Digitalisierung
Künstliche Intelligenz sicher im Betrieb nutzen
Künstliche Intelligenz verspricht Effizienz – bringt aber auch neue rechtliche Pflichten mit sich. Was gilt als KI-System? Welche Regelungen gibt es in der EU? Welche datenschutzrechtlichen Aspekte sind zu beachten? Dieser Beitrag gibt einen kompakten Einblick in die sichere Nutzung von KI-Systemen und zeigt anhand konkreter Beispiele, wie sich Organisationen bereits jetzt vorbereiten können.
Der Einsatz künstlicher Intelligenz in der betrieblichen Praxis ist längst keine Zukunftsvision mehr, sondern gelebte Realität. Ob bei alltäglichen Aufgaben (z. B. der Erstellung von E-Mails), in der automatisierten Personalverwaltung oder als Unterstützung im Bereich der medizinischen Diagnostik – KI-Systeme versprechen Effizienzgewinne und Kosteneinsparungen. Gleichzeitig stellen sie Mitarbeitende, Führungspersonen und ganze Organisationen vor neue Herausforderungen. Insbesondere folgende juristische Fragen treten dabei regelmäßig in den Vordergrund und werden im vorliegenden Beitrag möglichst praxisnah behandelt:
Was ist eigentlich ein KI-System? Welche Bedeutung haben die neuen EU-Regelungen für den betrieblichen KI-Einsatz? Welche datenschutzrechtlichen Aspekte sind zu beachten?
Der Beitrag richtet sich an Fachpersonen ohne juristische Vorkenntnisse und soll eine erste Orientierung bieten. Aufgrund der Dynamik und Vielschichtigkeit des Themas wird kein Anspruch auf Vollständigkeit erhoben.
Die KI-VO: Ein Ordnungsrahmen für KI
Seit 1. August 2024 ist die „Verordnung zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz (...)“ (kurz: KI-VO bzw. AI Act) in Kraft[1]. Sie wird schrittweise bis 2. August 2027 in Geltung gesetzt. Als EU-Verordnung gilt sie unmittelbar in allen Mitgliedstaaten. Verstöße können mit hohen Geldbußen geahndet werden[2].
Neben der Vereinheitlichung des Rechtsrahmens soll die KI-VO eine auf den Menschen ausgerichtete und vertrauenswürdige KI etablieren. Es soll sowohl das enorme Potenzial von KI genutzt werden als auch sichergestellt werden, dass die Technologie im Einklang mit den Werten und Grundrechten der Union steht[5].
Die KI-VO definiert ein KI-System technologieneutral als „ein maschinengestütztes System, das für einen in unterschiedlichem Grade autonomen Betrieb ausgelegt ist und das nach seiner Betriebsaufnahme anpassungsfähig sein kann und das aus den erhaltenen Eingaben für explizite oder implizite Ziele ableitet, wie Ausgaben wie etwa Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen erstellt werden, die physische oder virtuelle Umgebungen beeinflussen können.“[6]
Im Unterschied zu herkömmlicher Software muss ein KI-System in der Lage sein, selbst Ausgaben abzuleiten (z. B. durch Lernprozesse wie Machine Learning).[7] Ein Word-Dokument, das bspw. aufgrund vordefinierter Befehle ein Inhaltsverzeichnis erstellt, wird daher wohl nicht als KI-System gelten. Gleiches gilt für eine Excel-Tabelle, die aufgrund verschiedener Parameter automatisch ein Budget errechnet[8].
Die KI-VO verfolgt einen risikobasierten Ansatz: Je höher das antizipierte Risiko eines KI-Systems, desto strenger sind die rechtlichen Anforderungen. Unterschieden werden folgende Risikoklassen (s. Abbildung 1):
- inakzeptables Risiko
- hohes Risiko
- begrenztes Risiko
- minimales oder kein Risiko
EU-Recht: Richtlinie vs. Verordnung
Die Europäische Union wird regulatorisch üblicherweise mittels Verordnungen (VO) oder Richtlinien (RL) tätig. Verordnungen sind in allen ihren Teilen verbindlich und gelten unmittelbar in allen Mitgliedstaaten (z. B. die DSGVO und die KI-VO). Im Gegensatz dazu sind Richtlinien hinsichtlich des Ziels, das sie verfolgen, verbindlich, gelten aber nicht unmittelbar in allen Mitgliedstaaten. Sie müssen zuerst durch ein nationales Gesetz innerhalb einer gewissen Frist umgesetzt werden[3]. Sie geben Standards vor, lassen aber einen gewissen Gestaltungsspielraum (z. B. EU-Produkthaftungsrichtlinie)[4].
KI-Systeme nach Risikokategorien
Die KI-VO erwähnt einige KI-Systeme, welche in verschiedene Risikokategorien fallen, die Einordnung kann je nach Anwendung, jedoch auch variieren:
Verbotene KI-Systeme (z. B. Social Scoring, Ableitung von Emotionen am Arbeitsplatz oder in Bildungseinrichtungen)
Hochrisiko-KI-Systeme (z. B. Medizinprodukte, KI-Systeme für die Bewertung, Auswahl oder Einstellung von Bewerbern:Bewerberinnen)
GenAI und gewisse Biometrie-KI-Systeme (z. B. KI-Systeme, die synthetische Audio-, Bild-, Video- oder Textinhalte erzeugen)
Sonstige KI-Systeme
KI-Modelle mit allgemeinem Verwendungszweck (z. B. ChatGPT)[8]
Die KI-VO erwähnt einige KI-Systeme, die in verschiedene Risikokategorien fallen. Die Einordnung kann je nach Anwendung jedoch auch variieren.
Im Lichte des risikobasierten Ansatzes gelten – neben den Vorgaben für Bevollmächtigte von Anbietern:Anbieterinnen, Betreiber:innen, Händler:innen, Produkthersteller:innen und betroffene Personen – insbesondere für Anbieter:innen von Hochrisiko-KI-Systemen – strenge Vorgaben.
Anbieter:innen von Hochrisiko-KI-Systemen müssen unter anderem sicherstellen, dass ein wirksames Risikomanagementsystem eingerichtet und eine umfassende technische Dokumentation geführt wird. Darüber hinaus sind sie verpflichtet, sämtliche Transparenzanforderungen zu erfüllen. Das KI-System muss so konzipiert und entwickelt sein, dass ein angemessenes Maß an Genauigkeit, Robustheit und Cybersicherheit erreicht wird und aufrechterhalten bleibt. Schließlich ist sicherzustellen, dass das System bei seiner Verwendung durch einen Menschen angemessen beaufsichtigt werden kann[9].
KI-Tipps für die Praxis
Um sowohl den sicheren Umgang mit KI-Systemen zu gewährleisten als auch die Compliance-Pflichten der KI-VO zu erfüllen, empfiehlt es sich, bereits jetzt betriebliche Präventionsmaßnahmen zu setzen.
a) Erhebung des Status quo: In erster Linie ist es ratsam, festzustellen, ob, und wenn ja, in welchen Geschäftszweigen, Abteilungen oder Situationen die Organisation mit KI-Systemen in Berührung kommt. Neben der Ermittlung der eingesetzten KI-Systeme ist festzustellen, für welche Zwecke diese aktuell genutzt werden oder künftig verwendet werden sollen. Beispiele:
- Eine Person verwendet in der Mittagspause ein KI-System, um Einladungen für eine private Geburtstagsfeier zu erstellen. In diesem Fall wäre die Person voraussichtlich kein:e Betreiber:in im Sinne der KI-VO, da sie das KI-System für eine persönliche und nicht berufliche Tätigkeit verwendet[8].
- Beschäftigte in der Personalabteilung verwenden ein KI-System im Rahmen einer Stellenbesetzung für die Bewertung von Lebensläufen der Bewerber:innen. In diesem Fall ist die KI-VO anwendbar und es wird ein Hochrisiko-KI-System betrieben[10].
- Betriebsärzte:-ärztinnen verwenden im Rahmen ihrer Diagnose ein KI-gesteuertes Medizinprodukt, um die optimale Therapie für eine Person, die einen Arbeitsunfall erlitten hat, zu finden. In diesem Fall ist die KI-VO anwendbar und es wird ein Hochrisiko-KI-System betrieben[11].
Datenschutzgrundverordnung (DSGVO)
Die DSGVO definiert „personenbezogene Daten“ als „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (...) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.“[12]
Es handelt sich daher auch um personenbezogene Daten, wenn eine Person nicht unmittelbar bestimmt wird (z. B.: „M. Müller von der X-GmbH nimmt an der Konferenz teil“), aber bestimmbar ist (z. B.: „Die einzige Person der X-GmbH, die bereits beim letzten Event anwesend war, nimmt an der Konferenz teil“).
b) Compliance- und KI-Schulungen: Im Rahmen von Compliance-Schulungen sollte sichergestellt werden, dass alle Personen – insbesondere jene, die mit KI-Systemen arbeiten – in Grundzügen mit den Vorgaben der KI-VO vertraut sind und über das erforderliche Maß an KI-Kompetenz verfügen, um diese Systeme sicher zu bedienen. Der konkrete Schulungsbedarf richtet sich nach der Art des eingesetzten Systems und dem betrieblichen Kontext. Ziel ist ein sicherer und kompetenter Umgang mit KI im Arbeitsalltag.
KI-VO und DSGVO
Da KI-Systeme im Rahmen ihrer Entwicklung und Verwendung eine enorme Menge an Informationen benötigen, werden vielfach personenbezogene Daten verarbeitet. Dies führt zu erheblichen datenschutzrechtlichen Risiken. Die Vorgaben der DSGVO gelten parallel zur KI-VO und sind daher auch bei KI-Systemen zwingend einzuhalten[7].
Datenschutzrechtliche Tipps für die Praxis
Um sicherzustellen, dass es zu keiner rechtswidrigen Verarbeitung von personenbezogenen Daten bei der Verwendung eines KI-Systems im Betrieb kommt, sollten einige Punkte beachtet werden:
- KI-Guidelines prüfen: Sofern vorhanden, sollten vor dem Einsatz eines KI-Systems die KI-Guidelines der Organisation geprüft werden – insbesondere in Hinblick darauf, ob und welche Systeme verwendet werden dürfen.
- Datenschutzbeauftragte:n kontaktieren: Vor der Nutzung des KI-Systems sollte unbedingt der:die Datenschutzbeauftragte kontaktiert werden. Im Einzelfall ist sorgfältig zu prüfen, ob bzw. wie das jeweilige System in der Organisation eingesetzt werden darf und ob die Verarbeitung DSGVO-konform erfolgt.
- Umgang mit personenbezogenen Daten: Unabhängig von internen Vorgaben sollten keine personenbezogenen Daten in ein KI-System eingegeben werden. Es reicht nicht aus, beispielsweise nur den Namen einer Person zu entfernen – da in vielen Fällen dennoch Rückschlüsse auf eine konkrete Person getroffen werden können[13].
Beispiel: Eine Person kopiert den Entwurf einer E-Mail in ein KI-System, um die Nachricht stilistisch überarbeiten zu lassen. Zwar wurden die Namen durch Platzhalter ersetzt, jedoch wurde die Signatur nicht entfernt. Diese enthält personenbezogene Daten des:der Absenders:Absenderin.
Quellen:
[1] VO (EU) 2024/1689
[2] Art 99, VO (EU) 2024/1689
[3] Streinz R. Europarecht. 11. Auflage. Heidelberg: C.F. Müller; 2019.
[4] RL (EU) 2024/2853
[5] Wendehorst C./Martini M. KI-VO: Verordnung über Künstliche Intelligenz. 1. Auflage. München: C.H. Beck; 2024.
[6] Art 3 Z 1, VO (EU) 2024/1689
[7] Zankl W. KI-VO: Verordnung über Künstliche Intelligenz (Artificial Intelligence Act). 1. Auflage. Wien: MANZ; 2025.
[8] Feiler L./Forgó N. KI-VO: EU-Verordnung über Künstliche Intelligenz. 1. Auflage. Wien: Verlag Österreich; 2024.
[9] Art 16, VO (EU) 2024/1689
[10] Art 6 Abs 2 iVm Anhang 3 Z 4 lit a, VO (EU) 2024/1689
[11] Art 6 Abs 1 iVm Anhang 1 Z 11, VO (EU) 2024/1689
[12] Art 4 Z 1, VO (EU) 2016/679
[13] Universität Wien. Guidelines der Universität Wien zum Umgang mit Künstlicher Intelligenz (KI) in der Lehre [Internet] 2. Auflage. 2024 [zitiert 4. Juli 2025]. Verfügbar unter: https://phaidra.univie.ac.at/o:2092606
Zusammenfassung:
Die neue EU-Verordnung zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz (kurz KI-VO) hat Auswirkungen auf den betrieblichen Einsatz künstlicher Intelligenz. Neben der Kategorisierung von KI-Systemen nach Risiko müssen die Systeme datenschutzrechtlichen Anforderungen entsprechen. Organisationen sollten sich frühzeitig vorbereiten und geeignete Maßnahmen (z. B. KI-Guidelines) setzen.
