Datenschutz-Blog der SDG

KI-Verordnung Schulungspflicht

17. März 2025 von Vera Franz

Die EU hat 2024 die Verordnung über künstliche Intelligenz (KI-VO) verabschiedet, welche zentrale Anforderungen an den Umgang mit KI-Anwendungen stellt. Ab dem 1. Februar 2025 sind Unternehmen, die KI-Systeme einsetzen, verpflichtet, ihre Mitarbeiter diesbezüglich zu schulen.

KI-Richtlinie des Unternehmens

Jedes Unternehmen, das KI einsetzt, benötigt zum einen eine KI-Richtlinie, die klare und verbindliche Regeln für die Mitarbeitenden festlegt. Diese Richtlinie sollte über die Vorgaben der KI-VO hinausgehen und ebenfalls das Datenschutz- und Urheberrecht und weitere Aspekte wie die Zulassung von KI-Systemen im Unternehmen, den Schutz von Geschäftsgeheimnissen, die Qualitätssicherung sowie die Datensicherheit umfassen. Ziel ist es, die Verletzung von Rechten Dritter zu verhindern und potenzielle Schäden für das Unternehmen abzuwenden. In der Schulung ist es essenziell, den Mitarbeitenden die Inhalte der Richtlinie zu vermitteln und diese anhand von praxisnahen Beispielen einzuüben.

KI-Kompetenz

Nach Art. 4 der KI-VO sind Anbieter und Betreiber von KI-Systemen verpflichtet, Maßnahmen zu ergreifen, um sicherzustellen, dass ihr Personal sowie beauftragte Dritte über ausreichende KI-Kompetenz verfügen. Dabei sollen sowohl die Vorkenntnisse der Mitarbeitenden als auch die Art der eingesetzten KI-Systeme berücksichtigt werden. Artikel 3 Nr. 56 der KI-VO definiert KI-Kompetenz als:

"Fähigkeiten, Kenntnisse und das Verständnis, die es Anbietern, Betreibern und Betroffenen ermöglichen, KI-Systeme sachkundig einzusetzen sowie sich der Chancen, Risiken und möglicher Schäden bewusst zu werden."

Diese Definition umfasst drei zentrale Dimensionen:

  1. Technisches Wissen: Nutzende müssen die grundlegenden Funktionsweisen von KI-Systemen verstehen, einschließlich maschinellen Lernens und Algorithmen, um Entscheidungen nachvollziehen und kritisch hinterfragen zu können.
  2. Bewusstsein für Chancen und Risiken: Die Vorteile von KI, wie Effizienzsteigerung und bessere Entscheidungsprozesse, müssen erkannt werden. Gleichzeitig gilt es, Risiken wie Datenschutzprobleme, Verzerrungen (Bias) und Sicherheitslücken aktiv zu adressieren.
  3. Rechtliches und ethisches Verständnis: Mitarbeitende müssen die rechtlichen Vorgaben kennen und ethische Standards einhalten. Dazu zählen insbesondere Datenschutz, Diskriminierungsvermeidung und Transparenzanforderungen.

Das Ziel ist nicht nur die Vermittlung rechtlicher Rahmenbedingungen, sondern die Befähigung zu einem verantwortungsvollen Umgang mit KI.

Schulungen als Kernmaßnamen zur Kompetenzförderung

Um die Anforderungen der KI-VO zu erfüllen, ist ein umfassendes Schulungskonzept entscheidend. Schulungen sollten alle Personen einbeziehen, die in irgendeiner Form mit KI-Systemen arbeiten, einschließlich:

  • Operative Mitarbeitende: Personen, die für Bedienung und Wartung zuständig sind
  • Führungskräfte und Geschäftsleitung: Entscheidungsträger, die KI strategisch nutzen.
  • Externe Dienstleister und Leiharbeitnemende: Auch temporär eingesetztes Personal muss über grundlegende KI-Kompetenz verfügen.

Kerninhalte der Schulung

1. Regelungen der KI-Verordnung

Ein zentraler Bestandteil der Schulung sind die Vorschriften der KI-VO selbst. Ab Februar 2025 treten die Regelungen zu verbotenen Praktiken in Kraft (Art. 5 Abs. 1 KI-VO). Diese umfassen KI-Systeme, die ein erhebliches Risiko für die Grundrechte darstellen und deshalb gesetzlich untersagt sind. Für Unternehmen sind insbesondere folgende Verbote relevant:

  • KI-Systeme, die Menschen manipulieren oder deren besondere Schutzbedürftigkeit ausnutzen, um ihnen erheblichen Schaden zuzufügen.
  • Systeme, die Personen oder Gruppen anhand ihres Verhaltens oder bestimmter Merkmale bewerten, um sie gezielt zu benachteiligen (z. B. Social Scoring).
  • Emotionserkennungssysteme am Arbeitsplatz oder in Bildungseinrichtungen, außer sie dienen medizinischen oder Sicherheitszwecken.
  • Biometrische Verfahren zur Kategorisierung, die sensible Daten wie ethnische Herkunft oder politische Ansichten ableiten.

Darüber hinaus sollten Schulungen den Anwendungsbereich der Verordnung sowie das risikobasierte Regelungssystem erläutern. Auch wenn die spezifischen Vorschriften zu Hochrisiko-KI erst ab August 2026 bzw. 2027 gelten, ist es bereits jetzt wichtig, diese zu kennen, um potenzielle Risiken solcher Systeme frühzeitig bewerten zu können.

2. Datenschutz

Ein weiterer Bestandteil der Schulung ist die Einhaltung des Datenschutzrechts. Unternehmen müssen sicherstellen, dass ihre Mitarbeiter beim Training von KI-Systemen mit Daten datenschutzkonform handeln. Dazu gehört die Anonymisierung der Datensätze oder die Einholung der Zustimmung betroffener Personen.

Zudem sollten Mitarbeiter und Kunden transparent über die Datenverarbeitung informiert werden.

Die unternehmenseigene KI-Richtlinie muss klare Vorgaben für den Umgang mit personenbezogenen Daten geben. Die Schulung sollte diese Regelungen anschaulich erklären, damit Mitarbeiter sie in der Praxis sicher umsetzen können.

3. Urheberrecht

Zudem gibt das Urheberecht rechtliche Aspekte vor: Die Mitarbeitenden müssen verstehen, unter welchen Bedingungen sie Bilder, Texte oder andere urheberrechtlich geschützte Werke Dritter für Trainingszwecke oder Prompts verwenden dürfen.

4. Technisches Verständnis

Ein weiterer zentraler Aspekt der Schulung betrifft technische Fragestellungen. Dabei sollten die verschiedenen Arten von KI-Systemen, wie etwa generative KI, vorgestellt werden. Im Gegensatz zu klassischer Software basieren KI-Anwendungen häufig auf künstlichen neuronalen Netzen oder Machine-Learning-Techniken, was spezifische Funktionsweisen und Herausforderungen mit sich bringt. Die Mitarbeitenden müssen die Risiken solcher Systeme verstehen, etwa die potenzielle Unzuverlässigkeit der Ergebnisse unter bestimmten Bedingungen. Essenziell sind hier sorgfältige Qualitätskontrollen, bevor die Ergebnisse eines KI-Systems im Unternehmen genutzt oder an Kunden weitergegeben werden.

Compliance durch Schulung

Unternehmen sollten ein großes Interesse daran haben, ihre Mitarbeitenden frühzeitig zu schulen. Werden beispielsweise durch den Einsatz von KI-Anwendungen Urheberrechte Dritter verletzt oder Datenschutzverstöße begangen, wird dies dem Unternehmen zugerechnet. Schulungen tragen dazu bei, solche Vorfälle zu vermeiden und Schäden abzuwenden. Wenn ein Verstoß auftritt und ein Bußgeldverfahren nach der DSGVO eingeleitet wird, können Unternehmen, die nachweisen können, dass ihre Mitarbeitenden ordnungsgemäß geschult wurden, Bußgelder erheblich reduzieren.

Wir haben unser Schulungsportal für Datenschutz- und Informationssicherheitsschulungen um die Vorgaben aus der KI-VO ergänzt, um auch diesbezüglich Schulungen anbieten zu können. Sprechen Sie uns gerne an, damit wir Ihnen für Ihr Unternehmen ein Angebot unterbreiten können. Auch bei der Erstellung Ihrer unternehmenseigenen KI-Richtlinie sind wir kompetent behilflich.

Haben wir Ihr Interesse geweckt?
Termin vereinbaren