Artikel 4 der EU-KI-Verordnung: Verpflichtungen von Unternehmen zur Sicherstellung der KI-Kompetenz

Von den Rechtsanwälten Esra Duran & Babak Tabeshian

[Teil 1 der KI-Aufsatzserie]

Mit der Verordnung (EU) 2024/1689 hat die Europäische Union weitreichende Regelungen für den Einsatz künstlicher Intelligenz geschaffen. Während die meisten Bestimmungen der KI-Verordnung erst ab dem 2. August 2026 in Kraft treten, gelten Artikel 4 und Artikel 5 bereits ab dem 2. Februar 2025.

Dieser Beitrag beschäftigt sich mit der KI-Kompetenz nach Art. 4. Diese Regelung verpflichtet Anbieter und Betreiber von KI-Systemen, sicherzustellen, dass ihr Personal sowie alle in ihrem Auftrag tätigen Personen über ein ausreichendes Maß an KI-Kompetenz verfügen. Dabei sind technische Kenntnisse, Erfahrung, Ausbildung, Schulung, der Einsatzkontext der KI-Systeme sowie die unterschiedlichen Zielgruppen zu berücksichtigen.

Was das in der Praxis bedeutet, welche Maßnahmen jetzt erforderlich sind und welche Herausforderungen sich dabei ergeben, erläutern wir im Folgenden:

Wer fällt in den Anwendungsbereich?

In den Anwendungsbereich fallen Anbieter und Betreiber. Anbieter ist, wer ein KI-System oder KI-Modell entwickelt oder entwickeln lässt und es unter seinem Namen oder seiner Marke auf den Markt bringt oder selbst nutzt – unabhängig davon, ob unentgeltlich oder nicht. Ein KI-System ist vereinfacht gesagt ein computergestütztes System, das selbstständig arbeiten, sich anpassen und aus Daten lernen kann, um Vorhersagen, Empfehlungen oder Entscheidungen zu treffen, die die reale oder digitale Welt beeinflussen.

Betreiber ist dagegen, wer ein KI-System eigenverantwortlich verwendet, solange es nicht nur für private Zwecke genutzt wird.

Das betrifft nicht nur klassische Tech-Unternehmen, sondern auch alle, die die KI eigenverantwortlich in ihren Geschäftsprozessen einsetzen: von Finanzdienstleistern und E-Commerce-Plattformen bis hin zum Gesundheitssektor. Auch Softwareanbieter, die eigene oder fremde KI-Systeme in ihren Softwareprodukten einsetzen, um bestimmte Vorgänge zu automatisieren, fallen in den Anwendungsbereich.

Was muss beachtet werden?

Es ist entscheidend, dass alle Beteiligten – also Anbieter, Betreiber und betroffene Personen – über die notwendige KI-Kompetenz verfügen. Diese Kompetenz muss ihnen die Fähigkeit vermitteln, fundierte und verantwortungsvolle Entscheidungen in Bezug auf den Einsatz von KI zu treffen.

Je nach Kontext können die notwendigen Konzepte zur KI-Kompetenz unterschiedlich sein. So gehört beispielsweise das Verständnis der technischen Grundlagen eines KI-Systems hinsichtlich ihrer Entwicklungsphase dazu. Auch ist Kenntnis über erforderliche Sicherheits- und Schutzmaßnahmen bei der Nutzung erforderlich sowie die Fähigkeit, die Ergebnisse eines KI-Systems korrekt zu interpretieren. Besonders wichtig ist auch das Wissen, die Auswirkungen von durch KI getroffenen Entscheidungen auf das Leben der Nutzer zu verstehen.

Insoweit wird die Sensibilisierung und Aufklärung der Öffentlichkeit in Bezug auf die Vorteile, Risiken, Schutzmaßnahmen, Rechte und Pflichten für die Nutzung von KI-Systemen zu fördern sein.  Die KI-Kompetenz sollte auch beinhalten, eine Hochrisiko-KI zu erkennen und damit umzugehen. Dies bedeutet, Risiken richtig einzuschätzen, gesetzliche Vorgaben einzuhalten und Maßnahmen zu treffen, die für eine entsprechende Sicherheit sorgen.

Wie verschafft man sich die KI-Kompetenz?

Was unter der KI-Kompetenz zu verstehen ist, wird in Art. 4 der KI-Verordnung nicht klar definiert. Jedoch werden verschiedene Aspekte genannt, die bei ihrer Vermittlung berücksichtigt werden sollten. Dazu gehören technisches Wissen über die Funktionsweise von KI, praktische Erfahrung im Umgang mit solchen Systemen sowie die Ausbildung und Schulung der Mitarbeitenden. Ebenso spielen der Kontext, in dem die KI eingesetzt wird und die betroffenen Personen eine Rolle.

Für Unternehmen bedeutet KI-Kompetenz, dass Mitarbeitende verstehen, wie KI-Systeme funktionieren, welche Chancen sie bieten und welche Risiken sie mit sich bringen. Ein praxisnahes Beispiel ist der Einsatz von KI zur Automatisierung von Geschäftsprozessen: Führungskräfte und Mitarbeitende müssen geschult werden, um zu beurteilen, welche Aufgaben sinnvoll automatisiert werden können und wo noch immer menschliche Kontrolle erforderlich bleibt.

Ein weiteres Beispiel ist der Umgang mit KI-gestützten Entscheidungssystemen. Wenn ein Unternehmen eine KI nutzt, um Datenanalysen oder Vorhersagen zu treffen, müssen die Verantwortlichen wissen, wie die Ergebnisse interpretiert werden und welche Faktoren die KI-Modelle beeinflussen. So können Fehleinschätzungen vermieden und fundierte Entscheidungen getroffen werden.

Auch der Datenschutz spielt eine wichtige Rolle. Unternehmen, die KI-Systeme einsetzen, müssen sicherstellen, dass ihre Mitarbeitenden die rechtlichen Rahmenbedingungen kennen, insbesondere im Umgang mit sensiblen Daten. Durch Schulungen und klare Richtlinien kann gewährleistet werden, dass die KI verantwortungsbewusst genutzt wird.

Letztlich geht es darum, durch gezielte Weiterbildung und Sensibilisierung eine sichere, effiziente und transparente Nutzung von KI im Unternehmen zu ermöglichen.

Was droht bei Nichtumsetzung?

Wer in der KI-Verordnung nach Regelungen zur Haftung sucht, wird nicht fündig. Die Verordnung selbst trifft keine Vorgaben dazu, wer im Schadensfall verantwortlich ist. Stattdessen sollte dies durch die geplante KI-Haftungsrichtlinie geklärt werden. Allerdings hat die neue EU-Kommission diese Richtlinie gemäß ihrem aktuellen Arbeitsprogramm zurückgezogen. Damit bleibt die zentrale Frage weiterhin offen: Wer trägt die Verantwortung, wenn der Einsatz von KI zu Problemen oder Schäden führt?

Wie die Haftung im Einzelfall geregelt wird, bleibt abzuwarten. Es ist noch offen, ob das Produkthaftungsgesetz auf den Einsatz von KI-Systemen angewendet wird oder ob neue, spezifische Regelungen zur Haftung beschlossen werden. Diese Unklarheit bedeutet jedoch nicht, dass Betreiber und Anwender von KI-Systemen von ihrer Verantwortung entbunden sind. Nach deutschem Recht könnte jedenfalls eine Haftung nach § 823 Abs. 2 BGB i.V.m. der KI-VO begründet werden. Auch ohne eine abschließende rechtliche Klärung sind Unternehmen und Organisationen daher verpflichtet, ihre Sorgfaltspflichten zu erfüllen. Sie müssen sicherstellen, dass die eingesetzten KI-Technologien sicher und zuverlässig arbeiten, den geltenden rechtlichen Anforderungen entsprechen und keine unzumutbaren Risiken für Nutzer oder Dritte darstellen. Die ordnungsgemäße Implementierung von KI-Systemen, regelmäßige Sicherheitsprüfungen und die Einhaltung von Datenschutzrichtlinien sind insoweit essenzielle Schritte, um Haftungsrisiken zu minimieren.

Fazit

Art. 4 der KI-Verordnung bietet eine rechtliche Grundlage, um den sicheren und rechtskonformen Einsatz der KI zu gewährleisten. Die Nichteinhaltung der Anforderungen der KI-Verordnung kann erhebliche Risiken für Unternehmen und deren Geschäftsleitung mit sich bringen.

Unsere Kanzlei bietet umfassende Beratung von Unternehmen im IT-Recht an. Wir unterstützen auch bei der Umsetzung der Vorgaben der KI-Verordnung. Dafür bieten wir maßgeschneiderte Lösungen zur Erfüllung der regulatorischen Anforderungen und zur Reduzierung potenzieller Risiken an.

Über #LFR Wirtschaftsanwälte

LFR Wirtschaftsanwälte sind Ihr Partner in allen Fragen des IT-Rechts. Wir unterstützen bei der Beratung und der Gestaltung von Software- und E-Commerce-Projekten, IT-Verträgen, IT-Sicherheitskonzepten und bei IT-rechtlichen Konflikten. Bei Interesse an einem Beratungsgespräch zur Umsetzung der Anforderungen der KI-Verordnung können Sie uns gerne kontaktieren.