Künstliche Intelligenz: Pflicht zur Schulung von Mitarbeitern ab Februar 2025
Die Verordnung der EU über künstliche Intelligenz ist im August 2024 in Kraft getreten. Wichtige Vorschriften über Hochrisiko-Systeme werden ab 2026 gelten. Teile der Verordnung gelten aber bereits ab Februar 2025. Ab 2. Februar 2025 sind Unternehmen verpflichtet, ihre Mitarbeiter zu schulen, wenn sie KI einsetzen.
Die EU hat im Jahre 2024 die Verordnung über künstliche Intelligenz verkündet (KI-VO vom 13.06.2024). Um Unternehmen Gelegenheit zu geben, sich vorzubereiten, gewährt die Verordnung einen Übergangszeitraum, wichtige Regelungen zu Hochrisiko-KI-Anwendungen werden ab 2026 gelten. Bereits ab dem 2. Februar 2025 gilt aber die Verpflichtung, Mitarbeiter zu schulen, wenn sie KI-Anwendungen einsetzen.
Ziel der Schulung ist es, dass die Mitarbeiter Chancen und Risiken der KI-Anwendungen erkennen und wissen, welche Schäden möglich sind. Mitarbeiter sollen lernen, die rechtlichen Anforderungen an KI-Systeme einzuhalten und keine Rechte Dritter zu verletzen. Der Inhalt der Schulung hängt auch davon ab, welche Aufgaben die Mitarbeiter im Unternehmen haben: KI-Team, IT-Abteilung, Fachabteilungen. Bestimmte Inhalte sind aber für alle Mitarbeiter im Unternehmen wichtig.
Regelungen der KI-Verordnung
Ein wichtiger Teil der Schulung sind die Regelungen der KI-Verordnung selbst. Ab dem 2. Februar 2025 werden auch die Regeln über die verbotenen Praktiken im KI-Bereich gelten (Art. 5 Abs. 1 KI-VO). Das sind KI-Anwendungen, die ein so großes Risiko für die Grundrechte anderer Personen mit sich bringen, dass der Gesetzgeber sie allgemein verboten hat. Für Unternehmen sind vor allem folgende Verbote wichtig:
- KI-Systeme, die unterschwellige Beeinflussungstechniken einsetzen oder die besondere Schutzbedürftigkeit von Personen ausnutzen, um den Personen erhebliche Schäden zuzufügen
- KI-Systeme zur Bewertung von Personen oder Personengruppen auf Grundlage ihres Verhaltens oder bestimmter Eigenschaften mit dem Ziel der Benachteiligung der Personen (Social Scoring)
- Emotionserkennungssysteme am Arbeitsplatz oder in Bildungseinrichtungen (einschließlich betrieblicher Weiterbildung), es sei denn das System soll aus medizinischen Gründen oder aus Sicherheitsgründen verwendet werden
- Einsatz biometrischer Verfahren zur Kategorisierung, um sensible Daten wie Rasse, politische Einstellungen u.a. abzuleiten
Darüber hinaus sollte die Schulung auch den Anwendungsbereich der KI-Verordnung umfassen sowie das risikobasierte Regelungssystem und die besonderen Regelungen zu hochriskanten KI-Systemen. Diese Regelungen zu Hochrisiko-KI werden erst ab August 2026 bzw. 2027 gelten. Aber schon jetzt ist es wichtig, die Regelungen zu kennen, um die Risiken einschätzen, die von solchen Systemen ausgehen können.
Anforderungen des Datenschutzrechts
Die Schulung sollte auf jeden Fall das Datenschutzrecht umfassen. Für Unternehmen ist es wichtig, dass die Mitarbeiter beim Training von KI-Systemen mit Unternehmensdaten (Fine Tuning) das Datenschutzrecht einhalten und die Datensätze entweder anonymisieren oder entsprechende Einwilligungen der betroffenen Mitarbeiter einholen. Weitere wichtige Fragen sind die Information der Mitarbeiter und der Kunden über die Verarbeitung von Daten. Auch der Umgang mit dem „Output“ der Systeme ist von Bedeutung, wenn er personenbezogene Daten enthält. Die KI-Richtlinie des Unternehmens enthält regelmäßig auch Vorgaben zum Umgang mit personenbezogenen Daten. Die Schulung sollte diese Vorgaben erläutern, damit die Mitarbeiter damit besser umgehen können.
Vorgaben des Urheberrechts
Ein weiterer wichtiger rechtlicher Bereich ist das Urheberrecht. Die Mitarbeiter sollten lernen, unter welchen Voraussetzungen sie Bilder, Texte oder andere urheberrechtlich geschützte Werke Dritter für das Training oder für Prompts einsetzen dürfen. Auch zum Urheberrecht wird die KI-Richtlinie des Unternehmens Vorgaben enthalten. In der Schulung sollten diese Vorgaben erläutert werden.
KI-Richtlinie des Unternehmens
Jedes Unternehmen, das KI einsetzt, benötigt eine KI-Richtlinie mit konkreten und verbindlichen Regelungen für die Mitarbeiter. Neben den Vorgaben der KI-Verordnung, des Datenschutzes und des Urheberechts regelt die KI-Richtlinie des Unternehmens auch noch auch weitere Punkte wie die Zulassung von KI-Systemen im Unternehmen, den Schutz von Geschäftgeheimnissen, Qualitätssicherung und die Datensicherheit. Damit soll verhindert werden, dass Rechte Dritter verletzt werden oder dass das Unternehmen einen Schaden erleidet. In der Schulung ist es wichtig, den Mitarbeitern den Inhalt der Richtlinie zu erläutern und mit ihnen anhand von Beispielsfällen zu trainieren.
Bedienung der KI-Anwendungen
Ein weiterer Bereich der Schulung betrifft technische Fragen. Die Schulung sollte die verschiedenen Arten von KI-Systemen vorstellen, wie z. B. generative KI. KI-Systeme funktionieren anders als klassische Software. KI-Anwendungen setzen häufig künstliche neuronale Netze oder Techniken wie Machine Learning ein. Mitarbeiter müssen verstehen, welche Risiken damit verbunden sind, wie beispielsweise die Unzuverlässigkeit der Ergebnisse unter bestimmten Voraussetzungen („Halluzinationen“). In der Schulung sollten Mitarbeiter lernen, wie man mit diesen Risiken umgeht, zum Beispiel durch Qualitätskontrollen bevor man den „Output“ eines KI-Systems im Unternehmen nutzt oder an Kunden weitergibt.
Die Schulung erstreckt sich auf alle KI-Systeme, die im Unternehmen eingesetzt werden. Das können entweder allgemein verbreitete Systeme wie ChatGPT oder Microsoft Copilot sein. Das können aber auch speziell entwickelte Systeme sein. Die Mitarbeiter sollten sich hier mit den Betriebsanleitungen beschäftigen und lernen, wie man rechtliche Vorgaben, beispielsweise zum Datenschutz, in den Einstellungen der KI-Anwendungen umsetzt.
Compliance durch Schulungen
Unternehmen haben ein großes Eigeninteresse, die Mitarbeiter zügig zu schulen. Wenn ein Mitarbeiter beim Einsatz der KI-Anwendungen Urheberrechte Dritter verletzt oder einen Datenschutzverstoß begeht, so wird dies dem Unternehmen zugerechnet. Schulungen helfen, solche Verstöße zu vermeiden und Schäden vom Unternehmen abzuwenden. Selbst wenn es zu einem Verstoß kommt und beispielsweise ein Bußgeldverfahren nach der DSGVO eingeleitet wird, sind Schulungen wichtig. Wenn das Unternehmen hier darlegen kann, dass der Mitarbeiter ordnungsgemäß geschult wurde und die Anforderungen hätte kennen müssen, so lässt sich ein Bußgeld nach der DSGVO vermeiden oder jedenfalls erheblich reduzieren.