Neues Jahr, neue KI-Kompetenzpflicht

Mit der Verordnung über Künstliche Intelligenz bezweckt der europäische Gesetzgeber den Einsatz von künstlichen Intelligenz (KI) sicher zu gestalten. Die Verordnung adressiert verschiedene Risikostufen von künstlicher Intelligenz. Der Großteil von Pflichten richtet sich nur an die Entwickler oder Verwender von besonders riskanter KI. Es gibt jedoch eine Pflicht die wirklich jede KI betrifft. Und zwar die sogenannte Pflicht zur KI-Kompetenz (Art. 4 KI-VO).

Diese Pflicht zur KI-Kompetenz muss jeder Anbieter oder Betreiber eines KI Systems erfüllen. Dabei muss sich jedes Unternehmen mit digitalen Prozessen die Frage stellen, welche der Verarbeitungen im Unternehmen KI-Systeme sein könnten.

Zur Frage, ob ein KI System vorliegt, kann die Definition des Gesetzgebers in der KI Verordnung herangezogen werden (    Art. 3 Nr. 1 KI-VO: „KI-System“ ist ein maschinengestütztes System, das für einen in unterschiedlichem Grade autonomen Betrieb ausgelegt ist und das nach seiner Betriebsaufnahme anpassungsfähig sein kann und das aus den erhaltenen Eingaben für explizite oder implizite Ziele ableitet, wie Ausgaben wie etwa Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen erstellt werden, die physische oder virtuelle Umgebungen beeinflussen können). Die Definition ist leider nur beschränkt hilfreich, da der Gesetzgeber eine möglichst weite Definition von KI zur Vermeidung von Regelungslücken angestrebt hat. Eine praktische Abgrenzung zur gewöhnlichen Software mithilfe dieser Definition gestaltet sich schwierig. Beispielsweise ist es anhand der gesetzlichen Definition nicht ohne weiteres möglich, eine gewöhnliche Excel-Tabelle nur als gewöhnliche Software und nicht als KI einzustufen. Umgekehrt ist es aber möglich, das auch eine Excel-Tabelle durch komplexe Programmierung zur Hochrisiko-KI oder gar verbotenen KI wird. Bei gewöhnlichen Excel-Tabellen kann von der Praxis und auch dem Gesetzgeber nur eine Nichtanwendbarkeit der KI-VO gewollt sein. Dennoch bereitet die gesetzliche Definition der KI einen erheblichen Aufwand, um auf ein vertretbares Ergebnis zu kommen. Vielmehr ist für eine effiziente Abgrenzung maßgeblich, ob die Software vor Beginn der Nutzung mit Daten trainiert wurde. Im Zweifel sollte bereits dann eine KI angenommen werden und bei Bedarf eine weitere Abgrenzung anhand der vollständigen gesetzlichen Definition vorgenommen werden.

Nach der Erkenntnis, ob ein KI-System verwendet wird, stellt sich die Frage der Eigenschaft als Anbieter oder Betreiber. Ein Anbieter entwickelt das entsprechende KI-System oder bietet dieses unter seinem Namen an. Ein Betreiber liegt vor, wenn das KI-System im Rahmen einer beruflichen Tätigkeit verwendet wird. Danach wird die Betreibereigenschaft sehr oft sehr schnell anzunehmen sein, wenn ein KI-System eingesetzt wird. Stellt das Unternehmen seinem Personal KI-Systeme wie GPT-Chatbots oder automatische Übersetzungsdienste zur Verfügung, liegen nach der KI-VO KI-Systeme vor und das Unternehmen gilt als Betreiber dieser KI-Systeme.

Durch die sehr weiten Begriffe des KI-Systems und des Betreibers ist eine Vielzahl von Akteuren zur KI-Kompetenz verpflichtet. Dazu kommt der sehr frühe Geltungsbeginn der Kompetenzpflicht. Diese ist bereits ab dem 2. Februar 2025 zu erfüllen.

Zur zügigen Erfüllung dieser Pflicht empfiehlt sich die adressatengerechte Schulung von Mitarbeitern und weiteren Dienstleistern. Dabei ist auf die verwendeten KI-Systeme einzugehen, über die Risiken der Nutzung aufzuklären und Handlungsempfehlungen für einen sicheren Umgang vorzustellen und einzuüben. Der sichere Umgang mit KI-Systemen durch KI-Kompetenz ist eben nicht nur durch Mitarbeiter, sondern auch durch Dienstleister des Unternehmens zu gewährleisten.  Lässt etwa ein Content-Creator Inhalte teilweise durch KI-Systeme erstellen und lässt seine Inhalte vor Veröffentlichung von einer Anwaltskanzlei prüfen, hat dieser Content Creator zu prüfen, ob die Anwaltskanzlei für diesen Einsatz von KI-System über ausreichende KI-Kompetenz verfügt. Im Falle mangelnder Kompetenz hat der Content Creator die Anwaltskanzlei über die KI-Systeme aufzuklären und bei der Kompetenzerlangung zu unterstützen.

Vermehrt werden als Nachweis für die Kompetenzerlangung Schulungen zu „AI Officern“ oder KI-Beauftragten angeboten. Die KI-Kompetenz ist dann bei einer Person gebündelt und ein zentraler Ansprechpartner für den Einsatz von KI-Systemen vorhanden. Gerade für kleinere Unternehmen ist damit aber ein hoher zeitlicher und finanzieller Aufwand verbunden und es wird mit teuren Kanonen auf Spatzen geschossen. Denn die Rolle des KI-Beauftragten ist in der KI-VO nicht verpflichtend vorgeschrieben. Es empfiehlt sich daher bei der Frage des Bedarfs eines KI-Beauftragten nach den Vorgaben zum Datenschutzbeauftragten zu gehen. Danach würde ein KI-Beauftragter erst bei 20 Personen in Betracht kommen. Bei geringeren Mitarbeiterzahlen sollte die KI-Kompetenz an alle Mitarbeiter im Rahmen einer effizienten Schulung vermittelt werden, die auch den Schulungsbedarf im Datenschutz abdeckt.

Wird die Pflicht zur KI-Kompetenz nicht erfüllt, löst dies das Betroffenenrecht der Beschwerde aus. Es ist seit dem 2. Februar 2025 möglich sein, eine Beschwerde bei einem Verstoß gegen die KI-Kompetenzpflicht gegenüber der zuständigen Marktüberwachungsbehörde zu melden. Eine solche Beschwerde kann Anlass für weitere Nachfragen oder Kontrollen durch die Marktüberwachungsbehörden sein. Legt sich der deutsche Gesetzgeber etwa auf die Datenschutzbehörden als Marktüberwachungsbehörden für die KI-VO fest, besteht das erweiterte Risiko, das neben Verstößen gegen die KI-VO auch Verstöße gegen die DSGVO entdeckt und sanktioniert werden.

Die Möglichkeit eines Bußgelds ist noch offen. Hierfür müsste der deutsche Gesetzgeber entscheiden, ob ein Verstoß gegen die KI-Kompetenzpflicht allein mit einem Bußgeld bestraft werden kann. Unabhängig davon kann ein Verstoß gegen die KI-Kompetenzpflicht Indiz für weitere Compliance-Verstöße sein und somit Ursache für ein höheres Bußgeld.

Gegenüber anderen entsteht bei Nutzung von KI-Systemen ein Haftungsrisiko, dass sich aufgrund der Neuheit der KI-VO nur vage skizzieren lässt. Auch in diesem Fall kann der Verstoß gegen die KI-Kompetenzpflicht mindestens Indizwirkung für ein umfassende Haftung begründen und entsprechend eine Erfüllung der KI-Kompetenzpflicht als Entlastungsbeweis vorgetragen werden.

Andererseits erfüllt eine ausreichende KI-Kompetenz nicht nur die Vorgabe aus der KI-VO. Das Bestehen der KI-Kompetenz kann auch in die datenschutz- und IT-sicherheitsrechtliche Dokumentation einbezogen werden. Zudem können Schulungen zur KI-Kompetenz die Mitarbeiter und Geschäftsführung über die bestehende Präsenz von KI-Systemen im eigenen Unternehmen sensibilisieren. Durch das neue KI-Bewusstsein können KI-Potentiale produktiver genutzt und entdeckt werden. Langfristig wird die KI-Kompetenzpflicht möglicherweise von einer lästigen Pflicht zu einem Innovationsgaranten im europäischen Wirtschaftsraum.
 

Autoren: Maximilian Kroker, Rechtsanwalt und Kai Florian Furch, Rechtsanwalt