Fragen und Antworten zu KI meets KMU: Was bedeutet die neue KI-Verordnung in der Praxis?

1. Woher weiß ich, ob etwas schon KI oder noch "normale" Datenverarbeitung ist?

KI wird im AI-Act folgendermaßen definiert: "KI-System ist ein maschinengestütztes System, das für einen in unterschiedlichem Grade autonomen Betrieb ausgelegt ist und das nach seiner Betriebsaufnahme anpassungsfähig sein kann und das aus den erhaltenen Eingaben für explizite oder implizite Ziele ableitet, wie Ausgaben wie etwa Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen erstellt werden, die physische oder virtuelle Umgebungen beeinflussen können."

Die Abgrenzung muss im jeweiligen Einzelfall vorgenommen werden und kann schwierig sein. Die Europäische Kommission hat bereits Leitlinien zur Definition von KI-Systemen als Hilfestellung herausgegeben, um die Anwendung des ersten KI-Gesetzes zu erleichtern. Dort werden auch konkrete Beispiele genannt, was ein KI System ist und was nicht (z.B. ein normales Excel-Sheet noch nicht). 

2. Ich bin mir nicht sicher, ob ich eine risikoreiche KI einsetze oder nicht, wie kann ich hier sicher sein?

Es werden 4 Risikostufen unterschieden:

• Inakzeptables Risiko
  
• Hohes Risiko
  
• Begrenztes Risiko
  
• Minimales oder kein Risiko
  

Im Anhang des AI-Act selbst werden einige Beispiele bzw. Bereiche genannt, die als hohes Risiko einzuordnen sind. Zur Abgrenzung gibt es auch einige Hilfestellungen von der KI-Servicestelle der RTR: KI-Systeme und die vier Risikostufen und die europäische Kommission hat Leitlinien herausgegeben um verbotene KI-Systeme besser identifizieren zu können: Guidelines on prohibited artificial intelligence (AI) practices, as defined by the AI Act. 

3. KI-Kompetenz: Muss ich alle meine Mitarbeiterinnen und Mitarbeiter in Schulungen schicken? Wenn ja, in welche, gibt es Empfehlungen?

Die Verpflichtung zur KI-Kompetenz gilt seit 2.2.2025 und verpflichtet Anbieter und Betreiber von KI-Systemen, Maßnahmen zu ergreifen, um nach besten Kräften sicherzustellen, dass ihr Personal und andere Personen, die in ihrem Auftrag mit dem Betrieb und der Nutzung von KI-Systemen befasst sind, über ein ausreichendes Maß an KI-Kompetenz verfügen, wobei ihre technischen Kenntnisse, ihre Erfahrung, ihre Ausbildung und Schulung und der Kontext, in dem die KI-Systeme eingesetzt werden sollen, sowie die Personen oder Personengruppen, bei denen die KI-Systeme eingesetzt werden sollen, zu berücksichtigen sind. Es gibt jedoch keine Pflicht, explizit Mitarbeitende oÄ in Schulungen zu schicken, jedoch sollten diese zumindest informiert werden, wie KI eingesetzt werden darf, auf was zu achten ist etc. 

KI-Kompetenz bedeutet die Fähigkeiten, die Kenntnisse und das Verständnis, die es Anbietern, Betreibern und Betroffenen unter Berücksichtigung ihrer jeweiligen Rechte und Pflichten im Rahmen dieser Verordnung ermöglichen, KI-Systeme sachkundig einzusetzen sowie sich der Chancen und Risiken von KI und möglicher Schäden, die sie verursachen kann, bewusst zu werden.

Es gibt unterschiedliche Anforderungen je nach dem, wie intensiv mit KI gearbeitet wird und je nach dem, welchen Einsatzbereich die KI hat (z.B. Entwickler:innen oder Geschäftsführer:innen in der Planung benötigen mehr Expertise als Verwender:innen spezifischer Tools).

Digitale Kompetenzen sind ein guter Anhaltspunkt als Basis, Beispiele und Leitlinien finden sich im Beitrag Was ist KI-Kompetenz? KI-Servicestelle der RTR. Es ist auch empfehlenswert zu dokumentieren, wann wer wie geschult wurde, um allfällige Auffrischungen oÄ überblicken zu können. 

4. Mit welchen Daten darf KI trainiert werden?

Zum Trainieren von GPI-Modellen dürfen öffentlich verfügbare Daten verwendet werden, sofern deren Verwendung hierfür nicht ausdrücklich ausgeschlossen ist. Es ist allerdings noch nicht gänzlich klar, welche Daten ansonsten verwendet werden dürfen, insbesondere für KI-Systeme mit hohem Risiko. 

5. In Österreich wurde ja bereits eine Beschwerde bei der Datenschutzbehörde zu ChatGPT eingereicht, weil ein Geburtsdatum einer Person von OpenAI nicht gelöscht werden konnte. Darf ich KI überhaupt einsetzen, wenn Daten nicht mehr gelöscht werden können? Worauf ist zu achten?

Die Beschwerde bei der Datenschutzbehörde ist noch anhängig, daher muss noch abgewartet werden, wie die Aufsichtsbehörden das datenschutzrechtlich einordnen werden. 

6. Wie arbeitet die KI-Servicestelle mit anderen Stellen oder Behörden zusammen? Gibt es Abstimmungen? Was ist, wenn ich eine Frage z.B. zu Fintech habe?

Es gibt hier einen regelmäßigen Austausch mit anderen Behörden. Die KI-Servicestelle hat derzeit den Auftrag zu helfen, zu servicieren und sich mit Aufsichtsbehörden auszutauschen. Fintech ist bspw. ein Thema der FMA, weshalb diese auch weiterhin die erste Anlaufstelle hierzu bleiben werden. 

7. Meine Agentur erstellt mir KI-generierte Videos für eine Werbekampagne, was muss ich beachten?

Es sind mitunter Kennzeichnungspflichten der KI-generierten Videos zu beachten (z.B. bei Deepfakes). Auch bei Texten muss geprüft werden, ob KI-generierte Informationen gekennzeichnet werden, Näheres findet sich im Beitrag "Offenlegungs-, Kennzeichnungs- und Informationspflichten" der KI-Servicestelle der RTR.

8. Wie muss KI gekennzeichnet werden? Gibt es Muster?

Die KI-Servicestelle hat hier bereits einige Informationen herausgegeben: https://www.rtr.at/rtr/service/ki-servicestelle/ai-act/Transparenzpflichten.de.html. Muster gibt es noch keine, aber es sollte auch für Menschen mit Beeinträchtigung erkennbar und lesbar sein. 

9. Gibt es Zertifizierungen von KI? Worauf kann ich achten, wenn ich zuverlässige und sichere KI einsetzen möchte?

Die Verpflichtungen des AI-Act treten erst nach und nach in Kraft, mit 2.8. treten auch die behördlichen Bestimmungen in Kraft und ab dann wird es erst möglich sein, Zertifizierungsstellen zu akkreditieren. Ab dann wird es auch möglich sein, Zertifizierungen für (Hochrisiko-)KI zu erreichen. 

10. Ab wann wird gestraft? Muss man mit hohen Strafen rechnen?

Der AIA sieht sehr hohe Strafen ab 2.8.2025 vor (mit bis zu 35 Mio. EUR oder 7 Prozent des gesamten weltweiten Vorjahresumsatzes), allerdings wird Dialog, Beratung und Abmahnung wie üblich vorrangig erfolgen ("Beraten statt Strafen").

11. Wie bildet ihr euch als Unternehmen beim Thema KI im Unternehmen weiter, worauf legt ihr wert?

Es gibt unterschiedliche Ansätze mit verschiedenen Ebenen, teilweise wird das gesamte Team mit gewissen Informationen versorgt (z.B. sicherer Umgang mit KI, auf was muss ich achten – Key Takeaways). Eigene Leitlinien im Unternehmen machen da sehr viel Sinn. Manchmal ist es auch nötig, interne Schulungen oder auch externe Schulungen zu besuchen. Es wird auch viel auf Trial-and-Error, also auf Einmal-Austesten gesetzt. 

12. Wie geht ihr mit dem Thema Haftung um? Kontrolliert ihr jedes KI Ergebnis (könnt ihr es kontrollieren?), habt ihr Klauseln in euren AGB?  

Klauseln in Allgemeine Geschäftsbedingungen (AGB) oder Verträge sind noch nicht so üblich, aber es wird viel auf Verantwortung und Lizenzierung in den Teams geachtet, sprich viel auf Urheberrecht und Nutzungsrechte geachtet. Es gibt auch immer eine menschliche Kontrolle, bevor etwas an die Öffentlichkeit rausgeht. 

13. Könnt ihr Mitarbeiterinnen oder Mitarbeiter durch KI-Tools ersetzen? 

Es gibt auch einen differenzierten Ansatz. Wir können andere Themen, neue Themen bearbeiten, man sieht hier einen Lebenszyklus der Innovation. Dinge, die viel länger gedauert haben, sind jetzt schneller durchzuführen. KI wird als Tool, als Hilfsmittel gesehen, aber nicht als Ersatz für einzelne Mitarbeitenden. Wir sehen das als Up-Skilling, nicht als Ersatz.

14. Wann macht der Einsatz von KI im Betrieb Sinn, wo habt ihr Schwerpunkte gelegt?

Creative Content Production, Neu-Erstellung, Editierung, Konzept- und Strategieerstellung mit Storyboards, Voice-Over, Übersetzungen, interne Organisation, Prozessvereinfachung, etc. 

15. Welche KI-Schulung benötige ich als Kleinunternehmer in der Personenberatung?

Es kommt darauf an, welche KI für welche Zwecke eingesetzt wird. Vgl. hierzu: https://www.rtr.at/rtr/service/ki-servicestelle/ai-act/ki-kompetenz.de.html. 

16. Was ist unter "Betreuung des KI-Beirats" zu verstehen?

Zur Beratung der Bundesregierung in allen Fragen zur Künstlichen Intelligenz haben das Bundeskanzleramt und das Finanzministerium am 28. Februar 2024 den KI-Beirat mit elf Expertinnen und Experten präsentiert. Dieser wird sich mit den Potenzialen, Herausforderungen, Risiken und Auswirkungen der Anwendung von Künstlicher Intelligenz befassen.

17. Wenn ich Postings auf Social Media erstelle und dabei teilweise KI-Tools z.B. für die Erstellung von Musik verwende, muss ich das kennzeichnen und wenn ja wie?

Es gäbe etwaig die Möglichkeit, das maschinenlesbar im Hintergrund zu versehen, evtl. kann man etwas "hörbar" einblenden oder in der Textbeschreibung kennzeichnen. Leitlinien hierzu gibt es jedoch noch nicht. 

18. Was ist GPAI?

= General Purpose KI. Ein GPAI-System ist ein KI-System, das auf einem allgemeinen KI-Modell basiert, das für eine Vielzahl von Zwecken eingesetzt werden kann, sowohl zur direkten Verwendung als auch zur Integration in andere KI-Systeme. GPAI-Systeme können als KI-Systeme mit hohem Risiko genutzt oder in diese integriert werden.

19. Die Schulungsverpflichtung besteht jetzt aber auch schon?

Die Verpflichtung KI-Kompetenz nachweisen zu können, besteht seit 2.2.2025. 

20. Wen betreffen die KI-Regelungen vom AIA? Nur Anbieter von KI, selbstgehostete KI oder Benutzer? Oder alle?

Der AIA unterscheitet zwischen unterschiedlichen Verpflichtungen für unterschiedliche Akteure, so auch zwischen Anbietern und Betreibern, nähere Infos hier: https://www.rtr.at/rtr/service/ki-servicestelle/ai-act/akteure.de.html. Sobald ein Akteur ein KI-System mit seinem Namen versieht, es stark verändert oder die Zweckbestimmung ändert, nachdem es bereits in Verkehr gebracht oder in Betrieb genommen wurde, wird er als Quasi-Hersteller und somit als Anbieter mit entsprechenden Pflichten gesehen. 

21. Worauf muss ich bei der Erstellung von Beschreibungen mit Hilfe von KI beachten, wenn ich sie dann für Marketing wie Flyer, Website oder ähnliches nutze?

Kennzeichnung (wie oben ausgeführt) ist wichtig, Faktenchecks, Fehlerchecks sind unbedingt durchzuführen. Der Mensch sollte als letzte Kontrollinstanz nochmal kontrollieren. 

22. Wie sieht es mit der Nutzung von KI- generierten Fotos für Social Media und Website, Onlineshop aus? Muss ich hier KI angeben? Was ist sonst noch zu beachten?

Es gelten die gleichen Regelungen bei der Nutzung von KI im Allgemeinen, zuerst muss eruiert werden um welche Risikostufe es sich hierbei handelt. Es kommen mitunter Kennzeichnungspflichten zur Anwendung https://www.rtr.at/rtr/service/ki-servicestelle/ai-act/Transparenzpflichten.de.html.

23. Bei den großen Datenmengen, die täglich von KI produziert werden, gibt es da überhaupt die Möglichkeit nachzuvollziehen, welche Bilder etc. nur durch KIs, die mit urheberfreien Inhalten trainiert wurden, erstellt wurden?

Trainingsdaten sind bis zu einem gewissen Grad von GPAI-Modellen zu veröffentlichen. Natürlich wird es immer schwieriger herauszufinden (oder v.a. auch nachzuweisen), mit was konkret trainiert wurde. In den USA wurden zu diesem Thema auch bereits einige gerichtliche Verfahren eingeleitet, bei denen sich bspw. Autor:innen oder Künstler:innen versuchen gegen die Verwendung ihres urheberrechtlich geschützten Materials zu wehren. 

24. Gibt es in Österreich/ Europa zum jetzigen Zeitpunkt bereits ein LLM das rechtlich unbedenklich genutzt werden kann?

Es gibt derzeit noch keine weitergehenden Überprüfungen der LLM. 

25. Welche Behörde wird in Österreich für Strafen bzw. Sanktionen zuständig sein? 

Die KI-Aufsichtsbehörde wird in Bälde bestellt werden. Diese ist dann auch für Strafen nach dem AIA zuständig. 

26. CoPilot ist ja eigentlich nicht EU-Datenschutz-konform; wie kann ich als Firma damit arbeiten, um rechtlich sauber zu bleiben?

Die datenschutzrechtliche Einordnung des Tools ist noch ausständig. Empfehlenswert bei Tools ist es immer, eine "betriebliche" Version (üblicherweise Bezahlversion) zu verwenden, in welcher vertraglich zugesichert wird, dass mit eingegebenen Daten nicht weiter trainiert wird und die Daten auch innerhalb des Europäischen Wirtschaftsraums (EWR) bleiben. 

27. Müssten KI-Systeme nicht alle rein lokal laufen um Konflikte mit DSGVO & GPSR zu vermeiden?

Eine lokale Einbindung ist durchaus empfehlenswert. 

28. Kann die KI in Zukunft dem Fachkräftemangel entgegenwirken?

Bis zu einem gewissen Grad können Tätigkeit vereinfacht, beschleunigt werden und Arbeitsprozesse erleichtern. KI wird derzeit aber als Hilfestellung, als Tool und Vereinfachungsmöglichkeit eingesetzt, nicht als Ersatz für Vollzeitmitarbeitende. 

29. Kann man sich auf die eines Anbieters (z.B. ChatGPT/OpenAI) zugesagte Vertraulichkeit verlassen im Sinne des AI Act? D.h. wenn die Lizenz Vertraulichkeit zusagt, kann ich dann davon ausgehen, dass dies auch so umgesetzt wird?

Das ist bislang von den Datenschutzaufsichtsbehörden noch nicht überprüft worden. Vertragliche Zusagen sind einzuhalten, weshalb auf eine vertragliche Zusicherung grundsätzlich gebaut werden kann. 

30. Welche KI-Anbieter gibt es aktuell und welche Anbieter sind aktuell empfehlenswert?

Wir können leider keine spezifischen Tools oder Anbieter bevorzugen und empfehlen.

31. Wird die RTR für "Standardtools" wir Copilot, ChatGPT, ... eine rechtliche Einordnung durchführen und veröffentlichen? Insbesondere DSGVO/GDPR?

Die Zuständigkeit für Datenschutz liegt weiterhin bei der DSB, die auch sehr umfangreiche FAQ dazu veröffentlicht haben:

https://dsb.gv.at/kuenstlichebrintelligenz/kuenstliche-intelligenz-datenschutz. Auch der Europäische Datenschutzausschuss hat schon einige Hilfestellung dazu veröffentlicht: https://www.edpb.europa.eu/search_de?search=ki. Prüfungen zum Datenschutz erfolgen aber nach wie vor über die Datenschutzaufsichtsbehörden. 

32. Ist jedes einzelne Bild bzw. jeder einzelne Text, der mit KI erstellt wurde, separat zu kennzeichnen, oder genügt ein Hinweis in den AGBs?

Die genaue Ausgestaltung oder Muster ist noch offen, empfehlenswert ist jedoch eine explizite Kennzeichnung des konkreten, individuellen Inhalts und ein pauschaler Verweis in den Allgemeinen Geschäftsbedingungen (AGB).

33. Wie verhalte ich mich, wenn mir von 3. Seite eine Verletzung des AI Acts vorgeworfen wird?

Ruhe bewahren, Vorwürfe prüfen, gegebenenfalls mit der Rechtschutzversicherung und/oder einer spezialisierten Rechtsvertretung Kontakt aufnehmen.

34. Wenn Copilot & CO nicht in der EU ihren Sitz haben, verpflichten sie sich trotzdem nach EU-Richtlinien zu arbeiten? wie kann ich sicher sein?

Ja, auch der AIA sieht – ähnlich wie die DSGVO – vor, dass unabhängig vom Sitz bei einer Ausrichtung auf die EU die Regelungen der EU eingehalten werden müssen.

35. Wie ist eine rein interne selbst gehostete KI-Anwendung zu behandeln (z.B. Optimierung von Maschinendaten, Vergleich von Stücklisten mit automatisierter Bewertung von Abweichungen, etc.)

Es handelt sich nach der Beschreibung voraussichtlich um eine KI-Anwendung mit minimalem Risiko, weshalb lediglich KI-Kompetenz als Punkt beachtet werden sollte. 

36. Wie erkenne ich, ob ein Unternehmen KI einsetzt? Gibt es Tools, wie ich z.B. DeepFakes erkennen kann?

Es gibt verschiedene Tools, die erkennen, ob KI eingesetzt wird (z.B. Texte: z.B. isgen.ai, ZeroGPT, GPTZero, Onlineinhalte: Wie überprüfe ich Onlineinhalte? - Saferinternet.at, Deepfakes: Wie Sie Deepfakes zielsicher erkennen, Wie Sie Deepfakes zielsicher erkennen, Deepfakes: Ist das echt? | BundesregierungDatenbanken: z.B. Detecting-Ai).

37. Wenn man Gesetze/Verordnungen mit KI zusammenfassen lässt und nach interner Prüfung und evtl. Anpassung auf der eigenen Homepage veröffentlicht - was muss gekennzeichnet/beachtet werden?

Wenn eine menschliche redaktionelle Kontrolle der Inhalte erfolgt, ist nichts weiter zu beachten. Eine Kennzeichnung macht immer dann Sinn um allfällige Erwartungen an die Haftung (des Autors/ der Autorin) managen zu können.

38. Wird die RTR / WKO grundlegende Schulungsunterlagen zur KI-Kompetenz zu Standard KI-Tools (z.B. ChatCPT, etc.) veröffentlichen, die von KMU herangezogen werden können?

Die Servicestelle der RTR erarbeitet regelmäßig weitere Serviceinhalte und wird diese auch online stellen.

Zu diesem Thema ist u.a. auch die KI-Guidelines für KMU der WKO empfehlenswert.