Dieser rechtliche Rahmen gilt für KI-Systeme in Österreich

Von Heidi Wedel
KURIER: Welche gesetzlichen Grundlagen gelten derzeit in Österreich für den Einsatz und Betrieb von KI-Systemen?
Philipp Leitner: Der AI-Act, eine europäische Verordnung, ist am 1. August 2024 in Kraft getreten und wird nunmehr gestaffelt umgesetzt. Er regelt den Einsatz von KI-Systemen je nach Risiko und verbietet besonders grundrechtsinvasive Praktiken. Er gilt in allen EU-Mitgliedstaaten. Ergänzend greifen bestehende Rechtsnormen wie die DSGVO.
Wie funktioniert der AI-Act?
Er unterscheidet vier Risiko-Stufen von KI-Systemen: minimal, begrenzt, hoch und unannehmbar. Je höher das Risiko für die Grundrechte, desto strenger sind die Regeln – ganz verboten sind etwa KI-Systeme, die Menschen manipulieren oder schädigen sollen. Zusätzlich wird unterschieden in KI-Modelle und KI-Systeme. Entscheidend ist hier nicht nur die Technik selbst, sondern auch, wie und wofür man sie einsetzt.
Welche Voraussetzungen müssen erfüllt werden, damit Unternehmen mit Sitz außerhalb der EU ihre Dienste in Österreich anbieten und betreiben dürfen?
Auch diese Unternehmen müssen sich an europäische Vorgaben halten. Sie müssen insbesondere klar angeben, wofür und auf welcher Rechtsgrundlage sie personenbezogene Daten verarbeiten – oft erfolgt das über eine Einwilligung.
Problematisch ist, dass diese Einwilligung zwar theoretisch jederzeit widerrufen werden kann, die einmal zum Training verwendeten Daten aber in der Praxis nicht mehr aus einem KI-Modell entfernt werden können. Das erschwert den wirksamen Schutz von Datenschutzrechten wie dem Recht auf Löschung erheblich.

Rechtsanwalt Philipp Leitner kennt die rechtlichen Grundlagen bei der KI-Nutzung bestens.
Was gilt rechtlich, wenn Minderjährige in Österreich mit KI-Chatbots interagieren?
Aus datenschutzrechtlicher Sicht dürfen Anbieter personenbezogene Daten nur verarbeiten, wenn eine rechtmäßige Grundlage vorliegt – meist ist das die Einwilligung der betroffenen Person. In Österreich darf man diese Einwilligung erst ab dem 14. Geburtstag selbst geben, darunter braucht es die Zustimmung der Erziehungsberechtigten.
In der Praxis fehlt aber oft eine Altersverifizierung. Das macht entsprechende Schutzvorgaben in den Nutzungsbedingungen letztlich wenig wirksam.
Wird es künftig striktere Gesetze geben?
Die neue EU‑Produkthaftungsrichtlinie gilt künftig auch für Software und KI und muss bis Dezember 2026 in nationales Recht umgesetzt werden. Zusammen mit dem AI-Act sowie der DSGVO besteht damit ein gutes Fundament. Es wird zudem vorgeschlagen, echte Altersnachweise über digitale Identitäten zu nutzen.
Kommentare