Mit der KI-Verordnung der EU (abgekürzt „KI-VO“, englisch: „AI Act“) hat die Europäische Union eine Vorreiterrolle bei der Regulierung Künstlicher Intelligenz (KI) übernommen. Die KI-Verordnung ist durchaus umstritten, überaus komplex und bleibt in vielen Bereichen unklar.
Mit 180 Erwägungsgründen, 113 Artikeln, 68 Definitionen und 13 Anhängen stellt die KI-Verordnung die DSGVO deutlich in den Schatten. Darüber hinaus muss die EU-Kommission mit weit über 20 untergesetzlichen Initiativen entscheidende Teile der Verordnung erst noch konkretisieren. Die Verordnung betrifft als produktbezogenes Gesetz alle Akteure, die KI einsetzen oder entwickeln, seien es Unternehmen, Selbständige oder Behörden – ausgenommen ist lediglich der Betrieb von KI-Systemen im Rahmen einer ausschließlich persönlichen und nicht beruflichen Tätigkeit.
Die KI-VO regelt die Entwicklung, den Vertrieb und den Einsatz von KI in der EU. Ihr Ziel ist es, vertrauenswürdige KI-Systeme zu fördern und ein sicheres sowie innovationsfreundliches Umfeld zu schaffen. Sie adressiert die typischen mit dieser Technologie einhergehenden Risiken wie Diskriminierung, Datenschutzverletzungen, Sicherheitsrisiken, Verlust menschlicher Autonomie, mangelnde Transparenz, Fehlfunktionen und unrichtige Inhalte.
Die KI-VO definiert Künstliche Intelligenz als ein maschinengestütztes, autonomes System, das nach Einführung anpassungsfähig ist und Eingaben zu Vorhersagen, Inhalten, Empfehlungen oder Entscheidungen verarbeitet, die physische oder virtuelle Umgebungen beeinflussen können.
KI-Systeme werden in verschiedene Risikostufen eingeteilt. Dies erfolgt anhand des jeweiligen Einsatzzwecks: unvertretbares Risiko, hohes Risiko, begrenztes Risiko und minimales Risiko. Systeme mit unvertretbarem Risiko (z.B. das sog. „Social Scoring“) sind verboten, während die sogenannten Hochrisiko-KI-Systeme einem strengen Prüf- und Pflichtenkatalog unterliegen. KI-Systeme mit einem begrenzten Risiko sind Anwendungen, die in irgendeiner Form direkt mit Menschen interagieren, z.B. Chatbots. Hier muss dem Nutzer transparent gemacht werden, dass nicht mit einem Menschen, sondern mit einer KI kommuniziert wird. Die KI-VO umfasst aber auch Regelungen, die für alle Arten von KI-Systemen gelten, beispielsweise die Verpflichtung zur Sicherstellung einer KI-Kompetenz gemäß Art. 4 KI-VO. Praktisch alle Personen, Unternehmen oder Behörden, die KI-Systeme und Modelle entwickeln, vertreiben oder einsetzen, müssen die KI-VO beachten. Der Umfang der Pflichten, die auf die einzelnen Akteure zukommen, kann sich aber unterscheiden. Die Abgrenzung kann im Einzelfall schwierig sein, Rollen können fließend sein und sich überschneiden. So kann ein Unternehmen, das zunächst eine fremde KI-Software lediglich betreibt, zum Anbieter werden, wenn es diese weiterentwickelt und auf dem Markt bereitstellt. Die KI-VO trat am 2. August 2024 in Kraft und setzt verschiedene Umsetzungsfristen fest. Zum 2. August 2026 greifen insbesondere die Vorschriften für Hochrisiko-KI-Systeme. Seit dem 2. Februar 2025 gilt das Verbot bestimmter KI-Praktiken.
Seit dem 2. Februar gilt außerdem: Unternehmen müssen nachweisen können, dass alle Mitarbeitenden und externen Personen, die mit KI-Systemen arbeiten, über ausreichendes Wissen im Umgang mit Künstlicher Intelligenz verfügen. Entsprechende Schulungsmaßnahmen sind verpflichtend. Dies umfasst die Schulung des Personals sowie der externen Mitarbeiter hinsichtlich der Funktionsweisen von KI-Systemen, der Chancen und Risiken sowie der rechtlichen Vorgaben und ethischen Standards – „KI-Kompetenz“. Gemäß der KI-VO besteht die Schulungspflicht nicht nur gegenüber den eigenen Mitarbeitern, sondern auch gegenüber externen Arbeitnehmern, wenn diese mit KI-Systemen in Berührung kommen. Externe Arbeitnehmer sind Zeitarbeitnehmer oder von Dienstleistern eingesetzte Mitarbeiter zur Erfüllung einer Dienst- oder Werkleistung.
Ein umfassendes KI-Schulungskonzept erfordert eine systematische Planung, bedarfsgerechte Durchführung und fortlaufende Wiederholung, etwa wie folgt:
- Bestandsaufnahme der eingesetzten KI-Systeme im Sinne von Art. 3 Nr. 1 KI-Verordnung und deren Risiken
- Zielgruppenanalyse, um den Schulungsbedarf der Mitarbeitenden zu ermitteln
- Durchführung bedarfsgerechter Schulungen (technische Grundlagen, rechtliche und ethische Anforderungen)
- Regelmäßige Updates und Nachweise der Schulungen als Teil des Compliance-Managements
Diese Maßnahmen helfen, Risiken zu minimieren. Unternehmen sollten das Thema deshalb frühzeitig angehen.
Ergänzend zu den Informationen über die rechtlichen Rahmenbedingungen des KI-Gesetzes bieten wir speziell für Kanzleien das Lernvideo „EU AI-Act – Grundlegende KI-Kompetenz aufbauen“ an. Es unterstützt Sie dabei, die Anforderungen richtig einzuordnen und in der Praxis umzusetzen.
MEHR ZU DATEV KI IN DER STEUERBERATUNG
finden Sie unter datev.de/ki
