Künstliche Intelligenz
Potentiale und Herausforderungen für Unternehmen in Information und Consulting
Lesedauer: 5 Minuten
Künstliche Intelligenz (KI) ist endgültig in den Fokus geraten. Durch KI wird die Arbeitsweise im Kreativ- und Dienstleistungssektor stark verändert. KI bietet neue Potentiale für Innovation, gleichzeitig müssen Vorbehalte adressiert werden. Mit dem bevorstehenden KI Act ist auf europäischer Ebene ein Regelwerk geschaffen worden, dass einen wesentlichen Schritt zur gesellschaftlichen Akzeptanz bieten soll. In Österreich ist es gelungen, bei der RTR-GmbH eine KI Servicestelle des Bundes zu implementieren. In Zusammenarbeit mit der WKO soll Entwicklern als auch Anwendern künftig Planungs- und Rechtssicherheit geboten werden.
Rechtsrahmen / Artificial Intelligence Act
Wozu wieder eine neue Regulierung?
Die plötzliche und rasante Entwicklung der künstlichen Intelligenz wurde auch oft als "Chat GPT Dilemma" bezeichnet. Die Regulierung auf EU-Ebene durch den Artificial Intelligence Act (AIA oder auch KI-Verordnung) hat das Ziel, Risiken für Gesundheit, Sicherheit und Grundrechte anzugehen und gleichzeitig demokratische Werte, Rechtsstaatlichkeit und die Umwelt zu schützen. Zudem soll sie auch die Forschungs- und Industriekapazitäten stärken.
Es ist wichtig, als EU gemeinsam zu handeln, um die Chancen der künstlichen Intelligenz in Europa zu nutzen, Gefahren müssen erkannt, definiert und gebändigt werden. Es muss zudem Rechtssicherheit für Anbieter, Betreiber und Nutzer gewährleistet werden, die vorher nicht vorhanden war.
Der AIA ist am 12.7.2024 veröffentlicht worden, trat am 1.8.2024 in Kraft und ist etappenweise bis 2.8.2027 umzusetzen. Neben dem AIA gelten auch weiterhin fachspezifische Regelungen, wie datenschutzrechtliche Regelungen (DSGVO, DSG etc.) oder Regelungen für Produktsicherheit und Medizinrecht.
Inhalt des Artificial Intelligence Act
Die wesentlichen Kernpunkte des AIA sind unterschiedlichen Vorgaben im Hinblick auf Transparenz, Dokumentation, Sicherheit und Aufsicht für unterschiedlich riskante KI und unterschiedliche Akteure (Anbieter, Hersteller, Betreiber). Dabei wird zwischen unannehmbaren Risiken ("verbotene KI"), begrenzten und minimalen Risiken sowie "General Purpose AI-Modellen" unterschieden. Verboten sind z.B. KI Systeme zum Social Scoring, Emotionserkennung am Arbeitsplatz oder Ausnutzen vulnerabler Gruppen.
Beispiele:
- Chatbot: KI-Systeme zur Interaktion mit natürlichen Personen, begrenztes Risiko
- Kampagnenerstellung, Bildgeneration, Videogeneration: minimales oder kein Risiko
- KI-gestützte Datenanalyse: Zielgruppenanalyse, Medienbeobachtung, Profiling je nach Einsatzumfang und –gebiet noch zu definieren, voraussichtlich begrenztes Risiko, in vereinzelten Fällen Hochrisiko-KI
- Neuromarketing: neues Feld, derzeit Profiling-Tätigkeit, könnte weitergehender iSe Beeinflussung gehen (Priming, Eye-Tracking etc.)
Näheres zur Abgrenzung von KI hier Risikostufen von KI-Systemen | KI-Servicestelle | RTR und Risikostufen von KI-Modellen.
Unternehmen in der Information und Consulting fallen in den meisten Fällen also in die unteren Risikogruppierungen. Alle Unternehmen in der IC, die KI im Einsatz haben, müssen zumindest gewisse "KI Kompetenz" (seit 2.2.2025) vorweisen können und Transparenzpflichten erfüllen.
KI Kompetenz (gilt seit 2.2.2025)
Bezüglich der Frage, welche "KI Kompetenz" Anwender:innen von KI in den Unternehmen aufweisen müssen, kommt es darauf an, was im Unternehmen mit KI tatsächlich gemacht wird. In den meisten Fällen wird KI nur unterstützend eingesetzt (z.B. Chat GPT, Copilot o.Ä. zur Erstellung von Präsentationen, Grafiken, Texten).
Die Tools werden seltener dazu verwendet, um eigene KI Modelle zu unterstützen oder weiterzuentwickeln. Die KI Servicestelle der RTR hat zur KI-Kompetenz bereits Informationen herausgegeben: AI Act: KI-Kompetenz | KI-Servicestelle der RTR.
Mitarbeitende im Unternehmen, die KI im Einsatz haben, müssen daher über gewisse Basisinformationen verfügen. Basismaßnahmen für KI-Kompetenz sind u.a.:
- Strategie zur Einführung und Nutzung von KI-Systemen (was ist erlaubt, was ist sinnvoll, was ist nicht erlaubt),
- Richtlinie für die unternehmensinterne Nutzung von KI-Systemen (Muster z.B. hier: KI-Guidelines für KMU),
- Hierbei v.a. auch auf Informationen der bestehenden Aufsichtsbehörden, z.B. der Datenschutzbehörde Rücksicht nehmen (Künstliche Intelligenz & Datenschutz Info der DSB – keine personenbezogene Daten ins Tool einpflegen, keine Geschäfts- und Betriebsgeheimnisse),
- Schulungskonzepte für Funktionsweise, Handhabung und Nutzungsmöglichkeiten mitsamt Schulungsmöglichkeiten für Mitarbeitende zur Verfügung stellen,
- Dabei Ausbildungs- und Kenntnisstand der Mitarbeitenden berücksichtigen,
- Entwicklung im Auge behalten und Maßnahmen regelmäßig überprüfen.
Es können daher interne Schulungen, wie Besprechungen, Leitfäden durchaus ausreichend sein (z.B. gebt keine personenbezogene Daten oder Geschäftsgeheimnisse ein, KI Faktenchecks, usw.). In manchen Branchen (Unternehmensberatung, IT) sind bei Fehlen dieser expliziten Kompetenzen etwaig auch externe Schulungsmaßnahmen angezeigt.
Die Incite Ausbildungsakademie der UBIT hat das schon länger vorbereitet, der Kurs ist allerdings auch für andere Branchen offen: Lehrgang Künstliche Intelligenz in der Unternehmensberatung. Auch das WIFI ging sehr früh mit einem "KI-Führerschein" hinaus (Künstliche Intelligenz | Kurse zum Thema KI | WIFI Österreich).
Transparenz / Kennzeichnung
Kennzeichnung von KI-generierten Inhalten ist generell empfehlenswert um Kund:innen einerseits Transparenz über die eingesetzten Mittel anzubieten, andererseits die Erwartungshaltung entsprechend zu steuern, was auch mitunter auf eine allfällige Haftung Einfluss nehmen kann (bspw. Gewährleistung richtet sich auch nach dem vereinbarten Leistungsinhalt).
Der AIA selbst sieht explizite KI-Kennzeichnung für direkte Interaktionen von KI-Systemen mit Personen (z.B. Chatbots), für Anbieter von KI-Systemen für die Generierung synthetischer Inhalte (z.B. Bild- oder Audiomanipulierungsprogramme) und für Betreiber von KI-Systemen, die Deepfakes, Bild-, Ton- oder Videoinhalte erzeugen oder manipulieren und für Betreiber von KI-Systemen zur Emotionserkennung vor.
Deepfakes sind "durch KI erzeugten oder manipulierten Bild-, Ton- oder Videoinhalte, die wirklichen Personen, Gegenständen, Orten, Einrichtungen oder Ereignissen ähneln und einer Person fälschlicherweise als echt oder wahrheitsgemäß erscheinen würden".
Datenschutz
Das Zusammenspiel zwischen KI und Datenschutz ist mitunter sehr schwierig, das heißt aber nicht, dass KI und Datenschutz völlig konträr stehen. Die EU-DSGVO gilt zusätzlich zum AIA, was bedeutet, wenn personenbezogene Daten innerhalb der KI verarbeitet werden auch die Grundsätze der DSGVO einzuhalten sind, einschließlich der Betroffenenrechte.
Technische Hilfestellung, wie mit Anfragen von betroffenen Personen und Löschungsrechte umgegangen werden kann, gibt der Europäische Datenschutzausschuss unter AI: Complex Algorithms and effective Data Protection Supervision . Letztendlich bleibt aber die Empfehlung, Daten anonymisiert in KI einzugeben und keinen Personenbezug zu verwenden, wenn nicht unbedingt nötig.
Informationsangebote der WKÖ
Auf der Service-Seite "Künstliche Intelligenz" der WKÖ finden Sie unter anderem Informationen zu:
6 Tipps: So finden Sie die passende KI-Strategie für Ihr Unternehmen
Mit der richtigen Strategie von künstlicher Intelligenz profitieren
KI-Guidelines für KMU
Empfehlungen zum positiven Umgang mit künstlicher Intelligenz
Künstliche Intelligenz einfach erklärt
KI hat das Potenzial unsere Welt zu revolutionieren und wird künftig jedes Unternehmen und jeden Unternehmensbereich betreffen
Veranstaltungen
Webinar-Reihe: KI-Lösungen für die Praxis
Wie EPU und KMU ChatGPT, DeepL, Microsoft Bing, Google Bard, Midjourney und Co. sofort nutzen können
Künstliche Intelligenz – Rechtliche Rahmenbedingungen & Praxisfälle
Nachschau zur Veranstaltung der Bundessparte Information und Consulting
EDAY der WKÖ
8.5.2025: Digitalisierung trifft Nachhaltigkeit / Chancen für Ihr Unternehmen
Weiterführende Informationen
Sie möchten KI in Ihrem Unternehmen implementieren? Welche rechtlichen Vorschriften sind auf KI derzeit und in Zukunft anwendbar? Wer haftet für Fehler der KI und durch KI verursachte Schäden? Antworten auf diese und andere Fragen finden Sie unter den folgenden Links:
Rechtsgrundlage: Artificial Intelligence Act (AI Act)
Leitlinien:
- Definition von KI-Systeme: Die Kommission veröffentlicht Leitlinien zur Definition von KI-Systemen, um die Anwendung des ersten KI-Gesetzes zu erleichtern
- Definition von verbotenen KI-Systemen: Die Kommission veröffentlicht die Leitlinien zu verbotenen Praktiken der künstlichen Intelligenz (KI) im Sinne des KI-Gesetzes
Datenschutz:
- FAQs zum Thema KI und Datenschutz der DSB
- Opinion 28/2024 on certain data protection aspects related to the processing of personal data in the context of AI models
- Bias Evaluation: AI: Complex Algorithms and effective Data Protection Supervision und
- Effektive Umsetzung und Implementierung von Rechten betroffener Personen: AI: Complex Algorithms and effective Data Protection Supervision
Hilfestellung:
- AI-Office auf EU-Ebene: Living repository to foster learning and exchange on AI literacy | Shaping Europe’s digital future
- Generative KI im Unternehmen Rechtliche Fragen zum Einsatz generativer Künstlicher Intelligenz im Unternehmen
- KI-Servicestelle für künstliche Intelligenz der Rundfung und Telekom Regulierungs-GmbH (RTR)
- EU AI Act Compliance Checker
- Dr. Datenschutz: Haftungsregeln für KI