Was der EU AI Act vorschreibt und wie er mit der DSGVO verknüpft ist: Verpflichtungen für Unternehmer ab dem 02. Februar 2025
- Manuel Wolfsteiner Wolfsteiner
- 14. Jan.
- 4 Min. Lesezeit
Aktualisiert: 24. Feb.
Ab dem 02. Februar 2025 tritt eine neue Ära in der Regulierung von Künstlicher Intelligenz (KI) in der Europäischen Union ein. Mit dem EU AI Act (European Artificial Intelligence Act) gehen zahlreiche Verpflichtungen für Unternehmen jeder Größe einher, die KI-Lösungen entwickeln, einsetzen oder vertreiben. Die EU schafft mit dieser Verordnung klare Richtlinien für den verantwortungsvollen Umgang mit künstlicher Intelligenz. In diesem Blogartikel beleuchten wir die wichtigsten Neuerungen, die Schulungsverpflichtung sowie die engen Verknüpfungen des EU AI Act mit der DSGVO (Datenschutz-Grundverordnung).
1. Was ist der EU AI Act und warum ist er so wichtig?
Der EU AI Act ist ein Gesetzgebungsvorhaben der Europäischen Union, das den Einsatz von KI-Systemen in einem einheitlichen Rechtsrahmen regeln soll. Durch eine Risikobewertung werden KI-Anwendungen in Kategorien wie „niedriges Risiko“, „begrenztes Risiko“, „hohes Risiko“ und „untragbares Risiko“ eingeordnet. Ziel ist es,
Verbraucherrechte zu stärken,
Innovation zu fördern und
Verantwortungsbewusste KI in Europa zu etablieren.
Der Akt deckt zahlreiche Anforderungen ab, von technischen Anforderungen (z. B. Transparenz, Nachvollziehbarkeit) über Compliance-Prozesse bis hin zu organisatorischen Verpflichtungen wie Schulungen für Mitarbeitende.
2. Stichtag 02. Februar 2025 – Was ändert sich konkret?
Ab dem 02. Februar 2025 wird erwartet, dass Unternehmen, die in Europa KI-Systeme einsetzen oder vertreiben, die Bestimmungen des EU AI Act einhalten müssen. Für viele Betriebe ist dies eine große Herausforderung, da KI-Projekte oft bereichsübergreifend sind und sowohl Rechtsabteilungen, IT-Abteilungen als auch das Management intensiv zusammenarbeiten müssen.
Wesentliche Verpflichtungen betreffen dabei:
Transparenzanforderungen: KI-Systeme sollen für Endnutzer erkennbar und nachvollziehbar sein.
Risikomanagement: Je nach Risikoklasse sind unterschiedliche Dokumentations- und Prüfprozesse erforderlich.
Datenqualität und -sicherheit: Ähnlich wie bei der DSGVO gelten hohe Maßstäbe für Datenverarbeitung und Datensicherheit.
Schulungsverpflichtung: Mitarbeiter müssen in den Bereichen Datenverarbeitung, Ethik und Compliance geschult werden.
3. Schulungsverpflichtung als Kernpunkt
Eines der wichtigsten Themen im EU AI Act ist die Schulungsverpflichtung. Unternehmen müssen sicherstellen, dass alle Beschäftigten, die mit KI-Systemen in Berührung kommen, über ausreichende Kenntnisse in Bezug auf:
Funktion und Einsatz der KI,
Datenethik und Datenschutz,
IT-Sicherheit,
Grundlegende rechtliche Aspekte des EU AI Act und der DSGVO,
Mögliche Risiken und Haftungsszenarien.
Hierbei geht es nicht nur um reine Theorie, sondern auch um praktische Anwendungsszenarien. Die Schulungen sollten daher regelmäßig aktualisiert werden, um mit dem rasanten Fortschritt im KI-Bereich Schritt halten zu können. Für Unternehmen ist es ratsam, bereits jetzt Trainingskonzepte und interne Leitlinien zu entwickeln, die auf den Anforderungen des EU AI Act basieren.
4. Verknüpfungen zwischen EU AI Act und DSGVO
Die DSGVO (Datenschutz-Grundverordnung) ist seit 2018 in Kraft und regelt die Verarbeitung personenbezogener Daten innerhalb der EU. Der neue EU AI Act knüpft unmittelbar an diesen bestehenden Datenschutzrahmen an. Die wichtigsten Schnittstellen sind:
Datenverarbeitung: KI-Systeme arbeiten oft mit großen Datenmengen, darunter auch sensible oder personenbezogene Daten. Unternehmen müssen die Grundsätze der DSGVO (Datensparsamkeit, Zweckbindung, Einwilligung etc.) weiterhin beachten und überdies die zusätzlichen Dokumentations- und Transparenzpflichten des EU AI Act erfüllen.
Verantwortlichkeit und Haftung: Sowohl die DSGVO als auch der EU AI Act legen hohen Wert auf Accountability. Das bedeutet, dass Unternehmen nicht nur die Rechtskonformität ihrer Datenverarbeitung und KI-Einsätze sicherstellen müssen, sondern dies auch jederzeit nachweisen können sollten.
Privacy by Design und KI-Architektur: Die DSGVO fordert „Datenschutz durch Technikgestaltung“ (Privacy by Design). Der EU AI Act geht noch einen Schritt weiter und verlangt, dass KI-Systeme bereits bei der Entwicklung bzw. Einführung so gestaltet werden, dass sie mögliche Risiken minimieren und eingebaute Sicherheitsmechanismen beinhalten. Diese Vorgaben ergänzen einander und erfordern in der Praxis einen ganzheitlichen Ansatz.
Melde- und Informationspflichten: Unter der DSGVO müssen Datenpannen gemeldet werden. Der EU AI Act weitet dies auf KI-bezogene Zwischenfälle aus, die zu erheblichen Risiken für die Rechte und Freiheiten von Menschen führen können. Das kann eine Verschärfung der Meldepflicht bedeuten und erfordert eine enge Abstimmung zwischen den zuständigen Teams im Unternehmen.
5. Praktische Tipps zur Vorbereitung
Bestandsaufnahme: Führen Sie eine umfassende Inventur Ihrer Systeme durch. Identifizieren Sie, wo sensible Daten verarbeitet werden und welche Prozesse dem EU AI Act unterliegen.
Risikobewertung: Ordnen Sie Ihre KI-Anwendungen in die entsprechenden Risikoklassen ein (niedrig, begrenzt, hoch). So können Sie gezielt die richtigen Maßnahmen ergreifen.
Schulungspläne erstellen: Entwickeln Sie spezifische Schulungsmodule für alle Mitarbeitenden, die mit KI-Systemen arbeiten. Achten Sie auf eine Kombination aus rechtlichem Basiswissen, technischen Inhalten und Praxisbeispielen.
Interdisziplinäre Teams aufbauen: Datenspezialisten, Juristen und IT-Sicherheitsexperten sollten eng zusammenarbeiten, um datenschutz- und KI-relevante Themen frühzeitig zu erkennen und zu adressieren. Wenn Sie nicht über die nötigen Ressourcen inhouse verfügen, holen Sie sich externe Berater.
Dokumentation: Führen Sie eine gründliche Dokumentation ein, um sowohl den Anforderungen der DSGVO als auch des EU AI Act gerecht zu werden. Dies beinhaltet Protokolle, Policies, Risikoanalysen und Schulungsnachweise.
Fazit
Der EU AI Act tritt am 02. Februar 2025 in Kraft und stellt Unternehmen vor weitreichende organisatorische und technische Herausforderungen. Besonders die Schulungsverpflichtung und die enge Anbindung an die DSGVO erfordern frühzeitige Maßnahmen. Wer die neuen KI-Regeln ernst nimmt und rechtzeitig handelt, profitiert von einem stabilen Compliance-Rahmen, erhöhtem Verbrauchervertrauen und ist besser auf zukünftige KI-Innovationen vorbereitet.
Für Unternehmen gilt es, jetzt aktiv zu werden: Planen Sie Schulungen, setzen Sie sich mit den Risikokategorien Ihrer KI-Systeme auseinander und prüfen Sie, ob Ihre Datenschutzprozesse bereits den zukünftigen Anforderungen entsprechen. Mit diesem ganzheitlichen Ansatz lassen sich die Anforderungen von EU AI Act und DSGVO optimal vereinen – und Sie legen den Grundstein für eine erfolgreiche und ethisch verantwortungsvolle Nutzung von Künstlicher Intelligenz.
Rechtlicher Hinweis: Dieser Blogartikel dient lediglich zur Information und stellt keine Rechtsberatung dar. Bei konkreten Fragen zum EU AI Act oder zur DSGVO sollten Sie sich an eine qualifizierte Rechtsberatung wenden
Comments