KI-Kompetenz nach der KI-Verordnung

Neue Pflich­ten für Unternehmen

Die KI-Verordnung (EU) 2024/1689 (KI-VO) ist seit dem 1. August 2024 in Kraft (wir berich­te­ten). Ziel der KI-VO ist es, einen siche­ren und trans­pa­ren­ten Ein­satz von KI-Systemen in der EU zu gewähr­leis­ten. Damit ver­bun­den sind neue Pflich­ten für Unter­neh­men und öffent­li­che Stel­len, die KI anbie­ten, betrei­ben, ein­füh­ren, ver­trei­ben oder nut­zen. Alle Anfor­de­run­gen der KI-VO müs­sen bis spä­tes­tens zum 2. August 2026 umge­setzt wer­den. Eini­ge Pflich­ten gel­ten bereits ab dem 2. Febru­ar 2025. Eine die­ser Pflich­ten ist die Pflicht zur Sicher­stel­lung von KI-Kompetenz im Unternehmen.

KI-Kompetenz nach Art. 4 KI-VO

Nach Art. 4 KI-VO müs­sen Anbie­ter und Betrei­ber von KI-Systemen jeg­li­cher Art Maß­nah­men ergrei­fen, um nach bes­ten Kräf­ten sicher­zu­stel­len, dass ihr Per­so­nal und ande­re Per­so­nen, die in ihrem Auf­trag mit dem Betrieb und der Nut­zung von KI-Systemen befasst sind, über eine aus­rei­chen­de KI-Kompetenz ver­fü­gen. Die­se Pflicht betrifft sowohl Anbie­ter als auch Betrei­ber von KI-Systemen. Impor­teu­re und Händ­ler sind dem Wort­laut nach nicht betroffen.

Unter KI-Kompetenz ver­steht die KI-Verordnung die Fähig­kei­ten, die Kennt­nis­se und das Ver­ständ­nis, die es Anbie­tern, Betrei­bern und Betrof­fe­nen unter Berück­sich­ti­gung ihrer jewei­li­gen Rech­te und Pflich­ten ermög­li­chen, KI-Systeme sach­kun­dig ein­zu­set­zen sowie sich der Chan­cen und Risi­ken von KI und mög­li­cher Schä­den, die sie ver­ur­sa­chen kann, bewusst zu wer­den (Art. 3 Nr. 56 KI-VO).  Ziel der KI-Kompetenz ist es, den größt­mög­li­chen Nut­zen aus KI-Systemen zu zie­hen und gleich­zei­tig Grund­rech­te, Gesund­heit und Sicher­heit zu wah­ren und eine demo­kra­ti­sche Kon­trol­le zu ermög­li­chen (ErwG. 20 KI-VO).

Umset­zung in der Praxis

Die Her­aus­for­de­rung in der Pra­xis besteht dar­in, zu bestim­men, was kon­kret im Rah­men der KI-Kompetenz geschul­det ist. Die KI-Verordnung gibt hier­zu kei­nen Maß­nah­men­ka­ta­log vor. Aus der Defi­ni­ti­on lässt sich jedoch ablei­ten, dass sowohl tech­ni­sches Wis­sen, wie z. B. Grund­kennt­nis­se über KI-Systeme und deren Funk­ti­ons­wei­se, als auch ein Bewusst­sein für die Chan­cen und Risi­ken von KI sowie ein sozia­les, ethi­sches und recht­li­ches Ver­ständ­nis unter Berück­sich­ti­gung des Ein­zel­falls sicher­zu­stel­len sind. Bei den sozia­len und ethi­schen Fra­gen sind ins­be­son­de­re die The­men Fair­ness, Trans­pa­renz und Ver­ant­wor­tung beim Ein­satz von KI zu berück­sich­ti­gen. Für die recht­li­chen Infor­ma­tio­nen sind unter ande­rem die Anfor­de­run­gen an den Daten­schutz, das geis­ti­ge Eigen­tum, den Schutz von Geschäfts­ge­heim­nis­sen und die Cyber­si­cher­heit zu erläutern.

KI-Kompetenz kann durch ver­schie­de­ne Maß­nah­men ver­mit­telt wer­den. Als rele­van­te Maß­nah­men sind ins­be­son­de­re die Ent­wick­lung inter­ner Richt­li­ni­en und Stan­dards sowie Schu­lun­gen und Trai­nings zu nen­nen. Auch Zer­ti­fi­zie­rungs­pro­gram­me und die Benen­nung eines KI-Beauftragten kön­nen zur KI-Kompetenz bei­tra­gen. In der Regel ist ein breit gefä­cher­tes Maß­nah­men­pa­ket erfor­der­lich. Ent­spre­chend dem risi­ko­ba­sier­ten Ansatz der KI-VO sind die kon­kre­ten Maß­nah­men zur KI-Kompetenz an den jewei­li­gen Kon­text und das vor­han­de­ne Wis­sen der Nut­zer anzu­pas­sen, so dass die Maß­nah­men in der Pra­xis je nach Nut­zer, Art des KI-Systems und Ein­satz­zweck unter­schied­lich aus­zu­ge­stal­ten sind. Dar­über hin­aus ist zu berück­sich­ti­gen, dass die KI-Kompetenz kon­ti­nu­ier­lich sicher­ge­stellt wer­den muss, so dass die Maß­nah­men sowohl regel­mä­ßig als auch anlass­be­zo­gen im Unter­neh­men durch­ge­führt wer­den soll­ten. Nur so kön­nen die Nut­zer auf dem aktu­el­len Stand gehal­ten wer­den (Fort­bil­dungs­pflicht). Zur Durch­set­zung der Maß­nah­men sind zudem ent­spre­chen­de Kontroll- und Durch­set­zungs­be­fug­nis­se in den inter­nen Richt­li­ni­en festzulegen.