Aktuelles

Die KI-Verordnung ist in Kraft getreten – KI-Compliance im Unternehmen rechtzeitig vorbereiten! 

Die Verordnung (EU) 2024/1689 des Europäischen Parlaments und des Rates vom 13. Juni 2024 über künstliche Intelligenz (AI Act) ist am 01.08.2024 in Kraft getreten. Der AI Act wird binnen zwei Jahren ab Inkrafttreten stufenweise geltungswirksam werden und ab 02.08.2026 voll anzuwenden sein. Die Umsetzung des AI Act stellt Unternehmen vor eine große Compliance-Herausforderung. Der AI Act umfasst die gesamte Wertschöpfungskette rund um KI, sodass der AI Act nicht nur Hersteller und Anbieter von KI betrifft, sondern alle Unternehmen, die KI einsetzen. Spätestens jetzt sollten sich Unternehmen im Umgang mit KI mit der Entwicklung einer Strategie für die KI-Compliance befassen. 

Zum einen sind Verletzungen des AI Act mit Sanktionen bewehrt, die je nach Art und Schwere des Verstoßes von Ermahnungen bis zu (schmerzhaften) umsatzabhängigen Geldstrafen reichen. Zum anderen besteht das Risiko einer zivilrechtlichen Haftung nach dem allgemeinen Schadenersatzrecht für Schäden, die durch fehlerhafte KI oder sorgfaltswidrige Anwendung von KI verursacht werden. Zur Haftungsvermeidung werden in der Compliance-Strategie je nach Einsatzbereich der KI im Unternehmen weitere relevante Rechtsvorschriften im Zusammenhang mit KI wie z.B. Datenschutzrecht, Urheberrecht, Persönlichkeitsschutzrechte etc. zu bedenken sein. Eine eigene EU-Richtlinie über eine ausdrücklich angeordnete zivilrechtliche Haftung für KI im außervertraglichen Bereich wird bereits ausgearbeitet. 

Der AI Act soll einen einheitlichen Rechtsrahmen für den Umgang mit KI in der EU schaffen und KI so regulieren, dass Grundrechte, Gesundheit und Umwelt vor den mit KI verbundenen Risiken geschützt sind. Artikel 3 enthält umfangreiche Begriffsdefinitionen, beispielsweise, was überhaupt unter KI im Sinne des AI Act zu verstehen ist, und welche Unternehmen im Sinne des AI Act vom Geltungsbereich umfasst sind. 

Nach dem AI Act wird KI je nach dem damit verbundenen Risiko in 4 „Risikostufen“ eingeteilt. Kriterium der Risikobewertung ist die Wahrscheinlichkeit und Intensität eines potenziellen Schadens gemessen am Zweck und Anwendungsbereich. Mit dem jeweiligen Risiko der KI sind Verbote oder Pflichten verbunden. 

Der Handlungsbedarf der Unternehmen leitet sich daher aus der Bestandsaufnahme der angebotenen oder angewendeten KI und der Risikobewertung ab: 

  • KI mit „inakzeptablem Risiko“ ist dadurch gekennzeichnet, dass sie entweder intensiv in Grundrechte eingreift, mit besonders sensiblen Daten arbeitet oder hohes Manipulationspotenzial von Personen in vulnerablen Situationen aufweist, z.B. „Social Scoring“ oder biometrische Echtzeitüberwachung. Diese KI ist grundsätzlich verboten (Artikel 5). 
  • „Hochrisiko-KI“ ist dadurch gekennzeichnet, dass sie entweder biometrische, sensible Daten verarbeitet, vulnerable Lebensbereiche wie Arbeitsverhältnisse, Versorgungsdienstleistungen, Asyl und Migration oder kritische Infrastruktur betrifft, z.B. KI-generierte Bonitätsbewertung oder KI im Personalmanagement. „Hochrisiko-KI“ ist nur unter strengen Auflagen erlaubt, z.B. Risikomanagement, Qualitätssicherung, Cybersicherheit, Dokumentations-, Transparenz- und Informationspflichten. „Hochrisiko-KI“ muss vor der ersten Verwendung registriert werden, darf nur innerhalb der Grenzen der Zulassung genutzt werden und muss laufend durch Menschen überwacht werden. (Artikel 6 bis 49). 
  • Für KI mit „begrenztem Risiko“ (Artikel 50) besteht eine Transparenzpflicht, wonach durch KI-generierte Inhalte, z.B. Chatbots, ChatGPT oder Deepfake, eindeutig als KI gekennzeichnet werden müssen. 
  • Alle anderen Formen von KI, wie KI-fähige Videospiele oder Spamfilter, gelten als KI mit „minimalem Risiko“. Für sie gilt kein verpflichtender Handlungsbedarf. Freiwillige Verhaltenskodices dürfen aber jederzeit eingehalten werden.
  • „KI mit generellem Verwendungszweck“, also KI, die nicht speziell für einen bestimmten Zweck trainiert wird und insofern als variables Tool einsatzfähig ist, kann je nach Anwendung in jede Risikostufe fallen.  
  • Alle Unternehmen, die KI anbieten oder verwenden, haben unabhängig von der jeweiligen Risikobewertung ab 02.02.2025 sicherzustellen, dass ihre Mitarbeiter und sonstige Personen, die in deren Auftrag mit KI umgehen, über ausreichende „KI-Kompetenz“ und damit über die Fähigkeit und notwendigen Kenntnisse verfügen, um die jeweilige KI rechtskonform einzusetzen (Artikel 4). KI-Kompetenz könnte beispielsweise durch Schulungen und schriftliche Informationsunterlagen wie Checklisten, Leitfäden etc. dokumentierbar vermittelt werden. Was unter ausreichender KI-Kompetenz zu verstehen ist, wird je nach Kontext variieren. Allgemein wird darunter die Fähigkeit zu verstehen sein, die jeweilige KI entsprechend anzuwenden und die Auswirkungen von mit KI getroffenen Entscheidungen auf Betroffene einzuschätzen [Erwägungsgrund 20]. Zur Haftungsvermeidung wird sich KI-Kompetenz im Einzelfall wohl nicht auf die Kenntnis der Handlungspflichten gemäß AI Act beschränken können, sondern je nach Anwendungsbereich darüber hinaus Kenntnisse in haftungsrelevanten Bereichen wie dem Datenschutzrecht oder Urheberrecht etc. erfordern. Eine Haftung für mangelnde KI-Kompetenz ist im AI Act nicht ausdrücklich angeordnet. Zurückkommend auf die oben angeführten Haftungsfragen könnte die Vorschrift zur Sicherstellung ausreichender KI-Kompetenz aber unter Umständen als „Schutzgesetz“ qualifiziert werden, dessen Verletzung eine zivilrechtliche Haftung nach allgemeinem Schadenersatzrecht auslösen könnte. Eine Rechtsprechung gibt es dazu naturgemäß noch nicht. Im juristischen Diskurs werden diesbezügliche Haftungsfragen aber bereits erörtert und in Betracht gezogen. 
Kategorien

Datenschutz

Diese Datenschutzerklärung wurde verfasst, um Ihnen gemäß der Vorgaben der Datenschutz-Grundverordnung (EU) 2016/679 und dem Datenschutzgesetz (DSG) zu erklären, welche Informationen gesammelt, wie Daten verwendet werden und welche Entscheidungsmöglichkeiten Sie als Besucher dieser Webseite haben.

Speicherung persönlicher Daten

Persönliche Daten, die Sie auf dieser Webseite elektronisch übermitteln, wie zum Beispiel Name, E-Mail-Adresse, Adresse oder andere persönliche Angaben im Rahmen der Übermittlung eines Formulars, werden gemeinsam mit dem Zeitpunkt und der IP-Adresse nur zum jeweils angegebenen Zweck verwendet, sicher verwahrt und nicht an Dritte weitergegeben.
Ihre persönlichen Daten werden somit nur für die Kommunikation mit jenen Besuchern genutzt, die Kontakt ausdrücklich wünschen und für die Abwicklung der auf dieser Webseite angebotenen Dienstleistungen und Produkte. Es werden vom Betreiber dieser Webseite keine personenbezogenen Daten unrechtmäßig gespeichert. Die von Ihnen bekannt gegebenen Daten werden nach den Bestimmungen des Datenschutzgesetzes sowie der Datenschutzgrundverordnung in der jeweils gültigen Fassung streng vertraulich behandelt. Ihre persönlichen Daten werden ohne Zustimmung nicht weitergegeben, es kann jedoch nicht ausgeschlossen werden, dass diese Daten beim Vorliegen von rechtswidrigem Verhalten eingesehen werden.

Wenn Sie persönliche Daten per E-Mail schicken – somit abseits dieser Webseite – kann keine sichere Übertragung und der Schutz Ihrer Daten garantiert werden. Es wird empfohlen, vertrauliche Daten niemals unverschlüsselt per E-Mail zu übermitteln.

Ihre Rechte

Ihnen stehen bezüglich Ihrer auf dieser Webseite gespeicherten Daten grundsätzlich die Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerruf und Widerspruch zu. Wenn Sie glauben, dass die Verarbeitung Ihrer Daten gegen das Datenschutzrecht verstößt oder Ihre datenschutzrechtlichen Ansprüche sonst in einer Weise verletzt worden sind, können Sie sich beim Betreiber dieser Webseite oder der Datenschutzbehörde beschweren.

Sie erreichen den Betreiber dieser Webseite unter folgenden Kontaktdaten:

Mag. Petra Darilion, MBA
Rechtsanwältin
Lerchengasse 28-30/5, 1080 Wien

recht@petradarilion.at
+43-664 137 30 90

Angaben gemäss § 5 E-Commerce-Gesetz und Offenlegung gemäß § 25 MedienG

Mag. Petra Darilion, MBA
Rechtsanwältin
Lerchengasse 28-30/5, 1080 Wien

recht@petradarilion.at
+43-664 137 30 90

UID: ATU657 98 078
R118750

Aufsichtsbehörde ist die Rechtsanwaltskammer Wien.
Als berufsrechtliche Vorschriften kommen die RAO (Rechtsanwaltsordnung)
sowie die RL-BA (Richtlinien für die Ausübung des Rechtsanwaltsberufes
in ihrer jeweils geltenden Fassung zur Anwendung.

Für den Inhalt verantwortlich:
Mag. Petra Darilion, MBA

Haftungsausschluss
Die Informationen und Beiträge auf der Webseite von Petra Darilion wurden sorgfältig ausgearbeitet und dienen der Information für rechtlich interessierte Personen zu aktuellen rechtlichen Themen und gerichtlichen Entscheidungen. Sie sind keine Rechtsauskunft und ersetzen nicht individuelle Rechtsberatung. Petra Darilion übernimmt keine Haftung für die Richtigkeit, Aktualität und Fehlerfreiheit der Informationen. Weiters übernimmt Petra Darilion keine Haftung für Links zu Webseiten, die von Dritten betrieben werden.

Portraitfotografie: Kevin David Floyd Fotostudio Floyd
Bilder und Illustrationen: Shutterstock.com