Sparte Handel

Die neue KI-Verordnung der EU: Was der AI Act für den Handel bedeutet

Bestimmungen zu KI-Kompetenz, die ab 2.2.2025 zur Anwendung kommen

Lesedauer: 7 Minuten

30.01.2025

Worum geht es bei der KI-Verordnung (AI Act)?

Künstliche Intelligenz (KI) ist mittlerweile ein fester Bestandteil unseres Alltags geworden und kommt vermehrt auch in (Handels)-Unternehmen zum Einsatz. Dabei bieten KI-Lösungen vielfältige Möglichkeiten – beispielsweise zur Optimierung von Kundenservice und Prozessen. KI-Systeme sind in bestimmten Fällen allerdings auch mit Risiken verbunden, wenn sie etwa mit sensiblen Daten arbeiten und darauf basierend Entscheidungen treffen.

Ziel der KI-Verordnung ist es, den EU-Binnenmarkt zu stärken und eine vertrauenswürdige, auf Menschen ausgerichtete, künstliche Intelligenz (KI) zu fördern. Gleichzeitig soll ein hoher Schutz der Gesundheit, Sicherheit und Grundrechte, einschließlich Demokratie, Rechtsstaatlichkeit und Umweltschutz, sichergestellt werden. Zudem soll die Innovation unterstützt und negative Auswirkungen von KI-Systemen in der EU vermieden werden.

Der AI Act der EU ist das weltweit erste Gesetz, das spezifische Vorschriften für den Einsatz von künstlicher Intelligenz festlegt. Die Verordnung ist seit 1.8.2024 in Kraft und wird schrittweise umgesetzt.

KI-Systeme werden grundsätzlich in verschiedene Risikostufen eingeteilt, die von "minimal", "begrenzt" über "hoch" bis "inakzeptabel" reichen. Im AI Act wird zudem nach verschiedenen Rollen unterschieden, welche die jeweiligen Auflagen näher definieren.

Abhängig von der jeweiligen Einstufung und Rolle müssen mehr oder weniger umfassende Verpflichtungen erfüllt werden (z.B.: für KI-Systeme mit minimalem Risiko ausschließlich KI-Kompetenzen gemäß Art. 4, für Hochrisiko KI-Systeme hingegen zusätzlich technische Dokumentation, die Einrichtung eines Risikomanagement-Systems, Kennzeichnungspflichten, Korrekturmaßnahmen, Konformitätsbewertung etc.). Alle KI-Systeme, die nicht unter eine dieser Risikostufen fallen, sind nach dem AI Act ohne Auflagen erlaubt.

Die Klassifizierung des KI-Systems zu kennen und jeweils die Rolle, welche man als Akteur einnimmt, ist also essenziell, um die jeweiligen Verpflichtungen abzuleiten. Prinzipiell kann allerdings davon ausgegangen werden, dass ein Großteil der bei den (Handels)-Unternehmen im Einsatz befindlichen KI-Systeme entweder als KI-System mit minimalem oder begrenztem Risiko klassifiziert werden können, wodurch ausschließlich Auflagen zur KI-Kompetenz und Transparenz gegenüber nachgelagerten Akteuren entstehen werden.

Weitere Informationen → Risikostufen von KI-Systemen | KI-Servicestelle | RTR

Hinweis

Mit 2.2.2025 gelangen die ersten Bestimmungen des AI Act zur Anwendung, darunter, die KI-Kompetenz gemäß Art. 4 AIA. Diese Verpflichtungen gelten unabhängig der Risikostufen des KI-Systems für alle relevanten Akteure entlang der KI-Wertschöpfungskette!

Nähere Informationen → AI Act - Die KI-Verordnung der EU tritt mit 1.8.2024 in Kraft

Betrifft mich die KI-Verordnung der EU?

Ja, sobald Sie und/oder Ihre Mitarbeiter:innen KI-Systeme (also Bsp. Microsoft Copilot oder ChatGPT) im Unternehmen nutzen oder entwickeln.

Denn für alle Unternehmen − nicht nur für KI-Anbieter − relevant ist etwa die Bestimmung zur KI-Kompetenz, die in Art. 4 AIA (AI Act) geregelt ist.

Es gibt die Verpflichtung, Maßnahmen zu ergreifen, um sicherzustellen, dass Mitarbeiter:innen und andere Personen, die in Ihrem Auftrag mit dem Betrieb und der Nutzung von KI-Systemen befasst sind, über ausreichende KI-Kompetenz verfügen.

Die Art der Maßnahmen hängt vom eingesetzten KI-System und dessen Risikostufe ab. Außerdem sind die technischen Kenntnisse, die Erfahrung, die Ausbildung und Schulung der Mitarbeiter:innen sowie der Kontext, in dem die KI-Systeme eingesetzt werden sollen, zu berücksichtigen. Beispielsweise werden sich KI-Anbieter, die einen Chatbot entwickeln mit anderen Themen auseinandersetzen müssen als Betreiber, die dieses System lediglich anwenden.

Der AI Act lässt offen, wie die Schulungsmaßnahmen gestaltet werden sollen. Diese können durch interne Fortbildungen, externe Beratungen oder interne Schulungen erfolgen.

Das Schulungsformat kann flexibel an den jeweiligen Einsatzzweck angepasst werden – neben interaktiven Workshops und Vorträgen sind auch e-Learnings möglich.

Laut der Sektion VII - Digitalisierung und E-Government im Bundeskanzleramt Österreich ist davon auszugehen, "dass 70 bis 80 % der bestehenden KI-Systeme - neben der Sicherstellung von KI-Kompetenz - kaum Verpflichtungen unterliegen werden".

Was soll ich als Handelsunternehmen tun?

Grundsätzlich sollten Sie als (Handels)-Unternehmen zur Umsetzung von Art. 4 AIA zwei Maßnahmen setzen:

1. Erheben Sie, welche KI-Systeme im Unternehmen aktuell bereits eingesetzt werden.

Künstliche Intelligenz (KI) ist schon jetzt in vielen Softwareprodukten integriert. Auch Softwareupdates bringen oft neue KI-Komponenten mit sich. Daher ist es möglich, dass KI-Systeme bereits in Ihrem Unternehmen genutzt werden, ohne dass es Ihnen bewusst ist.

Es ist also sinnvoll zu erheben, welche Software Sie aktuell nutzen. Bereits vorhandene Listen und Verzeichnisse oder frühere Erhebungen können dafür hilfreich sein. Diese Übersicht sollte regelmäßig oder bei der Implementierung neuer KI-Komponenten aktualisiert werden.

2. Überlegen Sie, wie Sie KI für die strategische Ausrichtung Ihres Unternehmens nutzen wollen und wie Sie die nötigen Kompetenzen dafür sicherstellen.

Strategie und KI-Richtlinie

Wie Sie KI in Ihrem Betrieb einsetzen möchten, ist Ihre individuelle strategische Entscheidung. Beispiele für Anwendungsmöglichkeiten und Tipps für den Einsatz von KI sind beispielsweise hier zu finden → Künstliche Intelligenz

Es macht Sinn, die grundsätzliche strategische Ausrichtung Ihres Unternehmens in Hinblick auf KI auch in einer internen Richtlinie abzubilden. Hier finden Sie eine entsprechende Vorlage zu Ihrer Verwendung → KI-Guidelines für KMU

Hinweis

AI Act in Bezug auf Datenschutz/DSGVO
Im Zusammenhang mit den Regelungen des AI Acts bleibt die DSGVO (parallel) anwendbar, wenn es zur Verarbeitung personenbezogener Daten kommt.

Die DSGVO verfolgt grundsätzlich einen technologie-neutralen Ansatz. Sie unterscheidet bei der Verarbeitung personenbezogener Daten nicht zwischen dem Einsatz von KI-Systemen und jeder anderen Verarbeitung.

Aufgrund der Beschaffenheit vieler KI-Systeme spielt die Verarbeitung von personenbezogenen Daten aber eine zentrale Rolle. Daher ist es wesentlich, die Bestimmungen der DSGVO zu beachten. So dürfen beispielsweise bei ChatGPT ohne Zustimmung der Betroffenen keine personenbezogenen Daten von Dritten wie Namen oder Adressen eingegeben werden.

Die Anforderungen der DSGVO zur Verarbeitung personenbezogener Daten werden oft als umfassender eingeschätzt, als die Anforderungen des AI Acts an das KI-System als solches. So sieht der Art. 4 AIA – im Gegensatz zur DSGVO – beispielsweise keine gesetzliche Pflicht zur Benennung eines "KI-Beauftragten" vor.

Weiterführende Informationen zu KI und Datenschutz → FAQs zum Thema KI und Datenschutz
Nutzen Sie zum Thema Datenschutz auch gerne unser kostenloses Toolset DSGVO → Die Datenschutzgrundverordnung in Handelsunternehmen

KI-Kompetenz im Sinne des AI Acts

Mit KI-Kompetenz wird umschrieben, was es braucht, um erfolgreich und sicher mit KI-Systemen arbeiten zu können. Diese Kompetenz umfasst technische, rechtliche und ethische Kenntnisse sowie Risikobewusstsein und praktische Anwendungsfähigkeit.

Da die Art und der Einsatz von KI-Systemen dessen potenzielles Risiko im Schadfall maßgeblich definieren, hat man als Unternehmen viele Möglichkeiten, den Verpflichtungen gerecht zu werden. Art. 4 AIA gibt hier keine konkreten Vorgaben.

Für Art und Intensität von Schulungsmaßnahmen sollte der Ausbildungs- und Kenntnisstand der Mitarbeiter:innen sowie der Einsatzbereich der KI berücksichtigt werden. Auch die Risikostufe des KI-Systems spielt eine Rolle. Der Einsatz von KI-Systemen mit begrenztem Risiko erfordert ggf. andere Maßnahmen als der Einsatz von KI-Systemen im Hochrisikobereich. In der Entwicklung von KI-Systemen sind andere Aspekte wichtiger als in der bloßen Anwendung. Handelsbetriebe werden in der Regel nicht im Bereich der Hochrisiko-KI operieren und sich eher mit der Anwendung, als mit der Entwicklung von KI-Systemen beschäftigen.

Hinweis

Beispiel für KI-System mit begrenztem Risiko: Chatbot
Den Anbieter:innen und Betreiber:innen werden überwiegend Transparenzpflichten auferlegt, etwa dass Personen darüber informiert werden, dass sie mit einem KI-System interagieren oder Inhalte künstlich erzeugt wurden.

Beispiele für KI-Kompetenzen, die es im Unternehmen zu vermitteln gilt:
⇒ Basiswissen zu digitaler Kompetenz, z.B.: Informationen suchen und kritisch hinterfragen

⇒ Verständnis von KI und deren Anwendungsbereich, z.B.: Besonderheiten der Arbeitsweise von KI, insbesondere etwa hinsichtlich Bias, Halluzinationen, Bedeutung von Trainingsdaten

⇒ Hinweise zur Nutzung der konkret in Ihrem Unternehmen eingesetzten KI-Systeme, z.B.: Prompting-Workshops beim Einsatz von Text-KI

⇒ Rechtliche Aspekte, z.B.: Kenntnis der relevanten Aspekte aus Datenschutz, Arbeitsrecht, Urheberrecht

Dokumentation der Vermittlung von KI-Kompetenz

Um die Vermittlung von KI-Kompetenz nachweisen zu können, empfiehlt es sich, eine Dokumentation anzulegen. Halten Sie Ihre Überlegungen zu Ihrer KI-Strategie schriftlich fest und nutzen Sie die oben genannte Vorlage zur Erarbeitung einer KI-Richtlinie. Die KI-Richtlinie sollte für Ihre Mitarbeiter:innen unternehmensintern leicht zugänglich sein.

Wenn Sie Schulungen durchgeführt wurden, notieren Sie dazu folgende Informationen im jeweiligen Personalakt:

Art der Schulung (physisch, e-Learning,…)
Insb. wenn extern: den Veranstalter der Schulung
Schulungsinhalt und Schulungsziel
Zeitpunkt der Schulung
Wiederholungen

Nähere Informationen zu KI-Kompetenz im Sinne des AI-Acts → AI Act: KI-Kompetenz | KI-Servicestelle der RTR

Weitere Infos und Tools

Gratislizenzen für wîse up: Holen Sie mit dem Online-Angebot von wîse up nun auch KI-Kompetenz in Ihr Unternehmen!

Hinweis

Die Bundessparte Handel stellt gemeinsam mit den Bundesgremien kostenlose Jahreslizenzen für die digitale Bildungsplattform wîse up zur Verfügung.

Es gilt "First come first serve". Die Anzahl an Lizenzen ist begrenzt → Handel - Fachwissen für Ihr Unternehmen | Ein Service der WKO

Toolset DSGVO für Handelsunternehmen: Die Datenschutzgrundverordnung in Handelsunternehmen - WKO

6 Tipps für Ihre KI-Strategie: 6 Tipps: So finden Sie die passende KI-Strategie für Ihr Unternehmen - WKO

KI-Servicestelle der RTR: KI-Servicestelle der RTR | RTR

Webinar KI im E-Commerce (WK NÖ): Sparte Handel: Webinare zum "Nachschauen" - WKO

KI-Führerschein (WIFI): KI-Führerschein | Künstliche Intelligenz verstehen und anwenden | WIFI Österreich