Mit der neuen KI-Verordnung (KI-VO) schafft die Europäische Union erstmals einen einheitlichen Rechtsrahmen für den Einsatz von künstlicher Intelligenz (KI). Der sogenannte AI-Act tritt schrittweise in Kraft und bringt verbindliche Vorschriften für Unternehmen, die KI-Technologien entwickeln oder nutzen. Während erste Regelungen, wie das Verbot bestimmter KI-Praktiken und die Pflicht zur KI-Kompetenz, bereits seit dem 2. Februar 2025 gelten, folgen weitere Bestimmungen, darunter Strafvorschriften (ab 2. August 2025) sowie spezifische Anforderungen an Hochrisiko-KI-Systeme (ab 2. August 2026).
Die Verordnung verfolgt das Ziel, einen rechtssicheren Rahmen für KI-Anwendungen zu schaffen, um sowohl Innovation und Investitionen zu fördern als auch Grundrechte, Sicherheit und Datenschutz zu schützen.
Was ist künstliche Intelligenz und wie wird sie eingesetzt?
KI-Systeme sind in der Lage, große Mengen an Daten zu analysieren, Muster zu erkennen und eigenständig Entscheidungen zu treffen. Sie werden zunehmend in Unternehmen eingesetzt, beispielsweise für:
- Automatisierte Kundenkommunikation und Textgenerierung
- Analyse und Optimierung von Geschäftsprozessen
- Identifizierung von Unregelmäßigkeiten in Finanz- oder Steuerdaten
- Bewerbungsfilterung und Personalmanagement
Trotz ihrer vielseitigen Einsatzmöglichkeiten sind KI-Systeme nicht fehlerfrei, weshalb der menschlichen Kontrolle weiterhin eine entscheidende Rolle zukommt.
Verpflichtung zur KI-Kompetenz seit 2. Februar 2025
Unternehmen, die KI-Systeme anbieten oder verwenden, müssen seit 2. Februar 2025 sicherstellen, dass ihre Mitarbeiter:innen über ausreichende KI-Kompetenz verfügen (Artikel 4 KI-VO). Diese Pflicht gilt nicht nur für Angestellte, sondern auch für freie Dienstnehmer:innen oder externe Partner:innen, die mit KI-Systemen arbeiten.
Die erforderliche Sachkenntnis kann durch:
✔ Interne Richtlinien und betriebsinterne Schulungen
✔ Weiterbildungsmaßnahmen durch externe Anbieter
✔ Klare betriebliche Anweisungen und Dokumentationen vermittelt werden.
Unternehmen sollten zudem sicherstellen, dass Mitarbeitende über Datenschutzvorgaben (DSGVO), Urheberrechte (UrhG), Betriebs- und Geschäftsgeheimnisse sowie Haftungsfragen informiert sind.
💡 Tipp:
Es empfiehlt sich, interne Richtlinien zum KI-Einsatz zu erstellen, um festzulegen, welche Anwendungen zulässig sind und wie deren Ergebnisse überprüft werden müssen.
Einstufung von KI-Systemen nach Risikoklassen
Die KI-Verordnung unterscheidet verschiedene Risikostufen, die unterschiedlich strenge Anforderungen nach sich ziehen:
1️⃣ Verbotene KI-Praktiken (Artikel 5 KI-VO)
2️⃣ Hochrisiko-KI-Systeme (Artikel 6 und Anhang III KI-VO)
3️⃣ KI-Systeme zur direkten Interaktion mit Menschen (Artikel 50 KI-VO)
4️⃣ KI-Systeme mit allgemeinem Verwendungszweck (General-purpose AI – GPAI, Artikel 53 KI-VO)
Die Vorschriften orientieren sich an der potenziellen Gefährdung durch KI-Anwendungen. Während bestimmte Technologien bereits seit Februar 2025 verboten sind, gelten für Hochrisiko-Systeme ab August 2026 strenge Auflagen.
Verbotene KI-Praktiken seit 2. Februar 2025
Seit dem 2. Februar 2025 sind bestimmte KI-Technologien in der EU untersagt. Ab dem 2. August 2025 treten zudem Strafbestimmungen für Verstöße in Kraft. Verboten sind insbesondere:
- KI-Technologien, die manipulative Techniken einsetzen, um Personen unbewusst zu beeinflussen.
- Emotionserkennungssysteme am Arbeitsplatz, sofern sie nicht aus medizinischen oder sicherheitsrelevanten Gründen erforderlich sind.
- Biometrische Systeme zur Feststellung sensibler persönlicher Merkmale (z. B. ethnische Zugehörigkeit, politische oder religiöse Überzeugungen, sexuelle Orientierung).
💡 Tipp:
Unternehmen sollten überprüfen, ob ihre eingesetzten oder geplanten KI-Technologien mit den neuen Vorgaben konform sind. Falls eine Anwendung unter die verbotenen Kategorien fällt, muss sie unverzüglich außer Betrieb genommen werden.
KI-Systeme mit direkter Interaktion: Neue Transparenzpflichten ab 2. August 2026
Ab 2. August 2026 gelten für Unternehmen zusätzliche Transparenzanforderungen, wenn KI-Systeme zur direkten Kommunikation mit Menschen genutzt werden. Dies betrifft insbesondere den Einsatz von KI-generierten Inhalten wie Deepfakes, die künftig offengelegt werden müssen (Artikel 50 Abs. 4 KI-VO).
Hochrisiko-KI-Systeme: Strenge Anforderungen ab 2. August 2026
Als Hochrisiko-KI-Systeme gelten Anwendungen, die in sensiblen Bereichen zum Einsatz kommen, darunter:
- Kritische Infrastruktur (z. B. Energieversorgung, Krankenhäuser)
- Personalmanagement (z. B. Bewerbungsfilterung, Arbeitsplatzüberwachung, Kündigungsentscheidungen)
- Automatisierte Entscheidungsprozesse, die Rechte oder Freiheiten von Personen betreffen
Unternehmen, die Hochrisiko-KI-Systeme nutzen, müssen folgende Maßnahmen umsetzen:
✔ Sicherstellen, dass die Systeme gemäß Betriebsanleitungen verwendet werden
✔ Menschliche Aufsicht über den Einsatz der KI gewährleisten
✔ Automatische Protokolle mindestens sechs Monate speichern
✔ Mitarbeiter:innen und den Betriebsrat (falls vorhanden) informieren
Sanktionen bei Verstößen gegen die KI-Verordnung
Die KI-VO sieht strenge Sanktionen für Verstöße vor, die ab 2. August 2025 geahndet werden können. Unternehmen drohen:
💰 Geldstrafen von bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes (Artikel 99 KI-VO).
Die Mitgliedstaaten sind zudem befugt, zusätzliche Strafen und Durchsetzungsmaßnahmen festzulegen. Es bleibt abzuwarten, welche konkreten Vorschriften in Österreich eingeführt werden.
💡 Tipp:
Zwar ist die Pflicht zur Schulung der Mitarbeiter:innen nicht direkt sanktioniert, doch steigt das Risiko von Haftungsfällen, wenn ungeschultes Personal rechtswidrige KI-Technologien verwendet. Unternehmen sollten daher sicherstellen, dass alle relevanten Personen rechtzeitig geschult werden.
Fazit: Jetzt handeln und KI-Compliance sicherstellen
Die neue KI-Verordnung der EU stellt Unternehmen vor neue Herausforderungen. Um rechtliche Risiken zu vermeiden, sollten Unternehmen:
✅ KI-Systeme auf Konformität prüfen und verbotene Technologien außer Betrieb nehmen.
✅ Interne Schulungen und Richtlinien zur Erfüllung der KI-Kompetenzpflicht umsetzen.
✅ Transparenz- und Datenschutzanforderungen anpassen.
✅ Sicherstellen, dass Hochrisiko-KI-Systeme den gesetzlichen Anforderungen entsprechen.
Angesichts der steigenden Regulierungsdichte und drohenden Sanktionen sollten Unternehmen frühzeitig Maßnahmen ergreifen. Gerne unterstützen wir Sie dabei, KI-Systeme rechtssicher in Ihr Unternehmen zu integrieren und gesetzliche Vorgaben zu erfüllen.
Stand: 04.03.2025
Quelle: WKO, Vorlagenportal
Foto: Cottonbro