KI-Kompetenz im Einklang mit dem AI Act: Was nun zu tun ist

E&C-Management muss sich stets an neue Anforderungen anpassen. Dazu gehört aktuell, den korrekten Umgang mit künstlicher Intelligenz (KI) sicherzustellen.

Die EU-KI-Verordnung (EU AI Act) betrifft nicht nur Organisationen, die KI-Systeme entwickeln oder vertreiben, sondern auch jene, die KI-Systeme beruflich nutzen. Der Begriff „Betreiber“ entspricht in diesem Zusammenhang möglicherweise nicht dem alltäglichen Sprachgebrauch. Und obwohl die Verordnung sich vor allem auf Anforderungen zur Produktkonformität konzentriert, enthält sie auch Verpflichtungen für Betreiber*innen. Dabei bleibt der AI Act seinem risikobasierten Ansatz treu.

Eine hilfreiche Übersicht bietet die KI-Servicestelle der RTR zum AI Act: Betreiberverpflichtungen | KI-Servicestelle | RTR

Praxistauglich empfiehlt sich folgendes Vorgehen:

Angemessene KI-Kompetenz gewährleisten, Hochrisiko-KI erkennen, verbotene Praktiken vermeiden

Mit Februar 2025 ist angemessene KI-Kompetenz der Beschäftigten zu gewährleisten. Dies ist in mehrfacher Hinsicht relevant. Einerseits liegt darin eine rechtliche Verpflichtung (Art 4 AI Act). Zum anderen ist ohne entsprechende Fachkenntnisse eine Einhaltung der weiteren Vorgaben des AI Act nicht gewährleistet. Darüber hinaus sind KI-Kompetenzen erforderlich, um die
Potenziale von KI bestmöglich zu nutzen und gleichzeitig die damit verbundenen Risiken zu managen.  

Wichtig ist hierbei der Begriff „angemessen“. Je nach Einsatzszenario sind unterschiedliche Kompetenzen erforderlich. Wer KI
lediglich für einfache Aufgaben wie die Nutzung eines Chatbots für nicht vertrauliche Anfragen oder Recherchezwecke verwendet, benötigt weniger Expertise als jemand, der an der Entwicklung von Hochrisiko-KI-Systemen
arbeitet.

Jede Person, die KI-Systeme nutzt, sollte wissen, welche Praktiken grundsätzlich verboten sind, und sich daher mit den Vorgaben in Artikel 5 des AI Act vertraut machen. Ebenso müssen diejenigen, die strategische Entscheidungen über den Einsatz von KI-Systemen in einer Organisation treffen, genau wissen, was ein Hochrisiko-KI-System ist, um die damit verbundenen umfangreichen Pflichten erfüllen zu können. Weiterführende Informationen dazu bietet die KI-Servicestelle in ihrer anschaulichen Darstellung: AI Act: KI-Kompetenz | KI-Servicestelle der RTR | RTR | RTR

Was die verbotenen Praktiken betrifft, dürften diese kaum überraschen. So ist es beispielsweise untersagt, KI-Systeme für unterschwellige Beeinflussung oder Manipulation von Menschen einzusetzen. Ebenso verboten ist das Social Scoring sowie das Erfassen oder Ableiten von Emotionen natürlicher Personen am Arbeitsplatz. Zwar ist die Liste der verbotenen Praktiken
umfangreich, sie ist jedoch weitgehend nachvollziehbar und steht im Einklang mit den europäischen Werten.

Vertraulichkeit und Datenschutz gewährleisten, Urheberrecht beachten

Beim Einsatz von KI-Systemen ist es essenziell, sich über die technischen Eigenschaften der jeweiligen Anwendung im Klaren zu sein. KI basiert grundsätzlich auf großen Datenmengen, und häufig finanzieren Anbieter ihre scheinbar kostenlose Nutzung, indem sie die von Nutzer*innen eingegebenen Daten für die Weiterentwicklung des Systems verwenden dürfen. Dies kann aus
mehreren Gründen problematisch sein: So könnten beispielsweise Geschäftsgeheimnisse ungewollt offengelegt oder personenbezogene Daten unter Verstoß gegen die DSGVO verarbeitet werden. Insbesondere bei der Verarbeitung
personenbezogener Daten über kostenlose KI-Tools aus dem Internet ist ein Verstoß gegen Datenschutzbestimmungen sehr wahrscheinlich – weshalb davon dringend abzuraten ist. Nützliche Informationen zu KI und Datenschutz stellt
unter anderem die Datenschutzbehörde (DSB) zur Verfügung: Künstliche Intelligenz & Datenschutz

Es wurde bereits vielfach darauf hingewiesen, dass KI-Modelle häufig unter Missachtung des Urheberrechts entwickelt werden. Das entbindet jedoch weder Betreiber noch Nutzer*innen von ihren Pflichten. Achten Sie daher bei der Nutzung von KI-Systemen stets auf fremde Schutzrechte und Lizenzbedingungen. Besonders schwierig ist dies bei der Verwendung kostenloser Webtools.

Vorsicht mit dem Output

Kürzlich haben die KI-Modelle des chinesischen Anbieters DeepSeek aus verschiedenen Gründen für Aufsehen gesorgt, unter anderem wegen möglicher Zensur. Grundsätzlich ist bekannt, dass KI-Systeme – unabhängig von ihrer Herkunft – Verzerrungen (Bias) aufweisen und „halluzinieren“ können. Damit einher geht das Risiko, dass vermeintlich perfekte KI-Antworten unvollständig oder schlicht falsch sein können.

Gerade im unternehmerischen Kontext ist daher besondere Vorsicht geboten. Überprüfen Sie generierte Inhalte nach Möglichkeit mithilfe weiterer Quellen und hinterfragen Sie kritische Informationen stets, bevor Sie Entscheidungen treffen oder Inhalte weiterverbreiten. Auf diese Weise können potenzielle Fehler minimiert und mögliche Risiken verantwortungsvoll gehandhabt werden.

Praxistipps für den sicheren und effizienten Einsatz von KI-Systemen

1. Daten anonymisieren
   
   • Stellen
     Sie sicher, dass der Input vor der Verarbeitung anonymisiert wurde.
2. Geschützte Inhalte nicht hochladen
   
   • Vermeiden Sie es, geschützte oder vertrauliche Inhalte in KI-Systeme hochzuladen, die aus den eingegebenen Daten lernen oder das Wissen weitergeben könnten.
3. KI lokal betreiben
   
   • Prüfen Sie, ob Sie KI-Anwendungen lokal installieren und ausführen können, zum Beispiel mithilfe von Tools wie LM Studio. Dies bietet Ihnen mehr Kontrolle über Ihre Daten und reduziert Abhängigkeiten von externen Diensten.
4. Passendes Modell wählen
   
   • Wählen Sie stets ein auf Ihren Anwendungsfall passendes KI-Modell. Durch den Einsatz schlanker und spezialisierter Modelle sparen Sie Ressourcen und Energie. Setzen Sie umfangreiches Reasoning oder rechenintensive Modelle nur dann ein, wenn es für Ihre Aufgaben tatsächlich einen Mehrwert bringt.
5. Lizenz-und Nutzungsbedingungen einhalten
   
   • Behalten Sie bei allen KI-Anwendungen die Lizenzbestimmungen im Blick, vor allem wenn Sie auf kostenlose Webtools zurückgreifen. Gerade bei kostenfreien Angeboten können Einschränkungen oder versteckte Klauseln gelten, die Ihren Handlungsspielraum begrenzen.
6. Vorgaben berücksichtigen
   
   • Beachten Sie die geltenden interne und externe Vorschriften (z.B. DSGVO) oder Bestimmungen zum Schutz von Betriebsgeheimnissen. Vermeiden Sie verbotene Praktiken mit KI und prüfen frühzeitig Anforderungen des AI Acts,  insbes. iZm. High Risk Anwendungen.
7. Keine Schatten IT / KI
   
   • Die meisten Organisationen verfügen über eindeutige Vorgaben, welche IT-Anwendungen unter welchen Bedingungen genutzt werden dürfen. Diese Richtlinien dienen vielfältigen Zwecken: Sie stellen unter anderem sicher, dass  Lizenzbestimmungen eingehalten, die Informationssicherheit gewährleistet, sensible Daten geschützt und  arbeitsrechtliche Vorgaben beachtet werden. Halten Sie sich daher unbedingt an diese Regeln und vermeiden Sie es, Systeme außerhalb des genehmigten Rahmens zu betreiben.

Ein paar hilfreiche Links

·      KI-Servicestelle der RTR zum AI Act: Betreiberverpflichtungen | KI-Servicestelle | RTR

·      Datenschutzbehörde (DSB) zur Verfügung: Künstliche Intelligenz & Datenschutz

·      Christoph Magnussen – Das ChatGPT-Basics-Tutorial: https://www.youtube.com/watch?v=rj7I7ajyLd0

·      3Blue1Brown – Aber was ist ein GPT? Visuelle Einführung in Transformers: https://www.youtube.com/watch?v=wjZofJX0v4M

·       Kevin Stratvert – LM Studio Tutorial: Run Large Language Models (LLM) on Your Laptop: https://www.youtube.com/watch?v=ygUEbCpOOLg 

·      Ethan Mollick – großartiger Blog: https://www.oneusefulthing.org/

Fortsetzung folgt.

Inzwischen findest mehr zum Thema E&C Management unter https://www.inecos.eu/ethics-compliance-management/