des Urheberrechts. Bei Modellen mit besonders hohen Risiken sind zudem Test- und Meldepflichten vorgeschrieben. Nutzer sollen klar erkennen, dass ein Output von KI generiert wurde.

6. Ab 2. Februar 2025 verbotene KI-Systeme

Einige Praktiken sind ab diesem Datum untersagt:

• Manipulative Methoden, die Personen täuschen oder deren Schwächen ausnutzen.
• Social Scoring, das auf Verhalten oder persönlichen Merkmalen basiert und zu Diskriminierung führt.
• Emotionserkennung in Arbeitsumgebungen (Ausnahmen bei klarer medizinischer oder sicherheitsrelevanter Notwendigkeit).
• Unkontrollierte biometrische Datenerhebung, etwa das Anlegen von Gesichtsdatenbanken aus Überwachungsaufnahmen.

Unternehmen sollten ihre Softwareprozesse überprüfen und verbotene Funktionen entfernen.

7. Schulungspflicht: KI-Kompetenz

Ebenfalls ab Februar 2025 müssen Beschäftigte (und ggf. Lieferanten) über ausreichende KI-Kenntnisse verfügen. Dies beinhaltet:

• Technische Grundlagen (z. B. Algorithmen, Datentraining)
• Umgang mit Risiken (Bias, Datenschutz, Sicherheit)
• Transparenz- und Kennzeichnungspflichten

Wie Unternehmen die Schulungen organisieren, ist ihnen überlassen. Wichtig ist eine Dokumentation, damit Behörden die Umsetzung nachvollziehen können.

8. Hochrisiko-KI: Zusätzliche Anforderungen

Wer Systeme einsetzt, die als hochrisikohaft gelten, muss weitere Vorgaben befolgen:

1. Risikomanagement: Ermittlung potenzieller Schäden und deren Minimierung
2. Technische Prüfungen: Testläufe, um unerwünschte Auswirkungen auszuschließen
3. Umfassende Dokumentation: Genaues Festhalten, wie die KI entwickelt und gewartet wird
4. Konformitätsbewertung: Je nach Bereich können externe Prüfinstanzen verlangt werden

Es empfiehlt sich, frühzeitig fachlichen Rat einzuholen und ausreichend personelle Ressourcen einzuplanen.

9. DSGVO: Weiterhin maßgebend

Die Datenschutz-Grundverordnung (DSGVO) bleibt parallel gültig, sobald personenbezogene Daten verarbeitet werden. Insbesondere bei KI, die große Datenmengen auswertet, spielt Datenschutz eine zentrale Rolle. Keine personenbezogenen Daten Dritter sollten ohne Erlaubnis in KI-Systeme (z. B. ChatGPT) eingespeist werden. Eine enge Abstimmung zwischen Datenschutz und den KI-Vorgaben ist unabdingbar.

10. Behörden und Sanktionen

Die EU-Mitgliedstaaten benennen je eine Aufsichtsbehörde für den AI Act. Bei Regelverstößen können hohe Geldstrafen anfallen:

• Bis zu 35 Mio. EUR oder 7 % des globalen Jahresumsatzes
• Bis zu 7,5 Mio. EUR oder 1 % des Jahresumsatzes bei geringeren Verstößen

Zusätzlich kann die Behörde den Einsatz bestimmter KI-Systeme untersagen.

11. Praktische Schritte

1. Bestandsaufnahme
   Identifizieren Sie alle KI-Systeme, auch integrierte oder „versteckte“ Komponenten.
2. Risikoanalyse
   Ordnen Sie Anwendungen den passenden Risikoklassen zu.
3. Personal schulen
   Legen Sie Schulungsformate und -inhalte fest. Dokumentieren Sie alles gründlich.
4. Verbotene KI
   Entfernen Sie etwaige emotionserkennende oder manipulative Funktionen.
5. DSGVO-Check
   Achten Sie auf den rechtmäßigen Umgang mit personenbezogenen Daten.
6. Interne Richtlinien
   Definieren Sie klare Vorgaben: Wer implementiert KI, wie erfolgt Freigabe und Kontrolle?

12. Chancen durch die Regulierung

Obwohl der AI Act zusätzlichen Aufwand erfordert, kann er das Vertrauen in KI stärken. Eine frühzeitige, gesetzeskonforme Umsetzung schafft Wettbewerbsvorteile, erleichtert Innovation und minimiert Bußgeldrisiken. Unternehmen, die ethische und transparente KI-Systeme einsetzen, sichern sich zumeist langfristig die Akzeptanz ihrer Kunden und Partner. Holen Sie rechtzeitig professionellen Rat ein!

Rechtsanwalt KI

Rechtsanwalt Dr. Simon Harald Baier, Rechtsanwalt Wien, berät zu Fragen der KI in Unternehmen sowie zum Wirtschaftsrecht und Europarecht.

Weitere Informationen unter shb-law.at

Hinweis

Dieser Artikel dient ausschließlich der allgemeinen Information und stellt keine spezifische Rechtsberatung dar. Die hier bereitgestellten Inhalte wurden nach bestem Wissen und Gewissen recherchiert, können jedoch eine individuelle Beratung durch einen qualifizierten Anwalt nicht ersetzen. Da sich die Rechtslage fortlaufend ändern kann, ist es bei konkreten Anliegen wichtig, rechtlichen Rat einzuholen. Nur eine persönliche Beratung kann die Besonderheiten Ihres Falles angemessen berücksichtigen.