Art. 4 KI-Verordnung: Die unterschätzte Herausforderung auf dem Weg zur KI-Compliance

Nach einem langwierigen und von verschiedenen Interessenpositionen beeinflussten Gesetzgebungsprozess ist am 1. August 2024 die EU-Verordnung über künstliche Intelligenz (EU) 2024/1689 (“KI-VO") in Kraft getreten. Mit ihrer Verabschiedung hat sich die Europäische Union das ambitionierte Ziel gesetzt, einen harmonisierten rechtlichen Rahmen für den Umgang mit KI-Anwendungen innerhalb der EU zu schaffen.

Die KI-Verordnung verfolgt dabei grundsätzlich einen risikobasierten Ansatz, der KI-Systeme und sog. KI-Modelle mit allgemeinem Verwendungszweck entlang ihrer gesamten Wertschöpfungskette reguliert. Das hat zur Folge, dass sich die KI-VO gerade auch an Unternehmen wendet, die KI-Systeme lediglich als sog. „Betreiber“ im Sinne der KI-VO nutzen, ohne sie selbst entwickelt zu haben oder zu vertreiben.

Unternehmen stehen daher vor der Aufgabe, ihren Weg zu einer wirtschaftlich angemessenen, aber zugleich rechtskonformen KI-Compliance auszuloten. Vergessen wird dabei häufig, dass die ersten gesetzlichen Verpflichtungen der KI-VO bereits ab dem 2. Februar 2025 rechtverbindlich werden. Das gilt insbesondere für die Regelung zur sog. “KI-Kompetenz” nach Art. 4 KI-VO. Diese Vorschrift bringt neue Pflichten mit sich, die – im Gegensatz zu vielen weiteren Vorschriften der KI-VO – risikounabhängig für sämtliche Anbieter und Betreiber von KI-Systemen Anwendung finden. Das bedeutet, dass Art. 4 KI-VO auch für Unternehmen gilt, die KI-Systeme – auch nur in geringem Umfang – nutzen und einsetzen.

Angesichts der unmittelbar bevorstehenden Verbindlichkeit der Pflichten zur KI-Kompetenz hat auch das sog. Büro für Künstliche Intelligenz, das die Europäische Kommission im Rahmen der KI-VO eingerichtet hat, angekündigt, am 20. Februar 2025 ein Webinar zur KI-Kompetenz abzuhalten (vgl.  https://digital-strategy.ec.europa.eu/en/events/third-ai-pact-webinar-ai-literacy). Betroffene Unternehmen sollten daher gerade jetzt die verbleibende Zeit nutzen, um sich mit den auf sie zukommenden Pflichten auseinanderzusetzen und den Weg zu einer individuell auf sie abgestimmten KI-Kompetenz zu ebnen.

Der folgende Beitrag soll einen Überblick über die unmittelbar bevorstehenden Pflichten für Anbieter und Betreiber von KI-Systemen geben und aufzeigen, wie eine erfolgreiche KI-Compliance gelingt, die regulatorischen Vorgaben der KI-VO berücksichtigt und gleichzeitig den Einsatz von KI-Systemen weiter wirtschaftlich sinnvoll ermöglicht. 

1. Was bedeutet „KI-Kompetenz“?

Art. 4 KI-VO ordnet für die Anbieter und Betreiber von KI-Systemen an,

„Maßnahmen [zu ergreifen], um nach bestem Wissen und Gewissen sicherzustellen, dass ihr Personal und andere Personen, die in ihrem Auftrag mit dem Betrieb und der Nutzung von KI-Systemen befasst sind, über ausreichendes Maß an KI-Kompetenz verfügen […].“

„KI-Kompetenz“ meint dabei die Fähigkeit, Kenntnisse und das Verständnis, die es Anbietern, Betreibern und Betroffenen ermöglichen, KI Systeme sachkundig einzusetzen sowie sich der Chancen und Risiken von KI und möglicher Schäden, die KI-Systeme verursachen können, bewusst zu werden, vgl. Art. 3 Nr. 56 KI-VO.

Anbieter und Betreiber sind dabei zunächst für KI-Kompetenz von Mitarbeiter:innen und verwandten Personengruppen, wie etwa Freelancern, verantwortlich. Nach dem Wortlaut des Art. 4 KI-VO gilt die Pflicht aber auch gegenüber solchen weiteren Personen, die mit KI-Systemen im Auftrag der Adressaten „befasst“ sind. Und auch in ihren Erwägungsgründen dehnt die KI-VO den Adressatenkreis noch weiter aus: Denn auch weitere „betroffene Personen“ und sämtliche „Akteure der KI-Wertschöpfungskette“ sollen danach KI-Kompetenz aufweisen, um so zu verstehen, wie sich KI-basierte Entscheidungen auf sie auswirken (Erwägungsgrund 20). Damit ist es aktuell nicht eindeutig vorauszusagen, gegenüber welchen weiteren Betroffenen die, wie z. B. – je nach Einsatzgebiet – Kund:innen oder Schüler:innen, die Pflichten des Art. 4 KI-VO perspektivisch bestehen werden.  

Welches Maß an KI-Kompetenz im Einzelfall ausreicht, soll sich nach den technischen Kenntnissen, Erfahrungen, dem Aus- und Weiterbildungsstand der Betroffenen sowie dem Kontext, in dem die KI-Systeme eingesetzt werden, bestimmen.

Angesichts dieser abstrakten Erläuterung der KI-VO bleibt weitgehend unklar, welche konkreten Fähigkeiten und Kenntnisse eine ausreichenden und angemessenen KI-Kompetenz begründen sollen. Perspektivisch sollten Gerichte oder die Europäische Kommission den unbestimmten Rechtsbegriff der KI-Kompetenz daher auf rechtssichere Weise, etwa durch gerichtliche Entscheidungen, Auslegungshilfen oder Verhaltenskodizes, weiter präzisieren und mit Leben füllen.
Anbieter und Betreiber von KI-Systemen, die die Pflicht bereits ab dem 2. Februar 2025 trifft, können derartige Präzisierungen jedoch nicht abwarten. Daher empfiehlt es sich dringend, bereits jetzt Maßnahmen zur Sicherstellung der KI-Kompetenz zu ergreifen und Haftungsrisiken zu vermeiden.

2. Wer ist Adressat der Pflichten?

Die Pflicht, KI-Kompetenz herzustellen, trifft alle Anbieter und Betreiber von KI-Systemen. Damit erfasst Art. 4 KI-VO eine Vielzahl von KI-Anwendungsfällen über Branchen und Einsatzgebiete hinweg.

Während „Anbieter“ diejenigen Akteure sind, die KI-Systeme entwickeln oder entwickeln lassen und unter eigenem Namen oder unter ihrer Handelsmarke in Verkehr bringen oder in Betrieb nehmen, werden als „Betreiber“ diejenigen angesehen, die KI-Systeme in eigener Verantwortung verwenden, d.h. jedes Unternehmen, das KI-Systeme im geschäftlichen Zusammenhang einsetzt.

Somit müssen alle Unternehmen, die KI-Systeme für ihre Mitarbeiter:innen anbieten oder bereitstellen, für einen verantwortungsvollen Umgang dieser Personen mit diesen KI-Systemen sorgen. Das bedeutet, dass bereits die bloße Verwendung einlizenzierter Programme von Drittanbietern genügen kann, um die Pflichten des Art. 4 KI-VO auszulösen. Damit kann die Pflicht zur Sicherstellung einer KI-Kompetenz auch solche Unternehmen treffen, die Softwareprodukte verwenden, die zum Marktstandard gehören, sofern diese denn KI-Software einsetzen, wie z.B. die immer häufiger anzutreffenden Chatbot-Anwendungen (wie ChatGPT oder Microsoft Copilot) sowie Anwendungen im Bereich des Programmierens, Übersetzens, in Bewerbungsprozessen, oder im Rahmen der Buchhaltung.

3. Welche konkreten Maßnahmen müssen Unternehmen zur Sicherstellung von „KI-Kompetenz“ treffen?

Wie sich aus der Gesamtschau der Ausführungen der KI-VO zur KI-Kompetenz ergibt, verfolgt der EU-Gesetzgeber einen Ansatz ganzheitlicher KI-Kompetenz: Zu vermitteln sind nicht nur rechtliche Anforderungen, sondern auch technische und ethische Aspekte – nur so ist der geforderte „sachkundige Einsatz“ zu erreichen.

Unternehmen sollen hierfür „Maßnahmen ergreifen“. Wie diese Maßnahmen konkret aussehen und was sie umfassen sollen, wird von der KI-VO allerdings nicht ausgeführt. Durch die gesetzgeberische Entscheidung, KI-Kompetenz unter Berücksichtigung der konkret vorliegenden Umstände herzustellen, enthält die KI-VO jedoch gerade keinen „one size fits all“-Ansatz, sodass Art und Umfang der zu ergreifenden Maßnahmen u. a. von der Größe des Unternehmens sowie dem Ausmaß der KI-Nutzung abhängen. Auch der Risikograd der einzelnen KI-Systeme sollte nach unserer Ansicht eine Rolle spielen und bei der Gestaltung der Maßnahmen berücksichtigt werden.

Um Art und Umfang der erforderlichen Maßnahmen zu bestimmen, sollten sich Unternehmen sowohl für jedes KI-System gesondert als auch in einer Gesamtschau ihrer eingesetzten KI-Systeme u.a. mit folgenden Aspekten auseinandersetzen:

• In welchem Umfang kommen KI-Systeme aktuell sowie in absehbarer Zukunft zur Anwendung?
• Für welche Aufgaben werden die KI-Systeme eingesetzt?
• Wie zentral sind die KI-Systeme für die Arbeitsabläufe und Geschäftstätigkeit des Unternehmens?
• Wer interagiert mit den KI-Systemen?

Eine solche Bestandsaufnahme kann den ersten Schritt in Richtung einer KI-Compliance darstellen. Während es sich bei der konkreten Ausgestaltung der Maßnahmen regelmäßig um eine Einzelfallentscheidung handeln wird, bietet es sich für die konkrete Umsetzung nichtsdestotrotz an, auf bestimmte Kategorien von Maßnahmen zurückzugreifen.

Dabei kann eine Vielzahl von Maßnahmen eine ganzheitliche KI-Compliance unterstützen. So kann es sich etwa anbieten, gesonderte Anlaufstellen zu schaffen, an denen Betroffene Antworten auf gezielte Fragen zum Umgang mit KI erhalten oder sich eigenständig weiterbilden können. Auch die Dokumentation und der Umgang mit einzelnen Vorfällen können zu einem umfassenden und nachhaltigen KI-Compliance-System beitragen, das den Schutz der Rechte und Interessen aller Beteiligten gewährleistet.

In der konkreten Umsetzung des Art. 4 KI-VO sollten jedoch insbesondere zwei Instrumente in den Fokus rücken: die (regelmäßige und wiederkehrende) Schulung von Betroffenen (siehe 3.1) sowie die Einführung sog. interner KI-Richtlinien (siehe 3.2). Darüber hinaus kann im Einzelfall auch die Ernennung eines sog. KI-Beauftragten ratsam sein (siehe 3.3).

3.1 KI-Schulungen

Damit alle Betroffenen über ausreichende KI-Kompetenz verfügen, bietet sich vor allem die regelmäßige Durchführung von Schulungen an. Deren Ziel sollte es sein, Mitarbeiter:innen in die Lage zu versetzen, die Chancen der jeweiligen Technologie verantwortungsvoll zu nutzen und gleichzeitig potenzielle Risiken frühzeitig zu erkennen und zu adressieren.

Daher muss die Vermittlung von KI-Kompetenz praxisnah erfolgen und nicht nur theoretisches Wissen vermitteln, sondern auch ein grundlegendes Verständnis für die Funktionsweise und die Auswirkungen von KI-Systemen schaffen.

Zudem sollten Unternehmen Schulungsinhalte auf ihre jeweilige Zielgruppe abstimmen. Dabei ist zunächst entscheidend, die Schulungen auf den individuellen Wissensstand der Nutzer:innen zuzuschneiden: Zum Beispiel wird ein CTO regelmäßig über tiefergehende technische Kenntnisse verfügen, als dies bei Mitarbeiter:innen aus anderen Bereichen der Fall sein mag. Darüber hinaus müssen sich die Schulungen an den konkreten Einsatzbereichen der KI-Systeme orientieren: Unterschiedliche Funktionen im Unternehmen – von unterstützenden KI-Lösungen für Entwickler über Führungskräfte bis hin zu einem Einsatz im operativen Geschäft oder als Vertriebsprodukt – erfordern eine maßgeschneiderte Auswahl von Compliance-Maßnahmen. So wird beispielsweise der unternehmensinterne Einsatz von KI-Systemen zur effizienteren Auswahl von Bewerbungen eine andere Form sowie ein abweichendes Maß an Aufklärung erfordern, als es hinsichtlich KI-Systemen zur beschleunigten Analyse von Excel-Tabellen der Fall wäre. Auch die Verwendung von KI-Systemen im direkten Kundenkontakt, z. B. im Rahmen des Customer Supports, können ein anderes Maß an Verständnis und Aufsicht erfordern, als beispielsweise rein interne KI-Tools, die Arbeitsprozesse effizienter gestalten, ohne aber dazu bestimmt zu sein, Nutzern oder Dritten konkrete Hilfestellungen zu geben oder verbindliche Aussagen zu treffen.

Betroffene sollten Schulungsmaßnahmen dabei als iterativen Prozess verstehen. Dies ist gerade im Kontext von KI relevant, um den rasanten technologischen Entwicklungen von KI auch mittel- und langfristig gerecht zu werden. Neben allgemeinen Einführungen in die Nutzung von KI-Systemen kommen spezifische Schulungen für neue Systeme, Funktionsweisen oder erweiterte Anwendungsbereiche in Betracht. Darüber hinaus kann es sich anbieten, Schulungen gezielt und anlassbezogen im Einzelfall durchzuführen, etwa um etwaige Fehlanwendungen aufzuarbeiten oder neu bekanntgewordene Risiken frühzeitig zu adressieren.

Nicht zuletzt kann ein zentraler Ansatz zur Vermittlung der Vorteile und Risiken von KI-Systemen – insbesondere bei erstmaligen Berührungspunkten – das Prinzip des „Learning by doing“ darstellen. Gerade eigene praktische Erfahrungen können ein wirkungsvolles Mittel sein, um das von der KI-VO gewünschte Grundverständnis der Funktionsweise von KI-Systemen zu entwickeln. Gleichwohl empfiehlt es sich, für Betroffene Lernumgebungen zu schaffen, um diese Grundlagen unter fachkundiger Anleitung zu erproben. Auch und gerade hierfür bieten sich KI-Kompetenzschulungen an.

3.2 KI-Richtlinien

Auch unternehmensinterne KI-Richtlinien werden einen zentralen Baustein für den verantwortungsvollen und sicheren Einsatz von KI-Systemen in Organisationen darstellen. Sie definieren den Rahmen, in dem KI-Systeme genutzt werden dürfen, und geben Mitarbeiter:innen so klare  Vorgaben.

Ein wesentlicher Zweck dieser KI-Richtlinien besteht darin, die Risiken und Grenzen der KI-Nutzung aufzuzeigen. Nutzer:innen sollen verstehen, was ein KI-System leisten kann – und wo seine Grenzen liegen. Insbesondere ist es wichtig, ein Bewusstsein dafür zu schaffen, dass KI-Systeme, wie z. B. solche, die Inhalte wie Texte oder Bilder erstellen, regelmäßig keine Garantie für inhaltliche Richtigkeit bieten können. Ein klares Verständnis dieser Grenzen hilft, Fehlinterpretationen und fehlerhafte Arbeitsergebnisse zu vermeiden.

Darüber hinaus spielen KI-Richtlinien eine entscheidende Rolle bei der Festlegung von Nutzungsbeschränkungen (sog. „Acceptable Use Policy“). Unternehmen können so Bewusstsein dafür schaffen, KI-Systeme nicht für unerwünschte oder schädliche Zwecke zu verwenden. Um KI-Richtlinien zu entwickeln, die gleichermaßen rechtssicher wie praxistauglich sind, können Unternehmen im Ausgangspunkt zunächst auf allgemeine Leitlinien zurückgreifen, wie sie schon heute im Umgang mit KI-Systemen etabliert sind. So können Unternehmen etwa die Eingabe von Geschäftsgeheimnissen und personenbezogenen Daten untersagen oder bestimmte Anwendungsfälle explizit ausschließen, wie etwa die Nutzung von KI für diskriminierende oder unethische Zwecke.

Organisationen sollten solche Standardkonzepte dabei als nützlichen Ausgangspunkt ansehen, diese jedoch nicht als finales Produkt betrachten. Denn KI-Richtlinien sollten stets an die individuellen Anforderungen des jeweils betroffenen Business Case angepasst werden. Gerade in komplexen oder stark regulierten Branchen ist es häufig ratsam, zusätzliche Anpassungen vorzunehmen oder weitere Expertise einzuholen. Auf diese Weise können Unternehmen auch sicherstellen, dass ihre KI-bezogenen Anweisungen im Einklang mit weiteren Regelungsbereichen, wie z. B. dem Datenschutz oder Produkthaftungsrecht, stehen.

Des Weiteren können Arbeitgeber aufgrund von KI-Richtlinien im Fall von Verstößen gegen die Regelungen der Acceptable Use Policy gegebenenfalls arbeitsrechtliche Mechanismen in der Hand haben. Auf diese Weise können KI-Richtlinien nicht nur ein Werkzeug der KI-Governance, sondern auch effektives Mittel zur rechtlichen Absicherung sein.

Somit ergänzen KI-Richtlinien die zuvor erwähnten Schulungen, da Unternehmen sie stetig flexibel an neue KI-Anwendungsfälle anpassen können.

3.3 Ernennung eines KI-Beauftragten

Obwohl die KI-VO die Position eines KI-Beauftragten nicht erwähnt, kann die Ernennung eines KI-Beauftragten im Einzelfall eine wertvolle Maßnahme darstellen, um den verantwortungsvollen Einsatz von KI-Systemen und die Einhaltung regulatorischer Anforderungen zu gewährleisten: Kompetenzen können gebündelt werden und bestehende „Best Practices“ aus dem Kontext von Datenschutzbeauftragten fruchtbar gemacht werden. Hinzu kommt, dass an eine Ernennung in diesem Fall – im Gegensatz zu den Anforderungen der DSGVO – keine rechtlichen Pflichten geknüpft werden. Ein KI-Beauftragter kann so als zentrale Schnittstelle zwischen Technologie, Compliance und strategischen Unternehmenszielen fungieren.

Zu den typischen Aufgaben eines KI-Beauftragten können dabei etwa zählen:

• Überwachung der KI-Compliance
• Durchführung von Risikobewertungen
• Entwicklung von KI-Richtlinien
• Organisation und Verantwortlichkeit für KI-Schulungen
• Unterstützung der Geschäftsleitung und anderer Unternehmensbereiche bei strategischen Entscheidungen im Umgang mit KI-Systemen
• Ansprechpartner für externe Stellen

Je nach Größe und Struktur des Unternehmens kann es zudem sinnvoll sein, einen externen Experten als KI-Beauftragten hinzuzuziehen, der spezifisches Know-How mitbringt.

Die Beschäftigung eines spezialisierten Ansprechpartners kann Klarheit und Struktur im Umgang mit komplexen KI-Fragen schaffen. So kann ein KI-Beauftragter als Vermittler zwischen verschiedenen Unternehmensbereichen und externen Stakeholdern agieren und so das allgemeine Vertrauen in den Einsatz von KI-Systemen stärken.

Ungeachtet der eventuellen Vorteile eines KI-Beauftragten kann die Ernennung allein nicht ausreichen, um ein den Anforderungen von Art. 4 KI-VO genügendes Level an KI-Kompetenz zu etablieren: das Verständnis für KI-Systeme und ihre Auswirkungen muss sämtliche Bereiche und Betroffenen eines Unternehmens erfassen – regelmäßig also von der Führungsebene über IT-Abteilungen bis hin zu operativen Teams. Daher ist die Ernennung eines KI-Beauftragten nicht isoliert zu betrachten, sondern kommt ausschließlich als ein Bestandteil einer umfassenden KI-Strategie in Betracht, die nachhaltig und zukunftsorientiert ausgestaltet ist.

4. Fazit

Die KI-VO unterstreicht in ihrem Art. 4, dass KI-Kompetenz einen essenziellen Bestandteil einer rechtskonformen Nutzung von KI-Systemen darstellt. Auch Unternehmen sollten diese daher als zentrale Säule ihrer (KI-)Compliance ansehen.

Durch ihre offenen und pauschal gehaltenen Formulierungen zur KI-Kompetenz überlässt es die KI-VO den Anbietern und Betreibern von KI-Systemen weitestgehend selbst, Maßnahmen zur Sicherstellung einer KI-Kompetenz zu entwickeln. Angesichts der unmittelbar bevorstehenden Rechtsverbindlichkeit des Art. 4 KI-VO – nämlich schon am 2. Februar 2025 – sollten Unternehmen den Umfang ihrer KI-Nutzung baldmöglichst analysieren, um auf dieser Grundlage Maßnahmen zur Sicherstellung ihrer KI-Kompetenz zu entwickeln und die Entstehung von Best Practices von Beginn an mitgestalten.

Eine aktuelle Präsentation des KI-Büros für die Mitglieder der sog. „KI-Pakts“, einem freiwilligen Zusammenschluss von KI-Stakeholdern für eine frühzeitige und verantwortungsvolle Umsetzung der KI-VO, scheint anzudeuten, dass die Europäische Kommission womöglich erst ab dem 2. August 2025 mit der Durchsetzung der Vorschrift beginnen wird. Betroffene Unternehmen sollten diese (wenn auch unverbindliche) „Fristverlängerung“ zum Anlass nehmen, die verbleibende Zeit nun zu nutzen, um ihre gesetzlichen Pflichten zu erfüllen.

Maßnahmen zur KI-Kompetenz sind dabei nicht nur ein Mittel zur Risikominimierung, sondern auch eine wichtige Grundlage für den langfristigen Unternehmenserfolg. Eine erfolgsreiche interne KI-Governance sorgt für die reibungslose Implementierung von KI-Technologie in bestehende Arbeitsabläufe. Auch gegenüber Kund:innen dokumentiert KI-Kompetenz den verlässlichen und kenntnisreichen Umfang mit KI. Sind die ersten Schritte zur KI-Compliance getan, können Unternehmen von dieser Technologie also in hohem Maße profitieren.

Download YPOG Briefing: Art. 4 KI-Verordnung: Die unterschätzte Herausforderung auf dem Weg zur KI-Compliance