Neue EU-Regeln für KI: "Höchste Eisenbahn" für Unternehmen

Für Unternehmen sei es "höchste Eisenbahn", sagen Alexandra Ciarnau und Axel Anderl  von der Wiener Anwaltskanzlei Dorda. Die erste Welle an Vorschriften werde bereits um den Jahreswechsel schlagend.

Firmen sollten überprüfen, welche KI-Anwendungen sie haben und ob sie unter die Regulierung fallen. Im Falle des Einsatzes "verbotener" KI gilt das Regelwerk noch heuer bzw. Anfang nächsten Jahres. 

Setzen Unternehmen KI ein, müssen sie auch einen KI-Verantwortlichen benennen und sicherstellen, dass entsprechendes Know-how im Betrieb vorhanden ist. "Da gibt es jetzt schon Verknappung", sagt Anderl.  Auch Unternehmen, die KI-Projekte planen, sollten den europäischen Rechtsrahmen bereits berücksichtigen. 

Kennzeichnung von KI-Inhalten

Unternehmen sollten sich überlegen, wer mit den KI-Tools zu tun hat und welche Risiken sie auf Mitarbeiter, Kunden oder außenstehende Dritte haben, sagt Ciarnau. 

Eine verbotene Anwendung wäre etwa die Emotionserkennung am Arbeitsplatz, wenn etwa in Callcentern anhand von biometrischen Daten die Gefühlszustände der Mitarbeiter bei Telefonaten mit Kunden analysiert werden. 

Als "hochriskant" gelten etwa der Einsatz von KI in der Bildung oder beim Personalmanagement oder die automatisierte Kreditvergabe abseits der bloßen Aufdeckung von Finanzbetrug. Solche Anwendungen sind mit zusätzlichen Pflichten etwa Risiko- und Folgenabschätzungen verbunden. 

Die meisten Anwendungen bei heimischen Betrieben dürften eher am unteren Ende des risikobasierten Ansatzes der EU zu finden seien, so die Expertin. Dabei müssten hauptsächlich Transparenzvorschriften beachtet werden. Das bedeutet, dass etwa KI-generierte Inhalte gekennzeichnet oder Nutzer darüber aufgeklärt werden müssen, dass sie mit Künstlicher Intelligenz interagieren. 

Hohe Strafen

Das größte Risiko für Unternehmen liege in der möglichen Verhängung von Geldbußen, sagt Anderl. Bei Verstößen gegen Bestimmungen bei verbotenen KI-Systemen können diese bis zu 35 Mio. Euro oder 7 Prozent des Jahresumsatzes betragen. Bei niedrigeren Risikostufen könnten immerhin noch 15 Mio. Euro oder 3 Prozent des Jahresumsatzes anfallen. 

Parallel dazu können, wenn personenbezogene Daten betroffen sind, auch Verstöße nach der Datenschutzgrundverordnung (DSGVO) greifen, sagt Anderl. 

Unternehmen rechtlich für Einsatz verantwortlich

Firmen, die KI-Systeme von Dritten beziehen, also etwa Systeme wie ChatGPT oder Googles Gemini einsetzen, seien auch rechtlich für sie verantwortlich. Sie müssten verstehen, welche Risiken damit verbunden sind und mit entsprechenden organisatorischen Maßnahmen gegensteuern, sagt Ciarnau. 

Im Falle von Schäden, etwa bei Urheberrechtsverstößen, haben die Firmen zwar gegenüber den Herstellern Regressansprüche. Die seien aber gegenüber Unternehmen aus den USA oder China oft nur schwer durchsetzbar, sagt Anderl. Bei europäischen Herstellern sei das Verständnis für die Regulatorik ausgeprägter und auch die Durchsetzung einfacher."

Die Anbieter von KI-Systemen selbst müssen, um dem europäischen Regelwerk zu entsprechen, grundlegende Funktionsweisen ihrer Modelle offenlegen oder Auskunft darüber geben, mit welchen Daten sie trainiert wurden. Was dabei ausreichend sei, werde sich erst zeigen und werde wohl von Gerichtsentscheidungen abhängen, meint Anderl: "Die Musik wird sich, ähnlich wie im Datenschutzbereich, im Detail abspielen."