Erste Bestimmungen des EU AI-Gesetzes: Was Sie über KI-Kompetenz wissen müssen

Erste Bestimmungen des EU AI-Gesetzes treten in Kraft: Was Sie über KI-Kompetenz wissen müssen

Am Sonntag, dem 2. Februar, traten die ersten Bestimmungen des EU AI-Gesetzes in Kraft. Unternehmen, die KI-Systeme bereitstellen oder einsetzen, sind nun verpflichtet, sicherzustellen, dass es innerhalb ihrer Organisationen eine KI-Kompetenz gibt, und bestimmte KI-Praktiken sind nun verboten.

Was ist KI-Kompetenz?

Das Gesetz definiert KI-Kompetenz als die Fähigkeiten, Kenntnisse und das Verständnis, die es den Anbietern (d. h. denjenigen, die KI-Systeme auf den Markt bringen oder in Betrieb nehmen), den Anwendern (d. h. denjenigen, die KI-Systeme verwenden) und den betroffenen Personen ermöglichen, eine informierte Bereitstellung von KI-Systemen vorzunehmen. Es sollte ihnen auch ermöglichen, sich über die Chancen und Risiken von KI sowie über mögliche Schäden, die sie verursachen kann, bewusst zu werden.

Artikel 4 des Gesetzes erfordert von Unternehmen, die KI-Systeme bereitstellen oder einsetzen, dass sie Maßnahmen ergreifen, um (nach ihrem besten Wissen) ein ausreichendes Maß an KI-Kompetenz ihrer Mitarbeiter und anderer Personen, die im Auftrag von ihnen mit der Operation und Nutzung von KI-Systemen beschäftigt sind, sicherzustellen. Dabei muss die Organisation deren technisches Wissen, Erfahrung, Ausbildung und Schulung sowie den Kontext, in dem die KI-Systeme eingesetzt werden, berücksichtigen und auch die Personen oder Gruppen von Personen, auf die die KI-Systeme angewendet werden sollen.

Wie können Organisationen KI-Kompetenz sicherstellen?

Eine zentrale Frage für Organisationen ist, was die Anforderungen an die KI-Kompetenz in der Praxis bedeuten (d. h. was sie tun müssen, um konform zu sein)? Die Autoriteit Persoonsgegevens (die „AP“), die niederländische Datenschutzbehörde, die auch für die Regulierung von Algorithmen verantwortlich ist, hat Leitlinien veröffentlicht, die bei der Beantwortung dieser Frage hilfreich sein können. Es ist nicht überraschend, dass die Leitlinien betonen, dass es kein universelles Set von Maßnahmen gibt, die ein angemessenes Maß an KI-Kompetenz gewährleisten. Vielmehr müssen Organisationen bei der Bereitstellung von Schulungen zur KI-Kompetenz die beteiligten Personen und das Risikoniveau des betreffenden KI-Systems berücksichtigen. Auch die Größe und die verfügbaren (finanziellen) Ressourcen der Organisation sind relevante Faktoren.

Die Leitlinien schlagen vor, dass Organisationen einen mehrjährigen Plan zur Förderung der KI-Kompetenz verwenden, der einem vierstufigen Prozess folgt:

• Schritt 1 – Identifizieren. Dies umfasst:
  • eine Bestandsaufnahme aller innerhalb der Organisation verwendeten KI-Systeme. Das GDPR-Verzeichnis der Verarbeitung einer Organisation kann als nützlicher Ausgangspunkt dienen;
  • die Dokumentation der beteiligten Personen und Rollen sowie Informationen über deren KI-Wissen und Fähigkeiten.
• Schritt 2 – Ziele festlegen. Organisationen sollten Ziele und Prioritäten für die KI-Kompetenz basierend auf den relevanten Risikostufen setzen. Nicht jeder Mitarbeiter muss die gleichen Informationen über ein bestimmtes KI-System wissen, aber diejenigen, die mit diesem System arbeiten, benötigen ausreichendes Wissen und Fähigkeiten, um die Risiken zu erkennen und zu verstehen, wie das KI-System funktioniert. Andere Mitarbeiter müssen dieses Detailniveau nicht erreichen, sollten jedoch dennoch darüber informiert sein, dass KI-Systeme verwendet werden (und warum sie verwendet werden).
• Schritt 3 – Umsetzen. Nachdem die Ziele festgelegt wurden, ist es wichtig, dass diese durch geeignete Strategien und Maßnahmen umgesetzt werden. KI-Kompetenz sollte auf allen Ebenen der Organisation hohe Priorität haben, und Entwicklungen sollten überwacht werden. Beispielsweise könnte eine Organisation ein Dokument „Wie gehen wir mit KI um“ erstellen, um das Bewusstsein für KI-Kompetenz zu schärfen. Organisationen (insbesondere größere) möchten möglicherweise auch Verantwortlichkeiten für die KI-Kompetenz in konkreten Rollen definieren (z. B. durch die Ernennung eines KI-Beauftragten).
• Schritt 4 – Evaluieren. Die regelmäßige Analyse, ob die Ziele erreicht werden, ermöglicht es Organisationen, neue Ziele und Maßnahmen (falls erforderlich) zur Verbesserung der KI-Kompetenz festzulegen und sicherzustellen, dass der erforderliche Standard aufrechterhalten wird. Beispielsweise kann eine Organisation durch die Durchführung einer jährlichen Umfrage unter den Mitarbeitern feststellen, ob die getroffenen Maßnahmen die gewünschten Ergebnisse liefern.

Kommentar

Wie die Leitlinien besagen, ist „KI-Kompetenz kein Endziel, sondern ein kontinuierlicher Prozess“, und es wird wichtig sein, dass Organisationen ihre Maßnahmen zur KI-Kompetenz kontinuierlich bewerten und aktualisieren. Dies ist besonders wichtig angesichts des schnellen technologischen Wandels in diesem Bereich, der neue Chancen und Risiken für Organisationen schaffen kann.

Es wird auch interessant sein zu beobachten, ob weitere Regulierungsbehörden der Mitgliedstaaten Leitlinien zur Einhaltung der Kompetenzverpflichtungen bereitstellen, und die Organisationen sollten dies in wichtigen Rechtsordnungen überwachen.

Was kommt als Nächstes?

In Bezug auf das KI-Gesetz gelten zwar diese Bestimmungen nun, die Mehrheit des Gesetzes wird jedoch erst im August 2026 in Kraft treten, wobei einige Bestimmungen sogar nach diesem Datum in Kraft treten. Allerdings gelten die Bestimmungen zu allgemeinen KI-Systemen ab diesem Sommer (ab dem 2. August 2025 – vorbehaltlich einiger Ausnahmen), und verschiedene andere Verhaltensregeln und Vorlagen werden finalisiert.

Für einen detaillierteren Überblick über das EU AI-Gesetz, die anderen Umsetzungsfristen und praktische Schritte, die Unternehmen unternehmen sollten, um die Vorschriften einzuhalten, siehe die umfassende Aufklärung.