Stichtag für KI-getriebene Unternehmen: KI-Kompetenz
Am 2. Februar 2025 trat eine weitere Stufe des AI Act in Kraft, die für verschiedene Unternehmen relevant sein kann. Die entsprechende Norm lautet wie folgt:
Artikel 4 KI-Kompetenz
„Die Anbieter und Betreiber von KI-Systemen ergreifen Maßnahmen, um nach besten Kräften sicherzustellen, dass ihr Personal und andere Personen, die in ihrem Auftrag mit dem Betrieb und der Nutzung von KI-Systemen befasst sind, über ein ausreichendes Maß an KI-Kompetenz verfügen, wobei ihre technischen Kenntnisse, ihre Erfahrung, ihre Ausbildung und Schulung und der Kontext, in dem die KI-Systeme eingesetzt werden sollen, sowie die Personen oder Personengruppen, bei denen die KI-Systeme eingesetzt werden sollen, zu berücksichtigen sind.„
Hier sind die wesentlichen Punkte mit potenziellem Handlungsbedarf für die Verantwortlichen:
Verbot bestimmter KI-Systeme
- Ab diesem Datum sind KI-Systeme mit unannehmbarem Risiko (z. B. Social Scoring) explizit verboten.
- Empfehlung: Überprüfung bestehender oder geplanter KI-Anwendungen auf mögliche Risiken im Sinne der Verordnung.
Kompetenzanforderungen für Mitarbeitende
- Mitarbeitende dürfen KI-Systeme nur nutzen, wenn sie über ausreichende KI-Kompetenz verfügen (technische Kenntnisse, Erfahrung, Schulung, Verständnis des Anwendungs-kontexts).
- Unklar ist, wie diese Kompetenz konkret nachzuweisen oder zu bewerten ist.
- Empfehlung: Prüfung, ob und welche internen Maßnahmen (Schulungen, Richtlinien) erforderlich sind, um rechtliche Risiken zu minimieren.
Zeitplan für weitere Verpflichtungen und Sanktionen
- Strafen gemäß Artikel 99 KI-VO/AI-Act sind erst ab dem 2. August 2025 vorgesehen, sobald nationale Behörden zur Überwachung benannt sind.
- Verpflichtungen für General Purpose AI (GPAI) treten zwölf Monate nach Inkrafttreten der KI-Verordnung in Kraft (ab August 2025).
- Ein Leitfaden für GPAI wird in drei Monaten veröffentlicht, was mögliche weitere Anforderungen präzisieren könnte.
- Empfehlung: Beobachtung der Leitlinien und rechtlichen Entwicklungen, um frühzeitig Compliance-Maßnahmen einleiten zu können.
(Foto: NongAsimo – stock.adobe.com)
Das könnte Sie auch interessieren
-
Tätigkeitsbericht als Steuerungsinstrument für Datenschutzbeauftragte
Die französische Datenschutzbehörde CNIL jüngst eine Empfehlung samt Mustervorlage für den Tätigkeitsbericht des Datenschutzbeauftragten veröffentlicht. Die Empfehlungen decken sich weitgehend mit der deutschen Praxis – mit einer bemerkenswerten Ausnahme. Obwohl weder DS-GVO noch BDSG einen Tätigkeitsbericht für betriebliche Datenschutzbeauftragte vorschreiben, empfiehlt die CNIL diesen als zentrale Best Practice. Das entspricht der gelebten Praxis auch im
Mehr erfahren -
Praxisnahe Handreichung zum Datenpannenmanagement
Passend zur jüngsten Verwarnung der BVG durch die BlnBDI hat das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) eine strukturierte Handreichung zum Vorgehen bei Datenpannen veröffentlicht – ein nützliches Referenzdokument für Datenschutzverantwortliche, das die wesentlichen Pflichten kompakt und praxisorientiert aufbereitet. Meldepflicht und Risikobewertung als Ausgangspunkt Die Meldepflicht nach Art. 33 DS-GVO liegt stets beim Verantwortlichen –
Mehr erfahren -
LLM-gestützte Chatbots in der öffentlichen Verwaltung
Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) hat mit „AI in a Nutshell 3“ eine praxisorientierte Kurzinformation zum datenschutzkonformen Einsatz von LLM-gestützten Chatbots in bayerischen Behörden veröffentlicht. Das Dokument strukturiert die relevanten Anforderungen entlang der drei Phasen Beschaffung, Implementierung und Nutzung. Beschaffung: Vorabprüfung als Pflichtprogramm Bereits im Vorfeld der Beschaffung ist umfassend zu klären, ob
Mehr erfahren
