Die Verordnung (EU) 2024/1689 oder die Verordnung über künstliche Intelligenz („KI-Verordnung“) enthält eine Reihe von Verpflichtungen für Anbieter (Entwickler oder Konstrukteure) und Betreiber (Nutzer sowohl privater als auch öffentlicher Einrichtungen), um Risiken im Zusammenhang mit der Nutzung künstlicher Intelligenz („KI“) für die Bürger zu vermeiden, insbesondere im Hinblick auf den Schutz personenbezogener Daten.
Fokus auf Art. 4 der KI-Verordnung,[1] der verlangt, dass alle am Betrieb und der Nutzung aller KI-Systeme („KIS“) beteiligten Personen über eine ausreichende „Beherrschung“ der KI verfügen (auch als „KI Alphabetisierung“ oder AI Literacy in englischer Sprache bezeichnet). In diesem Beitrag wird näher auf den typischen Fall eines Arbeitgebers eingegangen, der die Verwendung eines KIS im beruflichen Kontext zulässt.
Die KI-Beherrschungspflicht ist seit dem 2. Februar 2025 in Kraft, ebenso wie das Verbot von Systemen, die als „unannehmbares Risiko“ eingestuft sind (V. unser vorheriger Artikel „Nach der KI-Verordnung verbotene KI-Systeme: Auswirkungen auf den Schutz personenbezogener Daten", Art. 5 KI-Verordnung). Sie stellt eine Herausforderung für Unternehmen und Organisationen dar, die nun dieses Kompetenzniveau bei ihren Mitarbeitern und anderen eventuell involvierten Personen sicherstellen müssen.
Was bedeutet diese neue Verpflichtung zur KI-Kompetenz?
Erlaubt ein Unternehmen oder eine Organisation den Einsatz proprietärer oder fremder KI-Systeme oder sogar einer unternehmenseigenen KI-Plattform, muss es bzw. sie nun sicherstellen, dass die Nutzer über die für eine verantwortungsvolle Nutzung erforderlichen „Fähigkeiten, Kenntnisse und Verständnis“ verfügen. Der Text schreibt daher vor, alle betroffenen Personen mit dem Know-how auszustatten, das für den Einsatz und die Nutzung des betreffenden Systems erforderlich ist (V. insbesondere Artikel 3 (56), Erwägungsgründe 20, 91 und 165 der KI-Verordnung).
Diese Anforderung der Beherrschung gilt für die Verwendung aller KIS, unabhängig davon, welches Risiko sie darstellen (d. h. ob sie ein hohes Risiko darstellen oder nicht), einschließlich sogenannter „generativer“ KI wie ChatGPT. In der Praxis ist ihr Umfang jedoch für Akteure, die mit risikoreichen KIS in Verbindung stehen, aufgrund der Gefahren und möglichen Schäden, die sie verursachen könnten, von größerer Bedeutung. In der von der Europäischen Kommission am 7. Mai 2025 veröffentlichten FAQ AI Literacy („FAQ“) heißt es dazu: „Wenn die [KIS]der Organisation gemäß Kapitel III der KI-Verordnung mit einem hohen Risiko behaftet sind, könnten zusätzliche Maßnahmen relevant sein, um sicherzustellen, dass die Mitarbeiter wissen, wie sie mit den gegebenen KI-Systemen umgehen und ihre Risiken vermeiden und/oder mindern können.“
In der Praxis muss das Unternehmen/die Einrichtung sicherstellen, dass alle seine Mitarbeiter unabhängig von ihrem Status (Arbeitnehmer, Leiharbeitnehmer, Angestellte, Beamte, Praktikanten, Auszubildende usw.) über echte KI-Kenntnisse im Sinne von Artikel 3 (56) der KI-Verordnung verfügen.[2] Art. 4 der KI-verordnung gilt neben seinem Personal auch für alle „sonstigen Personen“, die im Namen des Anbieters und Betreibers mit KIS arbeiten. In den FAQ wird zu diesem Zweck klargestellt, dass es sich um jede Person handeln könnte, die am Betrieb oder an der Nutzung dieser Systeme im Namen von Lieferanten/Betreibern beteiligt ist, z. B. einen Unterauftragnehmer, einen Dienstleister und sogar Kunden. Auf der Grundlage der Auslegung der Europäischen Kommission könnte es daher legitim sein, dass ein Betreiber von KIS bei dem Anbieter des KIS, dessen Kunde er selbst ist, eine Schulung beantragt.
Die Definition der KI-Kompetenz ist recht weit gefasst, da jeder Betroffene auch in der Lage sein muss, „die spezifischen Risiken im Zusammenhang mit KI (z. B. die mögliche Halluzination von Chat GPT)“ sowie die Folgen oder „potenziellen Schäden, die sie verursachen kann“, zu verstehen.
Bei der Einhaltung der Vorschriften sollten die Unternehmen/Einrichtungen daher alle Elemente berücksichtigen, die sich aus der Definition in Artikel 4 der KI-Verordnung ergeben, d. h. sowohl
→ « Wissen der Mitarbeiter »,
→ „Aus dem Kontext der KI-Nutzung“,
→ "Personen oder Personengruppen, für die die KIS verwendet werden sollen".
Mit „Kenntnissen“ ist darauf hinzuweisen, dass Art. 4 der KI-Verordnung als solcher technische Kenntnisse, Erfahrung sowie allgemeine und berufliche Bildung umfasst. Weitere Einzelheiten enthält der Text jedoch nicht. Unternehmen/Einrichtungen, die KIS einsetzen, würde ein gewisses Maß an Flexibilität eingeräumt. In diesem Zusammenhang könnte sich das Unternehmen/die Einrichtung folgende Fragen stellen: Sind die Mitarbeiter bereits mit fortgeschritteneren Konzepten vertraut als mit einfachen Grundfunktionen? Wenn ja, könnten dann „Experten“-Schulungen angeboten werden. Andernfalls wären Grundkenntnisse über maschinelles Lernen oder Algorithmen zu berücksichtigen. Stammen die Mitarbeiter aus einem technischen oder wissenschaftlichen Kompetenzbereich? Je nach Profil sind gezielte Zusatztrainings zu bevorzugen. Sind die Mitarbeiter schon länger im Amt oder nicht? Im letzteren Fall könnte eine spezielle Ausbildung beim Onboarding durchaus in Betracht gezogen werden.
Unter „Nutzungskontext“ wird das Unternehmen/die Organisation darauf hingewiesen, den Sektor und den Zweck, für den das KIS verwendet wird, zu berücksichtigen und sie gleichzeitig mit dem Risikoniveau zu kombinieren, um möglicherweise sein Schulungsprogramm zu aktualisieren. Die FAQ bestätigen diese Empfehlung, weisen jedoch darauf hin, dass das Europäische Büro für künstliche Intelligenz keine „besonderen Anforderungen“ aufstellt und daher eine Einzelfallanalyse durchgeführt werden muss.
Schließlich sind „die Personen oder Personengruppen, für die die KIS verwendet werden sollen“, d. h. die von dem/den KIS betroffenen Personen, zu identifizieren (z. B.: schutzbedürftige Personen, Beschäftigte, Nutzer des öffentlichen Dienstes, Patienten usw.). Diese Analyse wird auch dazu beitragen, das Bewusstsein für die „Möglichkeiten und Risiken von KI und den möglichen Schaden, den sie verursachen kann“, im Sinne von Artikel 3 der KI-Verordnung zu schärfen und sein KI-Masterprogramm entsprechend anzupassen.
Eine gründliche Bewertung dieser drei Elemente wird es letztlich ermöglichen, ein maßgeschneidertes Regelwerk und Anleitungen mit einem angemessenen und regelmäßigen Schulungsplan für die betroffenen Personen oder Gruppen, ihr Niveau und ihren Fachbereich zu entwickeln.
Welches sind die derzeitigen Praktiken der Unternehmen in diesem Bereich?
Die KI-Kompetenzpflicht sollte daher in jedem Fall ein zentrales Element einer wirksamen und verantwortungsvollen KI-Governance sein.
Um Unternehmen/Einrichtungen in diesem Bereich zu unterstützen, hat die Europäische Kommission am 4. Februar ein Live-Verzeichnis mit der Bezeichnung „Compilation AI Literacy Practices“(„Verzeichnis“) veröffentlicht, das regelmäßig ergänzt wird. So[3] hat das Europäische Büro für KI einige Praktiken der Unterzeichner des KI-Pakts zusammengetragen.[4] Dort wird darauf hingewiesen, dass „die Vervielfältigung der in diesem Live-Verzeichnis gesammelten Praktiken nicht automatisch eine Vermutung der Einhaltung von Artikel 4 begründet“, sondern „das Lernen und den Austausch zwischen Anbietern und Betreibern von KI-Systemen fördern soll“. Diese Praktiken können daher mit den ergänzenden Angaben in den oben genannten FAQ kombiniert werden, wobei diese beiden Instrumente Teil des Soft Law sind und daher nicht rechtsverbindlich sind.
Nach einer kurzen Darstellung der Organisation und des betreffenden KIS, des Tätigkeitsbereichs, der Rolle als Lieferant/Betreiber finden sich in diesem Verzeichnis mehrere Antworten auf[5] die Fragen, die den Teilnehmern gestellt wurden, nämlich: Inwiefern trägt die Praxis der „AI Literacy“den technischen Kenntnissen, der Erfahrung, der allgemeinen und beruflichen Bildung der Zielgruppe Rechnung? Wie trägt diese Praxis dem Kontext Rechnung, in dem der/die KIS verwendet wird/werden? Wie hat sich diese Praxis bisher ausgewirkt und wie misst die Organisation diese Auswirkungen? Welche Herausforderungen hat diese Praxis bewältigt und vor welchen Herausforderungen steht die Organisation noch? Beabsichtigt die Organisation, diese Praxis zu ändern und/oder zu verbessern?
Die CNPD weist darauf hin, dass neben diesen Fragen auch die Personen oder Personengruppen zu berücksichtigen sind, für die die KIS verwendet werden sollen. Dieser Aspekt ist nämlich einer der Bestandteile der Definition in Artikel 4 der KI-Verordnung (siehe vorangehender Abschnitt), der von den betroffenen Akteuren bei ihrer Analyse keinesfalls außer Acht gelassen werden sollte.
Auf der Grundlage der Rückmeldungen aus diesem Verzeichnis, wie es nach seiner abgerufenen Fassung vom 28. März 2025 existiert, stellt die CNPD zunächst fest, dass einige Unternehmen zwar eine erste Bewertung der verschiedenen Ebenen und Bedürfnisse der betroffenen Personen durchführen, andere sich jedoch von Anfang an für ein spezielles Schulungsprogramm entscheiden, das auf den Rollen/Verantwortungen im Unternehmen, aber auch auf den technischen/nichttechnischen Profilen der betroffenen Mitarbeiter basiert. Es ist anzumerken, dass Personen in Führungspositionen wie auch CEOs im Gegensatz zu anderen Funktionen häufig über spezielle Schulungen verfügen. In mehreren Fällen verfügen Personen oder Abteilungen, die als Kontaktpunkt (Point of Contact) für KI tätig sind, über weiterführende Zusatzschulungen. So kann beispielsweise auch nichttechnischen Sachverständigen vorgeschlagen werden, ihre Grundkenntnisse über neue Technologien zu verbessern und die Mitarbeiter der Personalabteilung mit potenziellen Verzerrungen vertraut zu machen, die in einigen Fällen mit einem teilweise automatisierten Einstellungsverfahren zusammenhängen.
In jedem Fall könnten einfache Anweisungen oder Einzelanweisungen für das Personal unzureichend sein. In den FAQ wird jedoch klargestellt, dass es kein einheitliches Format für die Erfüllung dieser Anforderungen gibt, die wiederum anhand des Einzelfalls zu beurteilen sind.
Ein Programm, das dieser Meisterschaft gewidmet ist, so individuell es auch sein mag, könnte jedoch ohne ein angemessenes Monitoring seine Ziele verfehlen. Aus dem Register geht hervor, dass die Unternehmen verschiedene Kriterien gewählt haben, um die Wirksamkeit ihrer Methoden zu messen. Die am häufigsten verwendeten Follow-up-Indikatoren umfassen die Zufriedenheit der Teilnehmer und die Gesamtzahl der Mitarbeiter, die an der Schulung teilgenommen haben. Einige gehen noch einen Schritt weiter, indem sie sich beispielsweise dafür entscheiden, den Fortschritt der Kenntnisse und Fähigkeiten der Mitarbeiter zu messen, die diese Schulung(en) absolviert haben, oder die anschließende Verkürzung der Fristen für die Durchführung von KI-Projekten. Obwohl die KI-Verordnung dies nicht ausdrücklich vorsieht und die FAQ zu diesem Punkt schweigen, ist die Verwendung geeigneter Messindikatoren eine der Möglichkeiten, die Wirksamkeit der Leistung des KI-Masterprogramms zu beurteilen. Sie ermöglichen es Fachleuten, die Einhaltung dieser Vorschriften zu dokumentieren, zu überwachen und nachzuweisen.
Schließlich ist anzumerken, dass die Mehrheit der Auskunftgebenden nach wie vor mit einer Reihe von Herausforderungen in ihrem Compliance-Prozess konfrontiert ist. Zu den am häufigsten genannten gehört die zu rasche Entwicklung von KI-Technologien und damit ein Programm, das ständig angepasst werden sollte. Dann kommt die Schwierigkeit, die Zugänglichkeit der Inhalte für alle Mitarbeiter zu gleichen Teilen zu gewährleisten, mit der Schwierigkeit, Schulungsmodule zu finden, die an den Kontext des Unternehmens angepasst sind. Der regulatorische Aspekt ist auch problematisch, sowohl in Bezug auf die Überwachung der zahlreichen sich ständig weiterentwickelnden Anforderungen als auch in Bezug auf die Auslegung der KI-Verordnung, die von einigen Stellen als viel zu komplex angesehen wird.
Welche Folgen hat es, wenn dieser Verpflichtung nicht nachgekommen wird?
Angesichts des bereits wirksamen Inkrafttretens der Bestimmung in Artikel 4 der KI-Verordnung und des sehr unterschiedlichen Niveaus der digitalen Kompetenz in der Gesellschaft ist es von entscheidender Bedeutung, dass jede Organisation ihre KI-Kenntnisse ernsthaft prüft und angemessen dokumentiert, um ihre Konformität nachweisen zu können. In diesem Zusammenhang wird in den FAQ darauf hingewiesen, dass die Erlangung eines spezifischen Zertifikats nicht erforderlich sei. Sie empfiehlt jedoch die Verwendung eines „internen Verzeichnisses von Schulungen und/oder anderen Orientierungsinitiativen“.
Zur Erinnerung: Die KI-Verordnung sieht u. a. verwaltungsrechtliche Sanktionen vor, darunter Geldbußen von bis zu 35.000.000 Euro oder 7% des weltweiten Gesamtumsatzes einer Unternehmensgruppe, je nachdem, welcher Betrag höher ist. Es sei darauf hingewiesen, dass die Sanktionen im Zusammenhang mit der KI-Verordnung ab dem 2. August 2025 gelten (V. Kapitel XII und Artikel 113 AVR).
In Artikel 99 Absatz 7 Buchstabe g der KI-Verordnung[6] ist ferner festgelegt, dass bei der Entscheidung über die Verhängung einer Geldbuße alle relevanten Umstände der Situation berücksichtigt werden. Da die Beherrschung von KI ein relevanter Umstand sein kann, wären die zuständigen Aufsichtsbehörden berechtigt, beispielsweise zu prüfen, ob ein Verstoß dadurch hätte gefördert werden können, dass das Personal nicht über ausreichende Fähigkeiten, Kenntnisse und Verständnis im Bereich KI verfügte.
Schließlich sieht Art. 85 der KI-Verordnung, der ab dem 2. August 2026 gilt, auch die Möglichkeit vor, eine Beschwerde bei einer[7] Marktüberwachungsbehörde einzureichen,[8] wenn eine natürliche oder juristische Person der Auffassung ist, dass gegen die Bestimmungen der KI-Verordnung, insbesondere gegen Art. 4, verstoßen wurde.
Obwohl die in Artikel 70 Absatz 1 der KI-Verordnung vorgesehenen Marktüberwachungsbehörden von den Mitgliedstaaten zum Zeitpunkt der Herausgabe dieses Artikels noch nicht förmlich benannt wurden, ist daran zu erinnern, dass die Bestimmungen der KI-Verordnung unmittelbar anwendbar sind und vorbehaltlich ihres Geltungsbeginns bereits vor den zuständigen nationalen Gerichten geltend gemacht werden können.
Abgesehen von den rechtlichen Folgen, die sich aus der Nichteinhaltung der Rechtsvorschriften ergeben, ist es für jedes Unternehmen oder jede Organisation von entscheidender Bedeutung, seinen Ruf zu schützen und sich durch den sicheren und ethisch vertretbaren Einsatz von KI zu schützen. Verantwortungsvoller Umgang stärkt auch das Vertrauen von Kunden, Partnern und Investoren. Ebenso eröffnet sie neue Möglichkeiten für die Entwicklung innovativer Produkte und Dienstleistungen, die ethischen und sozialen Standards entsprechen.
[1] Anbieter und Betreiber von KI-Systemen ergreifen Maßnahmen, um sicherzustellen, dass ihr Personal und andere Personen, die für den Betrieb und die Nutzung von KI-Systemen in ihrem Namen verantwortlich sind, so weit wie möglich über ein ausreichendes Maß an KI-Kenntnissen verfügen, wobei ihr technisches Wissen, ihre Erfahrung, ihre allgemeine und berufliche Bildung, der Kontext, in dem die KI-Systeme verwendet werden sollen, und die Personen oder Personengruppen, in denen die KI-Systeme verwendet werden sollen, zu berücksichtigen sind.
[2] 'KI-Fähigkeiten' die Fähigkeiten, Kenntnisse und das Verständnis, die es Anbietern, Betreibern und betroffenen Personen unter Berücksichtigung ihrer jeweiligen Rechte und Pflichten im Rahmen dieser Verordnung ermöglichen, KI-Systeme in Kenntnis der Sachlage einzusetzen und sich der Chancen und Risiken von KI und des möglichen Schadens, den sie verursachen kann, bewusst zu werden.
[3] Das Europäische Büro für künstliche Intelligenz (KI), das innerhalb der Europäischen Kommission eingerichtet wurde, ist das KI-Kompetenzzentrum für die gesamte Europäische Union. Es spielt eine zentrale Rolle bei der Umsetzung des KI-Gesetzes, insbesondere in Bezug auf KI-Systeme mit allgemeinem Verwendungszweck. Seine Hauptaufgabe besteht darin, die Entwicklung und Nutzung vertrauenswürdiger KI zu fördern und gleichzeitig vor potenziellen Risiken im Zusammenhang mit diesen Technologien zu schützen. Quelle: https://digital-strategy.ec.europa.eu/fr/policies/ai-office
[4] Mit dem KI-Pakt werden Organisationen ermutigt und unterstützt, die Umsetzung der Maßnahmen des KI-Gesetzes zu planen. Es gliedert sich in zwei Säulen: 1) Zusammenführung und Austausch mit dem KI-Pakt-Netzwerk und 2) Erleichterung und Kommunikation der Verpflichtungen von Unternehmen. Quelle: https://digital-strategy.ec.europa.eu/fr/policies/ai-pact
[5] Die in Rede stehenden Fragen sind hier Gegenstand einer inoffiziellen maschinellen Übersetzung. Nur die Originalfassung, die nur in englischer Sprache verfügbar ist, ist verbindlich.
[6] „7. Bei der Entscheidung über die Verhängung und Festsetzung einer Geldbuße in jedem Einzelfall sind alle relevanten Umstände der besonderen Situation zu berücksichtigen und gegebenenfalls Folgendes zu berücksichtigen: g) der Grad der Verantwortung des Betreibers unter Berücksichtigung der von ihm getroffenen technischen und organisatorischen Maßnahmen.
[7] Unbeschadet anderer verwaltungsrechtlicher oder gerichtlicher Rechtsbehelfe kann jede natürliche oder juristische Person, die Grund zu der Annahme hat, dass gegen diese Verordnung verstoßen wurde, bei der betreffenden Marktüberwachungsbehörde Beschwerde einlegen. Gemäß der Verordnung (EU) 2019/1020 werden solche Beschwerden für die Zwecke der Marktüberwachungstätigkeiten berücksichtigt und gemäß den zu diesem Zweck von den Marktüberwachungsbehörden festgelegten spezifischen Verfahren behandelt.“
[8] Nach dem Inhalt des Gesetzentwurfs Nr. 8476 zum Zeitpunkt der Abfassung dieses Artikels würde die Rolle der Marktüberwachungsbehörde in Luxemburg der CNPD zugewiesen.