Seit dem 2. Februar gibt es neue Vorgaben für Unternehmen, die KI entwickeln, anbieten oder – Achtung – einfach nur nutzen. Worum es geht und welche Maßnahmen jetzt sinnvoll sind.
Künstliche Intelligenz, aber sicher: Mit diesem Ansinnen wurde im August 2024 das Gesetz der Europäischen Union zum Umgang mit Künstlicher Intelligenz (KI) verabschiedet. Mit dem 2. Februar sind nun die ersten Regeln des KI-Gesetzes (AI Act) in allen Mitgliedsstaaten in Kraft getreten – mit Auswirkungen für alle Unternehmen, die KI entwickeln, anbieten oder sie auch nur nutzen.
Das staatenübergreifende Regelwerk enthält klare Prioritäten und Standards für den Einsatz künstlicher Intelligenz, um Innovationen zu fördern und Missbrauch transparent und nach ethischen Gesichtspunkten einzudämmen. "Der AI Act soll die Sicherheit, Gesundheit und Grundrechte der EU-Bürgerinnen und Bürger wahren und den Einsatz von AI im Einklang mit europäischen Werten sicherstellen", erklärt Patrick Grosmann, Experte für IT-, Datenschutz- und KI-Themen der Kanzlei FPS, der Deutschen Handwerks Zeitung (DHZ). Bis 2026 sollen die Regeln schrittweise eingeführt werden mit diversen Übergangsfristen. Viele Themen müssen dabei noch national beschlossen und organisiert werden. Sicher ist dabei schon jetzt: es wirkt sich auf Unternehmen jeglicher Größe aus, auch auf kleine und mittlere Handwerksbetriebe. Die DHZ hat mit Experten der Frankfurter Kanzlei FPS und des Mittelstand-Digital Zentrums Handwerk über den AI Act gesprochen und was er für Handwerksbetriebe bedeutet.
1. Prüfen, welche KI-Tools eingesetzt werden
"Der AI Act betrifft nicht nur große Tech-Unternehmen, die Entwickler und Anbieter sind, sondern nahezu alle Unternehmen, die KI in irgendeiner Form einsetzen“, betont Jonas Puchelt, Fachanwalt für Informationstechnologierecht bei der Kanzlei FPS in Frankfurt. Denn auch kleinere Handwerksbetriebe nutzen KI. Und viele nutzen Tools, ohne sich der KI-Basis bewusst zu sein – sei es in Buchhaltungssoftware, im CRM, bei Terminplanern oder Chatbots für Kundenanfragen.
Wichtig ist es laut Puchelt jetzt in einem ersten Schritt, alle KI-gestützten Tools im Betrieb zu identifizieren und in einer Liste zu erfassen. Idealerweise ist diese Liste erweitert um die Information, in welchen Abteilungen, welche KI-Werkzeuge zum Einsatz kommen.
Achtung: Auch cloudbasierte Tools mit automatisierten Funktionen können unter die Verordnung fallen. Häufig genutzt sind beispielsweise Online-Lösungen zur Textverbesserung, zum Übersetzen, zur Erstellung von Videos oder zum Transkribieren.
2. Risikoklasse der eingesetzten KI bestimmen
Eine wichtige Maxime des neuen KI-Gesetzes für Betriebe jeder Größe: Je höher das Risiko in der Anwendung, desto höher die Anforderungen bei den Sicherungsmaßnahmen. Das heißt: wer KI selbst entwickelt oder diese für den Bau kritischer Infrastruktur einsetzt, der unterliegt anderen Anforderungen, als ein Marketingmitarbeiter, der eine KI zur Recherche nutzt.
Generell gilt es zwei Dinge zu identifizieren. Welche Rolle hat man als Unternehmen und wie risikobehaftet sind die eingesetzten KI-Lösungen? Bei der Rolle unterscheidet das EU-Recht in verschiedenen Stufen vom Hersteller bis zum Betreiber. In der Regel dürften Handwerksbetriebe unter die Rolle des Betreibers fallen. Wer KI-Tools an seine Unternehmensprozesse anpasst oder an seine Produkte "andockt", der könnte laut Patrick Grosmann allerdings auch in die Kategorie Anbieter fallen – mit entsprechend höheren Pflichten.
Der AI Act teilt KI-Systeme in vier Risikostufen ein:
- Minimales Risiko: KI-gestützte Rechtschreibprogramme oder Musikempfehlungen
- Begrenztes Risiko: Chatbots oder automatisierte Texterstellung
- Hohes Risiko: KI für Kreditwürdigkeitsprüfungen, bei der Herstellung von Produkten (z.B. Luftfahrt) oder Gesichtserkennung
- Verboten: KI für Social Scoring oder manipulative Technologien
Tipp: Handwerksbetriebe können für eine erste Einordnungshilfe die offizielle Website nutzen, den EU AI Act Compliance Checker
3. Datenschutz beachten und Mitarbeiter schulen
Da KI oft personenbezogene Daten verarbeitet (z. B. Kundeninformationen oder Mitarbeiterdaten), gelten auch hier die Datenschutzregeln der DSGVO. Entsprechend solle sichergestellt werden, dass die KI-Systeme keine unnötigen personenbezogenen Daten speichern oder weitergeben. Des Weiteren schreibt das neue Gesetz vor, dass Mitarbeitende ausreichend über die Funktionsweise der eingesetzten Tools, deren potenzielle Risiken sowie die sicheren Einsatzmöglichkeiten informiert und geschult sind. Laut der KI-Verordnung müssen Mitarbeiter über ein "ausreichendes Maß an KI‑Kompetenz" verfügen. Eine konkrete Regelung, wie dieses Niveau zu erreichen ist und wann es als erfüllt gilt, enthält die Verordnung nicht. Das liegt im Ermessen der Betriebe.
Um sich als Unternehmen generell abzusichern empfehlen die Rechtsexperten von FPS den Einsatz von KI im Unternehmen nur nach entsprechender Genehmigung und Schulung des jeweiligen Mitarbeitenden zuzulassen. "Der Vorteil dieser Methode: Nutzt ein Mitarbeitender entgegen dieser Anweisung AI-Systeme im beruflichen Kontext, kann dem Unternehmen kein Versäumnis von Pflichten aus dem AI Act vorgeworfen werden", erklärt Patrick Grosmann.
Robert Falkenstein sieht das Thema Schulungen hingegen pragmatisch. Er ist Dozent bei der Handwerkskammer Oberfranken zu den Themen Robotik, ERP oder Digitales Handwerk: "Aus meiner Sicht ist es nicht nötig, dass Betriebe eigene Schulungen aufsetzen. Das kann sich aber natürlich noch ändern, wenn die konkreten Nachweispflichten bekannt sind", sagt der Projektmitarbeiter des Mittelstand-Digital Zentrums Handwerk. Er sieht zwei Bereiche, die für die meisten Betriebe relevant sind.
- Bei der Verwendung von Online-Tools wie ChatGPT: "Hier kann man auf öffentlich geförderte und zumeist kostenfreie Schulungen zurückgreifen, zum Beispiel von Handwerkskammern oder Mittelstand-Digital Zentren. Das sollte wie damals bei der Einführung der DSGVO ausreichend sein", so Falkenstein.
- Beim Einsatz gekaufter KI-Software: "Ein Beispiel für eine solche Lösung wäre BäckerAI (jetzt Aiperia). Bei solchen Anwendungen sollte die Produktschulung ausreichen." Darüber hinaus empfiehlt es sich, den Software-Anbieter abzufragen, ob sich dieser an die neuen EU-Verordnungen hält.
Tipp: Handwerksbetriebe sollten die Liste mit der Übersicht zu den eingesetzten KI-Systemen erweitern und dokumentieren, welche Mitarbeiter an welcher Schulung teilgenommen haben.
Bußgelder, Strafen & Co: Was sollten Unternehmen beachten und vermeiden?
Auch wenn aktuell noch viele Dinge rechtlich nicht klar definiert sind, Experten, wie die der Kanzlei FPS, empfehlen sich frühzeitig mit dem Thema zu beschäftigen statt die vorhandenen Übergangsfristen auszureizen. "Aus unserer Sicht birgt vor allem die ungeregelte Nutzung von AI im Unternehmen erhebliche rechtliche Risiken. Man sollte also nicht "den Kopf in den Sand stecken", betont Jonas Puchelt. Seiner Erfahrung nach sind vor allem die unrichtige Einstufung der eigenen Rolle in der AI-Wertschöpfungskette und die falsche Risikoklassifizierung des eingesetzten AI-Systems Fallstricke für Unternehmen. "Denn infolgedessen werden die Pflichten des AI Acts unzureichend umgesetzt und Sanktionen drohen."
Konsequenzen variieren je nach Schwere des Verstoßes wie auch der Größe des Unternehmens und reichen von empfindlichen Geldbußen bis zur Untersagung der KI-Nutzung. Auch hier gilt: Entwickler müssen mit deutlich schwerwiegenderen Sanktionen rechnen, als dies künftig bei Betreibern der Fall sein wird.
Nicht nur die Nachweispflichten sind noch nicht konkret, auch welche Behörde am Ende in Deutschland zuständig sein wird, ist noch offen. Die Staaten haben bis August Zeit, eine Aufsichtsbehörde zu benennen. Laut eines aktuellen Referentenentwurfs soll die Bundesnetzagentur die zentrale Rolle bei der Umsetzung der KI-Verordnung in Deutschland übernehmen. Auf Anfrage der DHZ erklärt die Behörde, dass sie sich derzeit proaktiv auf ihre Rolle vorbereite. Dazu zählt die Bundesnetzagentur: Strukturen aufbauen, fachliche Analysen durchführen und relevante Informationen aufbereiten. Wann die gesetzliche Ernennung der Behörde stattfindet, ist noch unklar.
Social Scoring: Verbotene KI-Praktik zum Start des AI Acts
So könnte durch die Bundesnetzagentur in naher Zukunft Klarheit in viele für Unternehmen und Handwerksbetriebe relevante Themen kommen. Gewisse Themenfelder sind aber seit dem 2. Februar staatenübergreifend bereits klar geregelt. Denn seitdem gelten die Verbote des AI Acts für Praktiken im KI-Bereich, die die EU als besonders gefährlich für Grundrechte einstuft. Das gilt für manipulative Systeme oder für KI-Programme, die Social Scoring vornehmen. Beim Social Scoring werden KI-Systeme eingesetzt, um Menschen in Verhaltenskategorien einzuordnen, zu belohnen oder zu bestrafen.