Erste Pflichten und Verbote aus dem AI Act
ab 2.2.2025 in Kraft!

Beitrag verfasst von Dr. Rainer Knyrim – KTR-Newsletter November 2024

Der AI Act (dt. Verordnung über künstliche Intelligenz, kurz „KI-Verordnung“) wird bis August 2026 in drei Phasen anwendbar. Die erste Phase beginnt am 2.2.2025 mit der Anwendbarkeit der Kapitel I und II. Kapitel I enthält in Artikel 4 eine Verpflichtung zur KI-Kompetenz. Artikel 2 regelt, welche KI-Anwendungen ab 2.2.2025 verboten sind.

I. KI-Kompetenz:

Artikel 4 AI Act verpflichtet Anbieter und Betreiber, intern KI-Kompetenz zu schaffen. Betreiber sind all jene, die KI in ihrer Organisation bloß anwenden, egal welchen Risikograd die KI hat, d.h. die Verpflichtung gilt auch beim Einsatz von KI mit bloß minimalem Risiko.

Worum geht es bei der Pflicht zur KI-Kompetenz?

Anbieter und Betreiber müssen sicherstellen, dass ihr Personal und jenes ihrer Auftragsverarbeiter, die KI-Systeme betreiben, über ein ausreichendes Maß an Kompetenz im Bereich KI verfügen, wobei diesbezüglich deren

  • technische Kenntnisse,
  • Erfahrung,
  • Ausbildung und Schulung

zu berücksichtigen sind. Weiters sind dabei zu beachten

  • der Kontext, in dem die KI-System eingesetzt werden sollen und
  • die Personen oder Personengruppen, bei denen die KI-Systeme eingesetzt werden sollen.

In der Praxis bedeutet dies, dass Mitarbeiterinnen und Mitarbeiter, die noch keine ausreichenden technischen Kenntnisse und Erfahrungen haben, für die KI-Anwendung ausgebildet oder geschult werden müssen.

Unsere Kanzlei bietet auf Wunsch hausinterne Schulungen zum Thema KI an, erst kürzlich haben wir die Software-Abteilung eines Unternehmens in Oberösterreich geschult und dort zahlreiche Praxisfragen und Use Cases zu KI durchgearbeitet.

Weiters empfiehlt es sich, im Unternehmen eine Policy für die Verwendung von KI zu implementieren, auch wenn dies keine explizite Verpflichtung des Artikel 4 AI Act ist. Auch bei der Erstellung einer Policy unterstützen wir gerne.

II. Ab 2.2.2025 verbotene KI-Anwendungen:

Die Verbote sind in Kapitel II AI Act geregelt, der nur aus einem einzigen Artikel besteht, nämlich dem Artikel 5. Dieser enthält eine Liste an Praktiken, die im KI-Bereich ab 2.2.2025 verboten sind. Die Liste gliedert sich in Verarbeitungen, die typischerweise vor allem in der Privatwirtschaft stattfinden (aber auch im öffentlichen Bereich eingesetzt werden können) und solche, die typischerweise nur dem öffentlichen Sektor vorbehalten sind.

Verbotene KI-Systeme vor allem im privatwirtschaftlichen Bereich:

  • KI-Systeme, die Personen beeinflussen, indem unterschwellige Techniken zur Beeinflussung oder absichtlich manipulative oder täuschende Techniken eingesetzt werden, mit dem Ziel oder der Wirkung, das Verhalten einer Person oder einer Gruppe wesentlich zu verändern und dabei ihren freien Willen zu umgehen, wodurch ihr ein erheblicher Schaden zugefügt wird oder werden kann;
  • KI-Systeme, die die Schwächen von Menschen (z.B. aufgrund ihres Alters, ihrer Behinderung oder sozialen oder wirtschaftlichen Situation) ausnutzen, wodurch diesen ein erheblicher Schaden zugefügt wird oder werden kann;
  • KI-Systeme, die Personen oder Gruppen auf Grundlage ihres sozialen Verhaltens oder persönlicher Eigenschaften oder Merkmale bewerten oder klassifizieren, wobei die dadurch hergeleitete soziale Bewertung zu einer Schlechterstellung oder Benachteiligung dieser Personen oder Gruppen führt (sog. Social Scoring);
  • KI-Systeme, die gezielt Gesichtsbilder aus dem Internet oder aus Überwachungsaufnahmen auslesen, um Gesichtserkennungsdatenbanken zu erstellen;
  • KI-Systeme, die Emotionserkennung von Personen am Arbeitsplatz oder in Bildungseinrichtungen durchführen (mit Ausnahmen im medizinischen Bereich oder aus Sicherheitsgründen – Letzteres könnte z.B. Müdigkeitserkennung etwa von Piloten oder Berufskraftfahrern sein);
  • KI-Systeme, die biometrische Kategorisierungen von Personen durchführen, um deren Rasse, politische Einstellung, Gewerkschaftszugehörigkeit, religiöse oder weltanschauliche Überzeugung, Sexualleben oder sexuelle Ausrichtung daraus abzuleiten (mit Ausnahme im Bereich der Strafverfolgung).

Verbotene KI-Systeme im öffentlichen Bereich:

  • KI-Systeme, die Risikobewertungen auf Grundlage von Profiling oder Bewertung persönlicher Merkmale durchführen und damit eine Risikobewertung vornehmen, ob eine natürliche Person künftig eine Straftat begehen wird;
  • KI-Systeme, die die biometrische Echtzeit-Fernerkennung in öffentlich zugänglichen Räumen zu Strafverfolgungszwecken durchführen (mit Ausnahmen, z.B. bei vermissten Kindern, Tätern bei bestimmten Straftaten).

Wir empfehlen daher, die eigenen IT-Systeme dahingehend zu prüfen, ob die oben genannten verbotenen Praktiken mit diesen möglich sind, etwa im Bereich Marketing oder bei der Implementierung von Websites im Hintergrund. Ebenso ob elektronische Systeme, die am Arbeitsplatz im Einsatz sind, Emotionen von Mitarbeitern auswerten, etwa in Call Centern durch Spracherkennung; in der Korrespondenz oder in Chats durch semantische Erkennung von Schreibmustern oder in Videokonferenzen durch Bildauswertung. Gerne stehen wir für eine Beurteilung, ob solche verbotenen Praktiken vorliegen, zur Verfügung.

Artikel drucken

Beiträge

Newsletter November 2024

Erste Pflichten und Verbote aus dem AI Act

Der AI Act wird bis August 2026 in drei Phasen anwendbar. Bereits ab Februar 2025 müssen Anbieter und Betreiber sicherstellen, dass ihr Personal über ausreichende KI-Kompetenz verfügt und dass keine verbotenen KI-Anwendungen zum Einsatz kommen. Was genau ist hier notwendig?

KI und Datenschutz – Infos und Tipps von DSB und DSK

Unternehmen müssen sicherstellen, dass sie KI-Anwendungen datenschutzkonform betreiben und sollten klare interne Richtlinien zur Nutzung implementieren. Wir haben uns dazu die FAQ der österreichischen Datenschutzbehörde und die Orientierungshilfe der Deutschen Datenschutzkonferenz angesehen.

10 Jahre „Datenschutz konkret“

Mit einem „Datenschutz-Heurigen“ wurde das 10-jährige Bestehen der Zeitschrift „Datenschutz konkret“ gefeiert.

Wann sind Webdesigns manipulativ?

Manipulative Webdesigns, auch „Deceptive Design Patterns“ genannt, nutzen psychologische Tricks, um Nutzer:innen zu bestimmten Verhaltensweisen zu verleiten, oft zu deren Nachteil. Der EDSA hat dazu Leitlinien für Social Media-Plattformen veröffentlicht. Die Empfehlungen für datenschutzkonformes Design sind auch für Websites und Apps relevant.

Das kann der EDSA-Datenschutz-Leitfaden für KMU (nicht)

Der Leitfaden des EDSA für kleine Unternehmen, seit Sommer 2024 auf Deutsch verfügbar, bietet grundlegende Informationen zu Datenschutzpflichten. Er erklärt etwa die Betroffenenrechte und Datenschutzverletzungen, ist jedoch in mehreren Bereichen zu oberflächlich.

200 Vorträge zum Datenschutz!

Dr. Rainer Knyrim wurde auf der PriSec 2024 für über 200 Vorträge und 9 Jahre Engagement als fachlicher Leiter mit einem einzigartigen „Pokal“ geehrt.

Schlechte IT-Sicherheit kann teuer werden! Stadt Baden muss für Datenleck Schadenersatz zahlen

Das OLG Wien bestätigte die Verurteilung der Stadt Baden wegen eines Datenlecks im März 2022. Auch ohne nachweisbaren Missbrauch wurde einem betroffenen Bürger Schadenersatz zugesprochen. Die finanziellen Risiken von Datenschutzverletzungen können bei einer hohen Zahl von Geschädigten erheblich werden.

Publikationen unserer Kanzlei

Das Knyrim Trieb Rechtsanwälte Team war wie immer aktiv und hat in den letzten Monaten u.a. zu NIS-2, Medienprivileg, Datenzugangsansprüchen und Restschuldbefreiung publiziert. Für den „DatKomm“ gab es ein 361 Seiten-Upgrade und Dr. Rainer Knyrim hat sich nebenbei noch mit dem Data Act befasst.