Kofinanziert von der Europäischen Union

Rechtliche Grundlagen beim KI-Einsatz im Unternehmen

Bei der Einführung von KI stellen sich viele Unternehmen die Frage, welche rechtlichen Regelungen es eigentlich zu beachten gilt. Besonders die Auswirkungen der Europäischen KI-Verordnung werden nachgefragt. Explizit griffen wir Recht- und Comliance-Fragen beim KI-Einsatz in Unternehmen auf unserem Jahreskongress #mvw24 - Ein KI-Kongress sowie auf einem eintägigen Workshop im April 2025 mit externen Rechntsexperten auf.

Auf dieser Seite haben wir einen Überblick mit den wichtigsten Erkenntnissen für euch zusammengestellt:

Workshop von Dr. Kim Manuel Künstner & Thorsten Walter von SCHULTE RECHTSANWÄLTE in Warnemünde
Phasen der Datenverarbeitung nach Rechtsanwälte Dr. Kim Manuel Künstner Thorsten Walter (Darstellung mv-works)

Wenn Anwendungen, die mit Künstlicher Intelligenz arbeiten im Unternehmen eingesetzt werden können grundsätzlich viele Rechtsbereiche betroffen sein. Besonders zu nennen sind hier:

  • Alle Regelungen des Arbeitsrechts
  • Europäische KI-Verordnung (KI-VO)
  • Europäische Datenschutzgrundverordnung (DGSVO)
  • Urheberrechtsgesetz
  • Geheimnisschutzgesetz
  • etc.

Dabei sind alle Phasen der Datenverarbeitung - von Erhebung der Trainingsdaten bis zur Nutzung des Outputs - des KI Tools zu bedenken (siehe Grafik).

Folgendes haben wir aufbereitet:

KI-VO nicht als Hinderungsgrund für KI-Einsatz sehen!

Compliance Regeln schaffen!

DGSVO beachten!

Tipps für den KI - Einsatz im Unternehmen

Grundsätzlich sollten sich Verantwortliche im Unternehmen die Regelungen rund um den KI-Einsatz mitdenken, um auch ungewollten Schaden durch unreguliertes Nutzen von KI durch die Mitarbeitenden zu unterbinden. Hier einige grundlegende Tipps:

Niemand der ein KI-Projekt in Europa verfolgt, sollte sich von der KI-VO abschrecken lassen!

  • Im Mittelpunkt steht immer Transparenz, Sicherheit und Menschliche Aufsicht.
  • Generell soll das Risiko, dass durch ein System entsteht begrenzt bzw. ausgeschlossen werden.
  • Vieles ist noch nicht ausdefiniert bzw. abschließend geregelt.

KI Kompetenzen sind Pflicht

  • Dies ist als Maßnahme zu verstehen, um den KI Einsatz sicherer zu machen und den Anwendern von KI das nötige Wissen, Verständnis und Risikobewusstsein für KI zu vermitteln.
  • Kompetenzvermittlung muss angepasst und risikoadäquat sein und wird erst mit einem konrekten Use-Case erforderlich.
  • Derzeit sind Verstöße nicht bußgeldbewährt.

Unterscheidung in Verbotene Praktiken und Hochrisiko-Praktiken

  • Unternehmen müssen wissen, zu welcher Kategorie das verwendete KI-System zählt.
  • Bei Hoch-Risiko-Systemen kommen die meisten Anbieter- und Betreiberpflichten auf die Unternehmen zu. 
  • Anwender von Hoch-Risiko-Systemen sollten aufpassen, dass sie nicht unwissend zu Anbietern werden.
mehr lesen ...... weniger lesen

Europäische KI-Verordnung (KI-VO)

Die Europäische Union hat 2024 die Verordnung über Künstliche Intelligenz - KI-Verordnung verabschiedet. Diese Verordnung stellt einen Rechtsrahmen zur Entwicklung und Anwendung von KI-Systemen und -Modellen dar, der einen risikobasierten Ansatz verfolgt: Je höher das Risiko ist, desto strenger sind auch die Pflichten.

"Während KI-Systeme mit einem inakzeptablen Risiko (wie etwa Social Scoring) gänzlich verboten werden und für Hochrisiko-KI-Systeme strenge technische und organisatorische Anforderungen gelten, unterliegen Anwendungen mit geringem Risiko lediglich bestimmten Transparenz- und Informationspflichten." (Pressemitteilung des BMWK)

Ziele der Europäischen KI-VO (Darstellung mv-works)
Dieses interaktive Formular unterstützt dabei herauszufinden, welche Verpflichtungen auf einen - je nach verwendetem KI-System - zutreffen.

Die Definition von KI ist in der Verordnung sehr technisch angelegt und unterscheidet zwischen KI-Systemen und KI-Modellen. 

Grundsätzlich sollten alle automatisierten Anwendungen, die darüber hinaus gehen ein rein regelbasiertes Expertensystem zu sein (Stichwort: Wenn/Dann), als KI im Sinne der VO angesehen werden.

Sobald ein KI-System im Unternehmen angewendet wird, sollte man folgendes überprüfen:

  1.  Ist die Anwendung von Verbotenen KI-Praktiken ausgeschlossen?
  2. Nutzen wir ein Hoch-Risiko KI-System, welche Betreiberpflichten haben wir dann?
  3. Verfügen wir über geeignete KI-Kompetenzen?

Hoch-Risiko KI-System

Zum einen fallen KI-Systeme in den Hochrisikobereich, wenn sie in Produkten verbaut sind die unter Konformitätsbestätigungen fallen - zum anderen dann, wenn sie in kritischen Bereichen (z.B. Human Ressources) eingesetzt werden.

Welche KI-Systeme fallen unter den Hoch-Risiko Bereich:

KI Systeme bei Sicherheitsbauteilen (Artikel 6 Absatz 1 KI-VO)

  • Wenn KI ein Sicherheitsbauteil oder ein selbstständiges KI-Produkt von einem Produkt ist, welches eine Konformitätsbestätigung durch Dritte benötigt (z.B. Spielzeug, Maschinen, Aufzüge, Medizinprodukte etc. (siehe Anhang I der KI-VO)

KI Systeme in kritischen Bereichen (Artikel 6 Absatz 2 KI-VO)

  1. Biometrie
  2. Kritische Infrastruktur
  3. Allgemeine und Berufliche Bildung
  4. Beschäftigung, Personalmanagement und Zugang zur Selbstständigkeit
  5. Zugänglichkeit und Inanspruchnahme grundlegender privater und grundlegender öffentlicher Dienste und Leistungen
  6. Strafverfolgung
  7. Migration, Asyl und Grenzkontrolle
  8. Rechtspflege und demokratische Prozesse

(siehe Anhang III der KI-VO)

Betreiberpflichten bei Hoch-Risiko-KI-Systemen sind aber auch händelbar:

  • Technische und Organisatorische Maßnahmen (TOM) entsprechend der Betriebsanleitung
  • Transparenz, Monitoring und Informationspflichten
  • Data-Governance von Eingabedaten
  • Grundrechtsfolgenabschätzung (Art. 27 KI-VO)

Besondere Vorsicht ist geboten, dass man keinen "Rollenwelchsel" vollzieht und vom Betreiber zum Anbieter eines Hoch-Risiko KI Tools wird. Dies ist der Fall, sobald man ein KI-System wesentlich ändert, bzw. den Zweck entfremndet, zudem es ursprünglich geschaffen wurde.

mehr lesen ...... weniger lesen

KI-Kompetenzen

Sobald ein KI-System im Unternehmen genutzt wird, muss der Betreiber oder Anbieter Maßnahmen ergreifen, damit das Personal ausreichend für den Umgang mit der KI geschult ist. Was bedeutet dies genau?

"Die Anbieter und Betreiber von KI‑Systemen ergreifen Maßnahmen, um nach besten Kräften sicherzustellen, dass ihr Personal und andere Personen, die in ihrem Auftrag mit dem Betrieb und der Nutzung von KI‑Systemen befasst sind, über ein ausreichendes Maß an KI‑Kompetenz verfügen, wobei ihre technischen Kenntnisse, ihre Erfahrung, ihre Ausbildung und Schulung und der Kontext, in dem die KI‑Systeme eingesetzt werden sollen, sowie die Personen oder Personengruppen, bei denen die KI‑Systeme eingesetzt werden sollen, zu berücksichtigen sind." (Artikel 4 KI-VO)

In welcher Tiefe oder in welchem Unfang solche Schulungen schlussendlich durchzuführen sind, ist noch nicht abschließend geregelt. Ein wichtiger Hinweis an dieser Stelle ist: die Kompetenzvermittlung sollte individuell und risikoadequat sein!

Mögliches Vorgehen (empfohlen auf dem KI Rechts-Workshop mit Schulte Rechtsanwälten):

  • Status Quo Analysieren (KI Use Cases & Risikoabschätzung)
  • Zielfestlegung und individualisierter Awarness- Schulungsplan für MA
  • Zielgruppenanalyse (Kenntnisstand-Abfrage)
  • Umsetzungsplan (Inhalte & Umfang für individuelle KI-Trainings)
  • Regelmäßige Nachschulung (durch die schnelle Veränderung von Produkten werden auch schnell neue Skills erforderlich)

Beispiele für Vorgehen zum Aufbau von KI-Kompetenzen anhand verschiedener Use Cases finden sich in der EU Handreichung "Living repository to foster learning and exchange on AI literacy" (EU Publikation vom 04.02.2025)

 

mehr lesen ...... weniger lesen

KI und Datenschutz (DGSVO)

Sebastian Schmidt (Der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern)
Orientierungshilfe der Konferenz der unabhängigen Datenschutzaufsichtsbehörden "Künstliche Intelligenz und Datenschutz"

Die Empfehlung von Sebastian Schmidt, dem Landesdatenschutzbeauftragter von M-V auf der #mvw24 zur Implementierung von KI-Anwendungen im Betrieb lauten wie folgt:

  • Verantwortlichkeit festlegen und verbindlich regeln
  • Interne Regelungen treffen & kommunizieren
  • Datenschutz-Folgenabschätzung durchführen
  • Beschäftigte schützen, betriebliche Accounts einrichten
  • Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen

Bei der Nutzung von KI-Anwendungen sollte folgende Punkte besonders beachtet werden:

  • Vorsicht bei Eingabe und Ausgabe personenbezogener Daten (Tipp: Wenn möglich Daten anonymisieren oder pseudonymisieren.)
  • Ergebnisse auf Richtigkeit prüfen
  • Ergebnisse und Verfahren auf Diskriminierung prüfen (Stichwort: Bias)

Orientierungshilfe zum Download

YouTube  |  Instagram  |  Twitter  |  LinkedIn 

mv-works
Kompetenzzentrum Arbeit 4.0 M-V

TGS - Gesellschaft für Strukturentwicklung mbH

Friedrich-Barnewitz-Straße 8
18119 Rostock-Warnemünde

Telefon: 0381 519 6351

E-Mail: info@mv-works.de

 

Datenschutz Einstellung

Cookies sind für die korrekte Funktionsweise einer Website wichtig und helfen, unsere Webseite für Sie nutzerfreundlich zu gestalten und fortlaufend zu verbessern. Mit Ihrer Auswahl stimmen Sie der Verwendung von Cookies zu. Weitere Informationen finden Sie in unserer Datenschutzerklärung.

Datenschutzerklärung
Cookie optin by Olli machts