Stichtag für KI-getriebene Unternehmen: KI-Kompetenz
Am 2. Februar 2025 trat eine weitere Stufe des AI Act in Kraft, die für verschiedene Unternehmen relevant sein kann. Die entsprechende Norm lautet wie folgt:
Artikel 4 KI-Kompetenz
„Die Anbieter und Betreiber von KI-Systemen ergreifen Maßnahmen, um nach besten Kräften sicherzustellen, dass ihr Personal und andere Personen, die in ihrem Auftrag mit dem Betrieb und der Nutzung von KI-Systemen befasst sind, über ein ausreichendes Maß an KI-Kompetenz verfügen, wobei ihre technischen Kenntnisse, ihre Erfahrung, ihre Ausbildung und Schulung und der Kontext, in dem die KI-Systeme eingesetzt werden sollen, sowie die Personen oder Personengruppen, bei denen die KI-Systeme eingesetzt werden sollen, zu berücksichtigen sind.„
Hier sind die wesentlichen Punkte mit potenziellem Handlungsbedarf für die Verantwortlichen:
Verbot bestimmter KI-Systeme
- Ab diesem Datum sind KI-Systeme mit unannehmbarem Risiko (z. B. Social Scoring) explizit verboten.
- Empfehlung: Überprüfung bestehender oder geplanter KI-Anwendungen auf mögliche Risiken im Sinne der Verordnung.
Kompetenzanforderungen für Mitarbeitende
- Mitarbeitende dürfen KI-Systeme nur nutzen, wenn sie über ausreichende KI-Kompetenz verfügen (technische Kenntnisse, Erfahrung, Schulung, Verständnis des Anwendungs-kontexts).
- Unklar ist, wie diese Kompetenz konkret nachzuweisen oder zu bewerten ist.
- Empfehlung: Prüfung, ob und welche internen Maßnahmen (Schulungen, Richtlinien) erforderlich sind, um rechtliche Risiken zu minimieren.
Zeitplan für weitere Verpflichtungen und Sanktionen
- Strafen gemäß Artikel 99 KI-VO/AI-Act sind erst ab dem 2. August 2025 vorgesehen, sobald nationale Behörden zur Überwachung benannt sind.
- Verpflichtungen für General Purpose AI (GPAI) treten zwölf Monate nach Inkrafttreten der KI-Verordnung in Kraft (ab August 2025).
- Ein Leitfaden für GPAI wird in drei Monaten veröffentlicht, was mögliche weitere Anforderungen präzisieren könnte.
- Empfehlung: Beobachtung der Leitlinien und rechtlichen Entwicklungen, um frühzeitig Compliance-Maßnahmen einleiten zu können.
(Foto: NongAsimo – stock.adobe.com)
Das könnte Sie auch interessieren
-
Webinar Verarbeitungsverzeichnis softwaregestützt erstellen, dokumentieren, pflegen und archivieren
Mit dem webbasierten Management-System DataAgenda Datenschutz Manager können Sie alle Maßnahmen zum Datenschutz erfassen, verwalten und dokumentieren (VVT, DSFA etc.) und so Ihre Rechenschaftspflicht gemäß DS-GVO erfüllen. Der Referent zeigt, wie Sie mit einem Verzeichnis der Verarbeitungstätigkeiten (VVT) gemäß Art. 30 DS-GVO einen zentralen Baustein der Datenschutzdokumentation erstellen. Sie erfahren, wie der DataAgenda Datenschutz Manager
Mehr erfahren -
BSI veröffentlicht Handreichung zur NIS-2-Geschäftsleitungsschulung
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine neue Handreichung zur Geschäftsleitungsschulung im Rahmen der NIS-2-Umsetzung veröffentlicht. Die Publikation richtet sich an Führungsebenen von Unternehmen und Einrichtungen, die künftig unter die NIS-2-Regulierung fallen – also als „wichtige“ oder „besonders wichtige Einrichtungen“ gelten. Ziel ist es, Geschäftsleitungen auf ihre neuen Pflichten im Bereich Cybersicherheit
Mehr erfahren -
Refurbished Notebook mit ungelöschten Daten – wer ist verantwortlich?
Der Erwerb gebrauchter oder „refurbished“ IT-Geräte wirft nicht nur technische, sondern auch datenschutzrechtliche Fragen auf. Besonders heikel wird es, wenn auf einem erworbenen Notebook noch personenbezogene Daten des Vorbesitzers vorzufinden sind. Doch wer trägt in diesem Fall die Verantwortung nach der DS-GVO? Verantwortlichenbegriff nach Art. 4 Nr. 7 DS-GVO Nach Art. 4 Nr. 7 DS-GVO
Mehr erfahren
