Mit dem 2. Februar 2025 kommen nach dem Inkrafttreten der KI-Verordnung am 1. August 2024 erstmals Regelungen der KI-Verordnung auch tatsächlich zur Anwendung. Dieses Auseinanderfallen von Inkrafttreten und Anwendbarkeit dürften die meisten schon von der Datenschutzgrundverordnung her kennen. Auch hier wurde den Unternehmen zwischen Inkrafttreten und Anwendbarkeit eine 2-jährige Umsetzungsfrist gewährt.

Ab dem 2. Februar 2025 werden nun Kapitel I und Kapitel II der KI-Verordnung anwendbar. Dies sind die allgemeinen Bestimmungen und das Verbot bestimmter Verwendungen von KI (die sogenannten „Verbotenen Praktiken“). Zu den allgemeinen Bestimmungen gehört auch die Notwendigkeit einer KI-Kompetenz. Manche nennen die Person auch „KI-Beauftragten“, manche „KI-Manager“.

Regelung der KI-Verordnung zur KI-Kompetenz

Was regelt nun die KI-Verordnung zur KI-Kompetenz?

Anbieter und Betreiber von KI-Systemen müssen nunmehr eine „KI-Kompetenz“ sicherstellen. Art. 4 KI-Verordnung lautet:

„Die Anbieter und Betreiber von KI-Systemen ergreifen Maßnahmen, um nach besten Kräften sicherzustellen, dass ihr Personal und andere Personen, die in ihrem Auftrag mit dem Betrieb und der Nutzung von KI-Systemen befasst sind, über ein ausreichendes Maß an KI-Kompetenz verfügen, wobei ihre technischen Kenntnisse, ihre Erfahrung, ihre Ausbildung und Schulung und der Kontext, in dem die KI-Systeme eingesetzt werden sollen, sowie die Personen oder Personengruppen, bei denen die KI-Systeme eingesetzt werden sollen, zu berücksichtigen sind.“

Nach Art. 3 Nr. 56 ist die KI-Kompetenz legaldefiniert als

„die Fähigkeiten, die Kenntnisse und das Verständnis, die es Anbietern, Betreibern und Betroffenen unter Berücksichtigung ihrer jeweiligen Rechte und Pflichten im Rahmen dieser Verordnung ermöglichen, KI-Systeme sachkundig einzusetzen sowie sich der Chancen und Risiken von KI und möglicher Schäden, die sie verursachen kann, bewusst zu werden.“

Was nicht jedem bewusst ist: „Betreiber“ ist etwas missverständlich formuliert. Gemeint ist nämlich nicht nur, dass man das KI-System oder das KI-Modell selbst hostet, sondern bereits die einfache Verwendung gängiger KI-Systeme wie ChatGPT, Microsoft Copilot oder Github Copilot reicht aus, um als Betreiber zu gelten. Jedes Unternehmen, das also KI nutzt, ist bereits Betreiber im Sinne der KI-Verordnung. Wenn man KI hingegen rein privat nutzt, ist man allerdings kein Betreiber. Ähnlich wie im Datenschutz gilt hier die Haushaltsausnahme.

Zum Anbieter wird ein Unternehmen dann, wenn es ein KI-System oder -Modell entwickelt (zum Beispiel OpenAI als Anbieter von ChatGPT, Anthropic von Claude, Mistral, Microsoft von Copilot) oder entwickeln lässt (wenn man als Unternehmen ein KI-System von einem Dienstleistungsunternehmen entwickeln lässt) und es in eigenem Namen oder Handelsmarke in Verkehr bringt oder ein KI-System unter eigenem Namen oder Handelsmarke in Betrieb nimmt (das ist dann der Fall, wenn ein Unternehmen ein bestehendes KI-System unter seinem eigenen Namen brandet, zum Beispiel ein Company GPT).

Bedeutung für die Unternehmen

Art. 4 KI-Verordnung ist damit relativ weitreichend, auch wenn die Regelung sehr unscheinbar daherkommt:

In dem Moment, in dem ich als Unternehmen KI einsetze muss ich ab dem 2. Februar 2025 sicherstellen, dass in meinem Unternehmen eine KI-Kompetenz besteht. Dies soll sicherstellen, dass die Personen, die KI im Unternehmen einsetzen, wissen, was die KI tut, es soll zusagen eine menschliche Aufsicht sichergestellt werden.

Was bedeutet das nun konkret an dem 2. Februar für Unternehmen?

• Wer ist betroffen?
  Die meisten Unternehmen dürften KI mittlerweile aufgrund der immensen Bedeutung seit dem Release von ChatGPT im November 2022 einsetzen. Selbst wenn ich als Unternehmen noch keinerlei KI-Tools bereitstellen sollte (was immer weniger der Fall sein sollte), werde ich dann schon Betreiber, wenn Mitarbeiterinnen und Mitarbeiter ihre eigenen KI-Tools im Rahmen einer Schatten-IT einsetzen (sogenannte „Bring Your OWN AI“). Dies ist nach allgemeinen Umfragen mittlerweile immer häufiger der Fall mit allen Gefahren, die für Unternehmen im Hinblick auf Datenschutz und Geschäftsgeheimnisschutz verbunden sind.

• Wer muss die Kompetenz haben?
  Die Kompetenz muss beim Personal bestehen oder bei den Personen, die KI im Auftrag des Unternehmens nutzen (das wären dann zum Beispiel Dienstleister, die keine Angestellten sind). Die Kompetenz muss durchgehend bei der Nutzung von KI gewährleistet sein, es ist daher insbesondere dafür zu sorgen, dass auch in Zeiten von Urlaubsabwesenheiten oder krankheitsbedingten Fehlzeiten die Kompetenz sichergestellt ist. Unternehmen sollten daher nach Möglichkeit und nach Größe mehrere Personen haben, welche die KI-Kompetenz erfüllen. Dies ist auch ein Unterschied zum Datenschutzbeauftragten, dort muss ich in der Regel nur einen bestellen und brauche auch keine Vertretung.
  Die KI-Verordnung selbst spricht also nicht von einem „KI-Beauftragten“ oder einem „KI-Manager“, sondern von „KI-Kompetenz“. Die genannten Begriffe werden aber in der Regel in der Praxis gleichbedeutend verwendet für Personen, die die KI-Kompetenz haben. Oft werden in Ausbildungen die Begriffe verwendet, auch bei der Ausbildung zum KI-Beauftragten der innFactory AI Consulting GmbH. Damit kommt zum Ausdruck, dass ganz bestimmte Personen für diese Kompetenz ausgebildet werden, dies macht erstens den Nachweis einfacher und zweitens können dann ganz bestimmte Personen im Unternehmen auch mit der geschäftlichen Weiterentwicklung von KI beauftragt werden, was für das Unternehmen strategische Vorteile hat.

• Wie hoch muss die KI-Kompetenz sein? Wie muss ich sie nachweisen?
  Dies ist insbesondere davon abhängig, in welchem Kontext die KI eingesetzt wird und welche Personen betroffen sind. Umso höher die Gefahr beim Einsatz von KI, desto mehr Kompetenz muss ich vorweisen können. So sind die Anforderungen an die KI-Kompetenz bei Hochrisiko-KI-Systemen höher, dort sind die Anforderungen an die „menschliche Aufsicht“, wie auch Art. 14 KI-Verordnung, in der Überschrift bezeichnet ist, höher. Die KI-Verordnung gibt damit nicht genau vor, wie hoch die KI-Kompetenz sein muss, sondern überlässt dies dem Einzelfall. Wenn ich KI in der Gesundheitsbranche oder einem Atomkraftwerk einsetze, also in Bereichen, in denen die Gefahr größer ist, muss ein Unternehmen mehr KI-Kompetenz vorweisen können als wenn ich ChatGPT nur zum Schreiben von Texten verwende, die ein Mensch danach noch sichtet.Es gibt also keine bestimmte Schulung mit vorgegebenen Inhalten, die die KI-Verordnung vorschreibt, auch gibt es kein staatliches Zertifikat. Dies kennen wir schon vom Datenschutzbeauftragten, der auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, benannt wird, wie Art. 37 Abs. 5 DSGVO vorsieht. Wie in der Praxis der Datenschutzbeauftragten macht es aber natürlich zu Nachweis- und Qualitätszwecken Sinn, den Datenschutzbeauftragten nicht nur im Literaturstudium auszubilden, sondern ihn eine Schulung besuchen zu lassen. In der Praxis der Datenschutzbeauftragten gibt es verschiedene Anbieter, die solche Schulungen durchführen und Zertifikate ausstellen. Ähnliches bietet sich für den KI-Beauftragten an. Wir als innFactory AI Consulting GmbH bieten eine solche Ausbildung mit Zertifikat an, in der die grundlegende Kompetenzen nach Art. 4 KI-Verordnung vermittelt werden. Dabei werden die Kompetenzen nach Art. 3 Nr. 56 KI-Verordnung vermittelt.Es reicht nicht eine einmalig erworbene KI-Kompetenz, sondern es ist eine fortlaufende Aus- und Weiterbildung notwendig, gerade in dieser Materie, die einem hohen technischen Fortschritt unterliegt. Auch hier unterstützt die innFactory AI Consulting.

• Handelt es sich dabei nicht nur um eine weitere bürokratische Pflicht?
  Man könnte meinen, dass diese Verpflichtung nur eine weitere bürokratische Pflicht ist und die Unternehmen – wie im derzeitigen Wahlkampf oft erzählt – noch weiter belastet. Tatsächlich soll die KI-Kompetenz keine weitere bürokratische Hürde sein, sondern die Regelung wurde auch erlassen, um den größtmöglichen Nutzen aus KI-Systemen zu ziehen (Erwägungsgrund 20 der KI-Verordnung). Die KI-Kompetenz soll also auch für das Unternehmen Vorteile bieten und z.B. durch einen Einsatz von KI dessen Zukunftsfähigkeit sicherstellen.
  Dies ist auch Ziel unserer Ausbildung zum KI-Beauftragten bei der innFactory AI Consulting GmbH: Der KI-Beauftragte soll natürlich einerseits die Anforderungen an Art. 4 KI-Verordnung erfüllen und diese nachweisen können, andererseits aber im Unternehmen eine Schlüsselrolle einnehmen und die immens wichtige Technologie der KI, welche das Wirtschaftsleben wie die Industrielle Revolution verändern wird, in das Unternehmen bringen können, indem er sinnvolle Anwendungsfälle findet und die Einführung und den Einsatz von KI im Unternehmen begleiten kann. Wenn er dann in Zukunft noch die Unterstützung der innFactory AI Consulting benötigt, sei es durch technische, prozessuale oder rechtliche Expertise, stehen wir dafür zur Verfügung, im Fall von Rechtsdienstleistung im Sinne von § 2 RDG durch Nennung von geeigneten Kanzleien bzw. des Einsatzes der eigenen Rechtsabteilung oder des eigenen Rechtsanwalts des Kunden.Auch die Wettbewerbsfähigkeit der KI in der Europäischen Union soll nach der Gesetzesbegründung dadurch verbessert werden, dass alle einschlägigen Akteuren der KI-Wertschöpfungskette entsprechende Kenntnisse haben. Martini/Wendehorst bezeichnen die Schaffung hinreichender KI-Kompetenz sogar als eine „gesamtgesellschaftliche Aufgabe“ (vgl. Martini/Wendehorst/Wendehorst, 1. Aufl. 2024, KI-VO Art. 4 Rn. 22).

• Wie wird die Verpflichtung durchgesetzt und was sind die Rechtsfolgen eines Verstoßes?
  Den Datenschutzbeauftragten muss das Unternehmen bei der Datenschutzaufsichtsbehörde melden, ein Verstoß gegen die Verpflichtung zur Bestellung und Benennung ist mit bis zu 10 Millionen Euro oder von bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes bewährt (Art. 83 Abs. 4 lit. a DSGVO). Eine solche Verpflichtung zur Benennung einer Person mit KI-Kompetenz gegenüber den Behörden besteht nicht, auch sieht die KI-Verordnung keine Geldbußen vor, wenn die KI-Kompetenz nicht vorliegt. Die Geldbußen der KI-Verordnung sind durchaus sehr hoch (je nach Verstoß in einem Maß zwischen bis zu 7,5 – 35 Millionen Euro oder respektive 1-7% des weltweiten Jahresumsatzes), die KI-Kompetenz wird allerdings in dem Bußgeldkatalog nicht erwähnt.Wenn ich allerdings Betreiber einer Hochrisiko-KI bin, dann ist ein Verstoß auch bußgeldbewehrt (Art. 99 Abs. 4 lit. e, Art. 26 Abs. 2 KI-VO). Das Bußgeld beträgt in diesem Fall bis zu 15 Millionen Euro oder bis zu 3% des gesamten weltweiten Jahresumsatzes).

• Ist es also für die meisten Unternehmen eine Pflicht ohne Konsequenz?
  Nein. Die Verpflichtung zur KI-Kompetenz ist zwar mit Ausnahme im Fall von Hochrisiko-KI nicht bußgeldbewehrt. Gleichzeitig ist es aber eine rechtliche Pflicht, Art. 4 KI-VO ist nicht fakultativ, sondern obligatorisch: Die Anbieter und Betreiber „ergreifen“ Maßnahmen, um eine KI-Kompetenz sicherzustellen. „Nach besten Kräften“ schwächt das Ganze zwar wieder etwas ab. In der Literatur ist daher umstritten, welche praktische Bedeutung diese Verpflichtung hat, wenn die Durchsetzung nicht mit einem Bußgeld möglich ist.

Es ist allerdings dennoch kein „zahnloser Tiger“: