Erste Pflichten und Verbote aus dem AI Act
ab 2.2.2025 in Kraft!
Beitrag verfasst von Dr. Rainer Knyrim – KTR-Newsletter November 2024
Der AI Act (dt. Verordnung über künstliche Intelligenz, kurz „KI-Verordnung“) wird bis August 2026 in drei Phasen anwendbar. Die erste Phase beginnt am 2.2.2025 mit der Anwendbarkeit der Kapitel I und II. Kapitel I enthält in Artikel 4 eine Verpflichtung zur KI-Kompetenz. Artikel 2 regelt, welche KI-Anwendungen ab 2.2.2025 verboten sind.
I. KI-Kompetenz:
Artikel 4 AI Act verpflichtet Anbieter und Betreiber, intern KI-Kompetenz zu schaffen. Betreiber sind all jene, die KI in ihrer Organisation bloß anwenden, egal welchen Risikograd die KI hat, d.h. die Verpflichtung gilt auch beim Einsatz von KI mit bloß minimalem Risiko.
Worum geht es bei der Pflicht zur KI-Kompetenz?
Anbieter und Betreiber müssen sicherstellen, dass ihr Personal und jenes ihrer Auftragsverarbeiter, die KI-Systeme betreiben, über ein ausreichendes Maß an Kompetenz im Bereich KI verfügen, wobei diesbezüglich deren
- technische Kenntnisse,
- Erfahrung,
- Ausbildung und Schulung
zu berücksichtigen sind. Weiters sind dabei zu beachten
- der Kontext, in dem die KI-System eingesetzt werden sollen und
- die Personen oder Personengruppen, bei denen die KI-Systeme eingesetzt werden sollen.
In der Praxis bedeutet dies, dass Mitarbeiterinnen und Mitarbeiter, die noch keine ausreichenden technischen Kenntnisse und Erfahrungen haben, für die KI-Anwendung ausgebildet oder geschult werden müssen.
Unsere Kanzlei bietet auf Wunsch hausinterne Schulungen zum Thema KI an, erst kürzlich haben wir die Software-Abteilung eines Unternehmens in Oberösterreich geschult und dort zahlreiche Praxisfragen und Use Cases zu KI durchgearbeitet.
Weiters empfiehlt es sich, im Unternehmen eine Policy für die Verwendung von KI zu implementieren, auch wenn dies keine explizite Verpflichtung des Artikel 4 AI Act ist. Auch bei der Erstellung einer Policy unterstützen wir gerne.
II. Ab 2.2.2025 verbotene KI-Anwendungen:
Die Verbote sind in Kapitel II AI Act geregelt, der nur aus einem einzigen Artikel besteht, nämlich dem Artikel 5. Dieser enthält eine Liste an Praktiken, die im KI-Bereich ab 2.2.2025 verboten sind. Die Liste gliedert sich in Verarbeitungen, die typischerweise vor allem in der Privatwirtschaft stattfinden (aber auch im öffentlichen Bereich eingesetzt werden können) und solche, die typischerweise nur dem öffentlichen Sektor vorbehalten sind.
Verbotene KI-Systeme vor allem im privatwirtschaftlichen Bereich:
- KI-Systeme, die Personen beeinflussen, indem unterschwellige Techniken zur Beeinflussung oder absichtlich manipulative oder täuschende Techniken eingesetzt werden, mit dem Ziel oder der Wirkung, das Verhalten einer Person oder einer Gruppe wesentlich zu verändern und dabei ihren freien Willen zu umgehen, wodurch ihr ein erheblicher Schaden zugefügt wird oder werden kann;
- KI-Systeme, die die Schwächen von Menschen (z.B. aufgrund ihres Alters, ihrer Behinderung oder sozialen oder wirtschaftlichen Situation) ausnutzen, wodurch diesen ein erheblicher Schaden zugefügt wird oder werden kann;
- KI-Systeme, die Personen oder Gruppen auf Grundlage ihres sozialen Verhaltens oder persönlicher Eigenschaften oder Merkmale bewerten oder klassifizieren, wobei die dadurch hergeleitete soziale Bewertung zu einer Schlechterstellung oder Benachteiligung dieser Personen oder Gruppen führt (sog. Social Scoring);
- KI-Systeme, die gezielt Gesichtsbilder aus dem Internet oder aus Überwachungsaufnahmen auslesen, um Gesichtserkennungsdatenbanken zu erstellen;
- KI-Systeme, die Emotionserkennung von Personen am Arbeitsplatz oder in Bildungseinrichtungen durchführen (mit Ausnahmen im medizinischen Bereich oder aus Sicherheitsgründen – Letzteres könnte z.B. Müdigkeitserkennung etwa von Piloten oder Berufskraftfahrern sein);
- KI-Systeme, die biometrische Kategorisierungen von Personen durchführen, um deren Rasse, politische Einstellung, Gewerkschaftszugehörigkeit, religiöse oder weltanschauliche Überzeugung, Sexualleben oder sexuelle Ausrichtung daraus abzuleiten (mit Ausnahme im Bereich der Strafverfolgung).
Verbotene KI-Systeme im öffentlichen Bereich:
- KI-Systeme, die Risikobewertungen auf Grundlage von Profiling oder Bewertung persönlicher Merkmale durchführen und damit eine Risikobewertung vornehmen, ob eine natürliche Person künftig eine Straftat begehen wird;
- KI-Systeme, die die biometrische Echtzeit-Fernerkennung in öffentlich zugänglichen Räumen zu Strafverfolgungszwecken durchführen (mit Ausnahmen, z.B. bei vermissten Kindern, Tätern bei bestimmten Straftaten).
Wir empfehlen daher, die eigenen IT-Systeme dahingehend zu prüfen, ob die oben genannten verbotenen Praktiken mit diesen möglich sind, etwa im Bereich Marketing oder bei der Implementierung von Websites im Hintergrund. Ebenso ob elektronische Systeme, die am Arbeitsplatz im Einsatz sind, Emotionen von Mitarbeitern auswerten, etwa in Call Centern durch Spracherkennung; in der Korrespondenz oder in Chats durch semantische Erkennung von Schreibmustern oder in Videokonferenzen durch Bildauswertung. Gerne stehen wir für eine Beurteilung, ob solche verbotenen Praktiken vorliegen, zur Verfügung.