Drücke „Enter”, um zum Inhalt zu springen.
Hinweis zu diesem Datenschutz-Blog:
Anscheinend verwenden Sie einen Werbeblocker wie uBlock Origin oder Ghostery, oder einen Browser, der bestimmte Dienste blockiert.
Leider wird dadurch auch der Dienst von VG Wort blockiert. Online-Autoren haben einen gesetzlichen Anspruch auf eine Vergütung, wenn ihre Beiträge oft genug aufgerufen wurden. Um dies zu messen, muss vom Autor ein Dienst der VG Wort eingebunden werden. Ohne diesen Dienst geht der gesetzliche Anspruch für den Autor verloren.

Ich wäre Ihnen sehr verbunden, wenn Sie sich bei der VG Wort darüber beschweren, dass deren Dienst anscheinend so ausgeprägt ist, dass er von manchen als blockierungswürdig eingestuft wird. Dies führt ggf. dazu, dass ich Beiträge kostenpflichtig gestalten muss.

Durch Klick auf folgenden Button wird eine Mailvorlage geladen, die Sie inhaltlich gerne anpassen und an die VG Wort abschicken können.

Nachricht an VG WortMailtext anzeigen

Betreff: Datenschutzprobleme mit dem VG Wort Dienst(METIS)
Guten Tag,

als Besucher des Datenschutz-Blogs Dr. DSGVO ist mir aufgefallen, dass der VG Wort Dienst durch datenschutzfreundliche Browser (Brave, Mullvad...) sowie Werbeblocker (uBlock, Ghostery...) blockiert wird.
Damit gehen dem Autor der Online-Texte Einnahmen verloren, die ihm aber gesetzlich zustehen.

Bitte beheben Sie dieses Problem!

Diese Nachricht wurde von mir persönlich abgeschickt und lediglich aus einer Vorlage generiert.
Wenn der Klick auf den Button keine Mail öffnet, schreiben Sie bitte eine Mail an info@vgwort.de und weisen darauf hin, dass der VG Wort Dienst von datenschutzfreundlichen Browser blockiert wird und dass Online Autoren daher die gesetzlich garantierten Einnahmen verloren gehen.
Vielen Dank,

Ihr Klaus Meffert - Dr. DSGVO Datenschutz-Blog.

PS: Wenn Sie meine Beiträge oder meinen Online Website-Check gut finden, freue ich mich auch über Ihre Spende.
Ausprobieren Online Webseiten-Check sofort das Ergebnis sehen
Externe Links sind mit dem Symbol Externer Link Symbol gekennzeichnet. Datenschutzinfo

Die KI-Verordnung der EU: Pflichten für Unternehmen

Deutsche Version (Original)
English Español Italiano Français Nederlands Dansk Svenska Polski Українська
Veröffentlicht am 20. Januar 2025 von Dr. DSGVO · Zuletzt aktualisiert am 12. Januar 2026 · Lesezeit: 8 Minuten
0
Dr. DSGVO Newsletter erkannt: Erweiterte Funktionen verfügbar
Artikel als PDF · Mehr Inhalte & kompakte Kernaussagen · Webseiten-Checks · Offline-KI Live
Standardansicht: Dr. DSGVO Newsletter nicht erkannt. Erweiterte Funktionen nur für Abonnenten:
Artikel als PDF · Mehr Inhalte & kompakte Kernaussagen · Webseiten-Checks · Offline-KI Live
📄 Artikel als PDF
📄 Artikel als PDF (nur für Newsletter-Abonnenten)
🔒 Premium-Funktion
Der aktuelle Beitrag kann in PDF-Form angesehen und heruntergeladen werden

📊 Download freischalten
Der Download ist nur für Abonnenten des Dr. DSGVO-Newsletters möglich

Kategorien: Datenschutz und Künstliche Intelligenz

Ab dem 02. Februar 2025 müssen deutsche Unternehmen die allgemeinen Vorschriften und Verbote aus dem AI Act einhalten, wenn sie KI-Systeme wie ChatGPT, Copilot oder den KI-Spam-Filter von Outlook einsetzen. Dazu gehören ein Nachweis der KI-Kompetenz und eine Risikobewertung der eingesetzten KI. Ein Überblick mit Empfehlungen.

Einleitung

Deutsche Unternehmen müssen ab dem 02. Februar 2025 etwas tun, wenn sie KI einsetzen:

In Artikel 113 der KI-Verordnung ist geregelt, dass einige Vorschriften dieser Verordnung ab dem 02. Februar 2025 anzuwenden sind. Die KI-Verordnung wird mit KI-VO abgekürzt und im Englischen mit AI Act bezeichnet.

Die Artikel 1 bis 4 KI-VO bilden das erste Kapitel. Darin sind allgemeine Vorschriften festgelegt.

Der Artikel 5 KI-VO bildet das Kapitel II und enthält Verbote.

Ab dem 02.02.2025 müssen deutsche Unternehmen also allgemeine Vorschriften und Verbote einhalten, wenn in den Unternehmen KI-Systeme eingesetzt werden. Bereits die Nutzung von ChatGPT, Copilot oder KI-Systemen anderer Anbieter ist dabei eine im Sinne der KI-VO relevante Nutzung.

Gemäß Art. 113 lit. a KI-VO sind die allgemeinen Vorschriften (Artikel 1 bis 4) und die Verbote (Artikel 5) der KI-VO ab dem 2. Februar 2025 anwendbar.

Wann gelten die Pflichten?

Ab dem 02.08.2025 treten weitere Vorschriften aus der KI-VO in Kraft, die insbesondere KI-Modelle mit allgemeinem Verwendungszweck betreffen. Letzteres sind etwa bekannte KI-Systeme wie ChatGPT, Microsoft Copilot oder die KI-Modelle von Mistral.

Nimmt man den Erwägungsgrund 12 der KI-Verordnung als Maßstab hinzu, sind auch Software-Systeme, die KI benutzen, als KI-Systeme anzusehen. Beispiele hierfür sind Suchmaschinen, die Empfehlungen auf Basis von KI erzeugen oder auch KI-basierte Spam-Filter. Was Spam-Filter angeht, dürfte der Schulungsaufwand gering ausfallen; eine Unterweisung der Mitarbeiter sollte aber mindestens stattfinden. Große Suchmaschinen wiederum sind laut ErwGr 118 KI-VO über eine andere Verordnung erfasst, nämlich die Verordnung über digitale Dienste.

Welche Pflichten gelten ab dem 02.02.2025?

Die Pflichten ergeben sich aus den Artikeln 4 und 5 KI-VO. In Artikel 3 sind wichtige Begriffsdefinitionen genannt. Die ersten beiden Artikel enthalten Angaben zum Geltungsbereich und Gegenstand der Verordnung.

Nachweis der KI-Kompetenz

Der Art. 4 KI-VO thematisiert ausschließlich den Nachweis der KI-Kompetenz. Das bedeutet, dass jedes Unternehmen, deren Mitarbeiter mit KI-Systemen arbeiten sollen, diesen Nachweis zu erbringen hat.

Mitarbeiter müssen dementsprechend vom Unternehmen instruiert werden. Dazu gehört auch eine Schulung. Wie ein Unternehmen den Nachweis der KI-Kompetenz erbringt, ist nicht vorgeschrieben. Insofern gibt es gute Möglichkeiten, dies sinnvoll und effizient zu tun.

Ein Beispiel für den Nachweis der KI-Kompetenz ist auf Dr. DSGVO genannt. Der Nachweis besteht aus:

  • Technische Kompetenz
  • Fachliche Kompetenz

Die technische Kompetenz sollte mindestens dann vorhanden sein und plausibel gemacht werden, wenn KI-Systeme angeboten werden oder eine KI-Programmierung stattfindet. Letztere kann etwa bereits durch Nutzung einer Programmierschnittstelle (API) gegeben sein, wie sie etwa ChatGPT anbietet.

Einstufung der genutzten KI-Systeme

Der Art. 5 KI-VO enthält zahlreiche Verbote, also Zwecke, zu denen KI-Systeme eingesetzt bzw. nicht eingesetzt werden dürfen. Beispielsweise ist die unterschwellige Beeinflussung von Personen durch KI verboten. Auch die Bewertung oder Einstufung von natürlichen Personen oder Gruppen von Personen über einen bestimmten Zeitraum auf der Grundlage ihres sozialen Verhaltens ist verboten. Der Artikel 5 enthält zahlreiche weitere Verbote.

Um die verbotenen Zwecke für ein genutztes KI-System ausschließen zu können, muss das KI-System untersucht und beschrieben werden. Daran anschließend, kann dann eine Einstufung und Prüfung gegen die Vorschriften aus der KI-VO erfolgen.

Ebenfalls kann im Zuge dessen geklärt werden, ob ein Unternehmen nur Betreiberin eines KI-Systems ist oder gar Anbieterin. Anbieter von KI-Systemen müssen weit mehr Pflichten erfüllen als Betreiber.

Empfehlungen

Bereits aus eigenem Interesse sollten Unternehmen ihre Mitarbeiter in die Arbeit mit KI-Systemen einweisen und Anweisungen erteilen. Auf welche Art und Weise Unternehmen vorgehen, ist ihnen selbst überlassen.

Eine Einweisung ist eine Unterrichtung der Mitarbeiter. Sie kann schriftlich oder in Form einer persönlichen oder digitalen Schulung erfolgen. Die Einweisung dient dazu, Mitarbeiter zu befähigen. Letztendlich ist KI für Unternehmen Mittel zum Zweck. Insofern sollte sichergestellt werden, dass KI-Systeme für das Unternehmen einen Nutzen hervorbringen.

Eine Anweisung hingegen ist eher eine regulatorische Maßnahme. Sie dient dazu, Mitarbeiter bei der Arbeit mit KI-Systemen in geordnete Bahnen zu lenken. Denn nicht jede Verwendung von KI ist gewünscht oder sinnvoll.

Für eine Einweisung empfehlen sich allgemeine Informationen, die mit zielgerichteten Informationen angereichert werden. Konkret heißt das:

  • Schulung von Mitarbeitern vor Ort, entweder in Ihrem Haus oder in einem Schulungszentrum
  • Eine Erstschulung kann zusätzlich online erfolgen, etwa in Form eines Webinars
  • Erstellung einer Anleitung, die Teil einer KI-Organisationsanweisung sein kann. Die Anleitung dient der Unterstützung der Mitarbeiter. Sie kann auch lebendig sein, also regelmäßig aktualisiert werden. Dementsprechend sollte über den Einsatz eines Online-Angebots nachgedacht werden.

Die Anweisung für die Arbeit von Mitarbeitern mit KI im Unternehmen enthält insbesondere:

  • Vorgaben für die erlaubte berufliche Nutzung von KI
  • Vorgaben für die unerlaubte berufliche Nutzung von KI
  • Ansprechpartner (etwa den Datenschutzbeauftragten)
  • Auch die Anweisung kann Teil einer KI-Organisationsanweisung sein

Eine KI-Organisationsanweisung als Gesamtdokument enthält also

  • Informationen für die Einweisung der Mitarbeiter und
  • Informationen für die Anweisung der Mitarbeiter.

Arten der KI-Nutzung

KI-Systeme können für unterschiedliche Aufgaben genutzt werden. Weiterhin gibt es unterschiedliche KI-Systeme, etwa verschiedene Arten von KI-Modellen. Am bekanntesten sind Sprachmodelle („Chatbots“). Daneben existieren auch Bildgeneratoren, Videogeneratoren, Audiomodelle usw.

Unternehmen sollten festlegen, für welche Zwecke die Mitarbeiter welches KI-System nutzen dürfen.

Insbesondere ist es wichtig zu verstehen, dass alle mit KI generierten Ergebnisse vor Weiterverwendung geprüft werden müssen. Denn nicht das KI-System, sondern der Verwender der KI-Ergebnisse haftet (zunächst und oft auch final) für die KI-Ergebnisse.

KI-Ausgaben können die Urheberrechte von Dritten verletzten. Dies gilt sowohl für Bilder als auch für jede andere Art von Medium, wie etwa Texte oder Audiodateien. Daher sollten mit KI generierte Bilder nicht einfach beliebig von Mitarbeitern verwendet werden dürfen. Regeln Sie dies in Ihrer KI-Organisationsanweisung!

Weiterhin genießen die mit KI generierten Inhalte nach aktuellem Stand keinen Urheberrechtsschutz. KI kann also kein Urheber sein. Wenn Sie ein tolles Logo oder einen tollen Text mit KI erstellt haben, dann sorgen Sie dafür, dass das betreffende Bild oder der Text manuell nachbearbeitet werden. Nur so können Sie sich später auf Ihre Urheberschaft berufen und andere davon abhalten, „Ihr“ Werk ohne Ihr Einverständnis weiterzuverwenden.

Datenschutz und Datensicherheit

KI-Systeme verarbeiten mehr Daten als alle anderen Arten von gebräuchlichen IT-Systemen.

Deswegen ist es wichtig, dass der Anbieter das Vertrauen des KI-Nutzers (Ihr Unternehmen?) genießt. Zum Anbieter gehört auch das Land der Hauptsitzes. Bekannterweise gelten in den USA zahlreiche Geheimdienstgesetze, die das Ausspionieren von Ausländern, aber auch von Inländern erlauben. Zu nennen sind insbesondere der Cloud Act, die Präsidialverordnungen 12333 und 14086 und FISA Sektion 702.

Personenbezogene Daten können automatisiert NICHT zuverlässig anonymisiert oder pseudonymisiert werden.

"Lösungs"-Anbieter, die dies behaupten, können widerlegt werden (Beispiel).

Zu den sensiblen Daten in Unternehmen gehören insbesondere:

  • Geschäftsgeheimnisse: Unternehmen können hiermit machen, was sie wollen. Ob es sinnvoll ist, Geheimnisse durch Weitergabe zu entwerten, ist jedes Unternehmens eigene Entscheidung.
  • Vertrauliche Daten: Diese Daten wurden subjektiv als vertraulich deklariert, etwa über eine Geheimhaltungsvereinbarung (NDA). Der Vertragspartner wird rechtliche Schritte geltend machen können, wenn dessen Daten an Dritte (ChatGPT?) weitergegeben werden.
  • Personenbezogene Daten: Sofern eine nicht über Art. 6 (1) DSGVO legitimierte Datenverarbeitung vorliegt, können betroffene Personen rechtliche Schritte einleiten.

Für personenbezogene Daten sind zudem Informationspflichten gemäß Art. 12 DSGVO zu erfüllen. Es sollte also bekannt sein, was genau in einem genutzten KI-System passiert. Das geht am besten, wenn das KI-System selbst betrieben wird.

Nachweis der KI-Kompetenz

Der Nachweis sollte in einer Form erbracht werden, der der Form der betriebenen oder angebotenen KI gerecht wird.

Wird eine KI auf einer Webseite angeboten, sollte der Nachweis ebenda, also auf der Webseite, erfolgen.

Wird der Zugang zu einem Chatbot den Mitarbeitern über das Intranet bereitgestellt, dann sollte dort oder zusätzlich über einen Rundbrief informiert werden.

Der Inhalt des Nachweises demonstriert die KI-Kompetenz des Unternehmens bzw. von dessen Mitarbeitern. Es geht darum, die Kompetenz plausibel zu machen. Ein AI Officer ist jedenfalls nicht vorgeschrieben. Eine Person zu haben, die sich bei Unternehmen ab einer gewissen Größe dem wichtigen Thema KI widmet, ist sicher nicht verkehrt.

Risikobewertung von KI-Systemen

Für jedes KI-System und jedes KI-Tool, das in Ihrem Unternehmen eingesetzt wird, sollte eine Risikobewertung durchgeführt werden.

Je allgemeiner ein eingesetztes KI-Werkzeug ist, desto schwieriger wird eine Risikobewertung. Bekanntlich können mit ChatGPT (mit etwas Mühe beim Prompting) auch Anleitungen zum Bau von Bomben erstellt werden. Andererseits stellt sich die Frage, was der Sinn eines KI-Systems ohne konkreten Zweck für Ihr Unternehmen ist. Aus diesen beiden Gründen sollte in Ihrem Unternehmen die Nutzung von KI-Systemen nur für konkrete, sinnvolle Zwecke erlaubt werden. Was mit einer Suchmaschine erledigt werden kann, muss nicht mit einem Chatbot realisiert werden.

Sogenannte Hochrisiko-KI sollte nicht eingesetzt werden. Wer dies dennoch beabsichtigt, benötigt eine tiefer gehende Beratung, die über schriftliche Beratung weit hinausgeht.

Einschränkung des Risikos

Unternehmen haften nach außen (zunächst und oft auch endgültig) für das Verhalten von deren Mitarbeitern für das Unternehmen.

Ganzen Artikel jetzt über kostenfreien Dr. DSGVO Newsletter lesen.
Weitere Extras für Abonnenten:
Viele Artikel in PDF-Form · Kompakte Kernaussagen für Beiträge · Offline-KI · Freikontingent+ für Website-Checks
Schon Abonnent? Link im Newsletter anklicken & diese Seite auffrischen.
Newsletter abonnieren

KI-Beratung, KI-Lösungen

Umfassende Beratung (fachlich, rechtlich, technisch):

Leistungsangebot:

  • Erstberatung inkl. Machbarkeitsaussagen
  • Schulungen und Workshops für Führungskräfte, Berufsgeheimnisträger, Angestellte, Entwickler
  • KI-Lösungen mit und ohne ChatGPT/Azure. Cloud oder eigener KI-Server

Ihre Anfrage

Oder Mail an ki@dr-dsgvo.de

Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. In IT & Datenschutz bin ich auch als Sachverständiger tätig. Ich stehe für pragmatische Lösungen mit Mehrwert. Meine Firma, die IT Logic GmbH, berät Kunden und bietet Webseiten-Checks sowie optimierte & sichere KI-Lösungen an.
Bitte nutzen Sie bei Verwendung meiner Ergebnisse die Quellenangabe oder verlinken Sie gut wahrnehmbar auf diesen Artikel:
Quelle: Klaus Meffert, Dr. DSGVO Blog, Link: https://dr-dsgvo.de/die-ki-verordnung-der-eu-pflichten-fuer-unternehmen
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage. Ein Teilen oder Verteilen dieses Beitrags ist natürlich ohne weiteres möglich und gewünscht.

Schreiben Sie einen Kommentar

Ihre Mail-Adresse wird nicht veröffentlicht.

Die KI-Trends für das Jahr 2025