Rechtsanwalt Dr. Lukas Staffler erklärt den AI-Act - seine Auswirkungen auf und Anforderungen für Unternehmen - kurz und knackig. Er betont, dass "Unternehmer Respekt vor dem AI-Act haben sollten, aber keine Angst!" Der europäische AI Act (verabschiedet im August 2024) ist eine neue Verordnung, die regelt, wie Künstliche Intelligenz (KI) in Europa eingesetzt werden darf – mit zwei Zielen: Der AI Act will Innovation fördern und gleichzeitig unsere Grundrechte schützen. 1. Individuen und die Gesellschaft schützen und gleichzeitig ... 2. Innovation fördern, indem er ein System zur Verfügung stellt, damit in Europa nur qualitativ hochwertige KI zum Einsatz kommt. Wir sprechen über Risikokategorien im EU AI-Act und deren praktische Bedeutung Transparenzpflichten bei KI-Anwendungen, Schulungspflichten für Unternehmen beim Einsatz von KI seit Feb. 2025 und besprechen die Unterscheidung zwischen KI und klassischen Automatisierungssystemen. - Unternehmen sollten sich grundsätzlich mit dem AI-Act auseinandersetzen und verstehen, dass es um Schutz und Qualität von KI geht - Transparenz bei KI-generierten Inhalten ist wichtig, um Vertrauen bei Verbrauchern zu schaffen - Unternehmen sollten prüfen, ob ihre automatisierten Systeme tatsächlich KI verwenden oder nur klassische Automatisierung sind - Bei der Implementierung von KI-Systemen sollten Unternehmen in Use-Cases denken und entsprechende Compliance-Systeme entwickeln.
Folge 11 nachzulesen unter EU AI-Act >> Anforderungen einfach erklärt
Rechtsanwalt Dr. Lukas Staffler, LLM ist ein auf Digitalisierungsrecht und Strafrecht spezialisierter Anwalt aus Innsbruck und ISO-zertifizierter Compliance Officer. Er ist Mitglied verschiedener Expertennetzwerke wie der Rechtsanwaltskammer Tirol und der Robotics & AI Law Society sowie Lehrbeauftragter an Universitäten wie der Universität Zürich und dem MCI für Bereiche wie Cybersicherheitsrecht und KI-Transformationsrecht. Er entwickelt praxisorientierte Lösungen für komplexe rechtliche Herausforderungen im Digitalisierungsbereich.
Zur Website von Rechtsanwalt Dr. Staffler
Wir leben in einer Zeit, in der sich die meisten Unternehmer mehr oder weniger intensiv mit den Chancen von KI auseinandersetzen. Beim Thema KI - und allgemein der Digitalisierung - schwingt oft Unsicherheit mit.
Dabei geht es meistens um
Willkommen bei vom Hype zum Handeln, dem Podcast zur Transformation im Zeitalter der künstlichen Intelligenz.
Der Datenschutz und der AI-Act - und was sie für den Einsatz von KI im Unternehmen tatsächlich bedeuten: Darüber spreche ich heute mit Dr. Lukas Staffler: Seines Zeichens Rechtsanwalt, unter anderem mit den Spezialgebieten Unternehmensrecht und Recht für digitale Wirtschaft.
Hallo Petra, danke für die Einladung.
Voll gern. Schön, dass du da bist, Lukas. Vielleicht möchtest du gerne etwas zu dir sagen und wie du bei der „digitalen Wirtschaft“ gelandet bist?
Voll gern. Ich habe mir das Thema AI-Akt und generell künstliche Intelligenz vor einigen Jahren aus der Forschungsperspektive angeschaut.
Ich war damals in Zürich an der Universität habe dazu geforscht, wie künstliche Intelligenz in der Strafrechtspflege grundsätzlich einen Mehrwert bringen kann, aber auch Gefahren bringt.
Und aus dieser Forschung sind auch erste Publikationen entstanden, die dann 2020 publiziert worden sind und seitdem begleitet mich die künstliche Intelligenz und die Forschung dazu.
Und so habe ich das dann auch in die Praxis mitgebracht.
Klingt absolut spannend. Was man jetzt alles sich an Spezialisierungen suchen kann oder haben sie dich mehr oder minder ereilt?
Nein, es ist tatsächlich einfach eine europäische Forschungsausrichtung gewesen, die ich verfolgt habe und da ist das Thema aufgepoppt.
Und neue Technologie im Bereich von Strafverfahren hat einfach ein extrem großen Mehrwert, aber auch unglaublich große Gefahren, die sich auch im EIAG dem widerspiegeln. Deswegen gibt es gewisse Verbote und gewisse Limits, die man sich anschauen muss.
Und von dem her hat es einfach Sinn gemacht, sich diese ganzen Entwicklungen auch näher anzuschauen.
Klingt wirklich richtig toll und spannend. Danke. Auf jeden Fall hast du das Stichwort ja schon gesagt, dass wir uns über den AI-Act unterhalten hat ja einen Grund:
KI ist überall allerorts im Einsatz. Wir sind mit dem im alltäglichen Leben immer konfrontiert. Und man kann den AI-Act aus mehreren - zumindest zwei Richtungen betrachten. Einmal bin ich oder jeder von uns als Individuum von KI-Anwendungen betroffen, egal ob da jetzt Bilder hergestellt werden oder Videos oder Sprache.
Und dann ist ja die Frage, darf man das in Verkehr bringen?
Und andererseits sind wir als Unternehmer, wenn wir selbst etwas mithilfe von KI-Tools erstellen, angehalten auch Regeln einzuhalten, die der AI-Akt zum Teil vorschreibt.
Dazu würde ich jetzt gerne dir schon einmal die Frage stellen. Ich glaube, der AI Act gilt seit letztem Jahr richtig?
Genau, also der AI-Act selbst ist im August 2024 verabschiedet worden. Seine Geltung aber ist, weil er sehr umfangreich ist und sehr viel Vorgaben für die Wirtschaft macht, in verschiedenen zeitlichen Etappen in die Zukunft gestaffelt worden.
Wir haben die erste Staffel schon erreicht mit Februar 2025. Dort sind zwei Aspekte in Kraft getreten, nämlich erstens die Schulungspflicht für Unternehmer. Wenn sie KI einsetzen, müssen sie ihre mitarbeitenden Schulen in KI und die verbotenen KI-Regelungen.
Die zwei sind seit Februar scharfgestellt. Im August folgen jetzt weitere Regelungen, insbesondere für die großen Hersteller von General Purpose AI und der ganz, ganz „große DSGVO-Moment“, wie ich in meinen Schulungen auch sage, wo also das Thema wirklich die breite Masse betrifft.
Das ist dann nächstes Jahr im August, wenn dann fast alle Regeln scharfgestellt werden.
Danke für die verschiedenen Stufen. Also ich kann mir erinnern, dass im Februar auch viele über diese Schulungspflichten usw. berichtet haben, soweit ich weiß, bist du ja auch in einigen oder einer zumindest Ausbildung tätig.
05:02
Ich glaube du machst sogar die Leitung eines Studiengangs, ist das richtig?
Genau, ich bin am Management Center Innsbruck zuständig für einen kleinen Studiengang Business AI und auch für größere Programme, die sich aber im Bereich des rechtlichen auch näher sich damit beschäftigen.
Ja, also das Thema Kompetenzerwerb ist ein großes, das wollen wir vielleicht an anderer Stelle mal vertiefen, wenn wir jetzt den AI-Act uns anschauen und ein Unternehmer, wie einleitend gesagt, gibt es ja Befürchtungen.
Die Befürchtungen können eben sein sehr oft technisch, aber eben auch rechtlich. Wie sehr muss man sich den fürchten als Unternehmer vorm AI-Act?
Ich glaube, es ist wichtig mit dem AI-Akt sich mal grundsätzlich auseinanderzusetzen und Respekt zu haben, aber keine Angst.
Ich glaube, das Thema ist grundsätzlich, wenn man den Kern verstand, dass es ums dem AI-Akc geht. gut, händelbar und machbar. Di rAI-Act, wenn man so will, denkt in Use-Cases, wo sieht sie KI ein und wenn man sich da das genau als Unternehmen überlegt und das sollte man sich überlegen, denn KI ist immer eine Ressource, die man einsetzt, dann wird auch klar, dass man sich da einfach ganz klar den Mehrwert von KI sich genau vergegenwärtigen soll und dann überlegen soll,
wo sind Risiken für die betroffenen Stakeholder drinnen und dann entsprechende Compliance-Systemen entwerfen um diese Risiken handeln zu können. Es ist eigentlich nicht so schwer.
Aber „Compliance“ können gleich viele ein bisschen erschrecken.
Vielleicht wollen wir mal noch einen Schritt zurückgehen. Ich glaube, es ist ja eine Stärke von dir, dass du komplexe Dinge einfach erklären kannst. Würdest du mir und den Zuhörern mal den AI-Act in wenigen Worten oder Sätzen erklären?
Okay, das ist jetzt wirklich ein Challenge, aber die nehme ich gerne an. Also der AI-Act ist eigentlich auf zwei Ziele hingerichtet. Er soll die - europäische Gesellschaft und das Individuum in seinen Grundrechten schützen, aber gleichzeitig - Innovation fördern, indem er für Europa, also auf den europäischen Binnenmarkt, ein Ökosystem bereitstellt, wo nur qualitativ hochwertige KI zum Einsatz kommt.
Das ist das Ziel. Und alle Regeln, die im AI-Act sind, spiegeln genau dieses Ziel hin. Und wenn man sich also vor Augen haltet, es gibt Schutz und es geht um Qualität KI, dann ist es klar, wir brauchen mal gewisse Regeln, die sagen, dieser KI-Einsatz ist komplett verboten.
Das ist die Spitze der Pyramide, die wir immer vor Augen haben, wenn wir über den AI-Act drehen. Also ganz wenig kleine Cases sind komplett verboten. Dann gibt es Cases, die ein bisschen größer sind, wo es genaue Maßnahmen braucht.
Wenn der Unternehmer diese KI in gewissen Bereichen einsetzt, damit dort nicht Fehler passieren, Diskriminierungen zum Beispiel. Und außerhalb von diesen zwei Gründen, die wir hier haben, Bereichen.
Gibt es noch einen weiteren Bereich, wo es heißt, wenn eine normale Person mit KI interagiert, soll sie zumindest wissen, dass sie mit KI interagiert.
Das ist das große Geheimnis vom AI Act, drei Kategorien.
Und wenn wir nicht in diesen drei Kategorien sind, dann trifft uns nur vom AI Act eine einzige Pflicht, nämlich wenn wir KI im Business-Kontext einsetzen, müssen wir die Mitarbeiter darin schulen.
Genau, so einfach kann man es erklären, wenn man sich mal auskennt und sich genau beschäftigt hat, wie du, super. Diese sehr risikoreichen. Also das, was du jetzt erzählt hast und was ich auch gelesen habe im AI Act, ist, wir haben verschiedene Risikoklassen und du hast von der Spitze der Pyramide gesprochen, das sind jetzt diese Hochrisikosysteme.
Was würde man denn da drunter verstehen, dass wir das alles vielleicht für uns ausschalten können, weil das machen die Unternehmer hier in Tirol und darüber hinaus wahrscheinlich nicht.
Also wenn wir von der Pyramide ein Stück runtergehen und in diesen Hochrisikokategorien reden, dann geht es darum, dass gewisse Risikobereiche angeschaut werden und dort Qualitätsmanagement am Ende des Tages sehr wichtig ist. I
Ich mache ein konkretes Beispiel. Ein Hochrisikobereich ist die Kreditvergabe. Das heißt, wenn Banken bei der Kreditvergabe künstliche Intelligenz einsetzen, müssen sie entsprechende Compliance Management Systeme aktivieren, Risikomanagement machen, Qualitätsmanagement in den Daten, damit die richtigen Daten, die entsprechenden Ergebnisse produzieren und dass keine beispielsweise Diskriminierungen passieren oder Fehler passieren.
Denn von solchen Entscheidungen, Kreditvergabe hängt einfach viel für die einzelnen Personen ab, die von diesem Kaisystem betroffen ist. Ein größer Kontext wäre zum Beispiel Bewerbungsverfahren oder der komplette HR-Bereich.
Wenn ich als Bewerber mich irgendwo bei der Firma bewirb und dort von der KI aussortiert werde, dann sollte es schon sichergestellt sein, dass diese KI sauber arbeitet, nicht mit diskriminierenden Daten arbeitet und mich einfach raussortiert, weil ich vielleicht nicht an der richtigen Wohnadresse wohne oder weil irgendwo in den Datenpaketen Fehler sind, die sich negativ auf mich auswirken.
Das heißt, diese Hochrisikosachen zusammengefasst sind erlaubt, aber sie brauchen Qualitätsmanagement.
Sie brauchen Qualitätssicherung, wenn ich die richtig verstehe, genau. Und da fällt natürlich auf, das sind sehr sensible Bereiche.
Also wir reden davon in Bereichen Finanz und natürlich persönliche Daten, HR, wahrscheinlich betrifft das auch medizinische Anwendungen, könnte man vorstellen oder in diesen Bereichen. Da ist sehr viel reguliert.
Wenn man da jetzt dann noch einmal Stufe runter geht und sagt, was betrifft denn den unter Anfangszeichen normalen Unternehmer, wenn jetzt nicht HR mit KI aussortiert, also Bewerber aussortiert. was betrifft und dann könnten als nächstes betreffen.
Wir steigen noch eine Stufe runter von der Pyramide und sind sozusagen in der kleinsten geringen Risikokategorie, die in meiner Schulung immer als „Transparenzrisiko“ bezeichnen. Transparenzrisiko heißt einfach, der normale Bürger, die natürliche Person soll wissen, wenn sie mit KI redet, dass sie diesbezüglich der KI ausgesetzt ist.
Und diese Transparenzpflichten sind einfach relativ einfach handelbar, die sind in Artikel 50 im AI Act genannt. Und da heißt es einfach, zum Beispiel, wenn Chatbots mit KI laufen, sollen sie entsprechend sich ausweisen, dass sie KI-Tools sind.
Oder wenn unsere Bürger oder natürliche Personen mit KI-generierten Bildern zu tun haben oder KI-generierten Videos zu tun haben, dann ist es nicht verboten, aber muss entsprechend transparent kommuniziert werden, dass es ein KI-generiertes Bild ist. Es geht also um Empowerment von normalen Personen.
Ja, und damit, glaube ich, kann man auch ein bisschen Schrecken von dem AI-Act nehmen, sondern er schützt uns eigentlich sehr.
Es gibt ja auch ganz viele Diskussionen, egal ob das große soziale Netzwerke sind oder eben diese ganzen Deep-Fakes. Ich glaube, so was hast du jetzt gerade angesprochen, ob das Bilder oder Videos sind.
Wo man nicht mehr wirklich erkennen kann, ist es echt, ist es Lüge, sag ich jetzt einmal, also ein Feg. Wir erinnern uns vielleicht, weil jetzt die Papstwahl ja noch nicht ganz so lange her ist und lustigerweise habe ich in einer Folge vor der Papstwahl gesagt, es fehlt gerade noch, dass sich da manche Politiker als Papast darstellen und dann, ist es schon passiert.
Also in dem Sinne, es passiert ja ganz viel, da weiß man es noch, dass es nicht stimmt, aber bei anderen Dingen weiß man es schlicht und ergreifend nicht da. Und dann wäre das eben Irreführung oder wie würde Täuschung, glaube ich, satt man da, in dem Fall.
Genau, und genau an diesen Sachen setzt Europa an. Es sagt, unsere Leute sind nicht dumm, wir müssen es nicht komplett verbieten, aber wenn diese Technologie, die auch ein Mehrwert hat, eingesetzt wird, dann muss es zumindest transparent gemacht werden, dass sich auch jeder klar wird, ist es jetzt ein KI-generiertes Bild oder ein Video oder ist es eine tatsächliche Aufnahme.
Ich glaube, wenn wir uns das für ein Unternehmerkontext vorstellen, dann ist es auch relativ klar, wenn ich jetzt Bilder von einem Haus zeug und ich bin im mobilen Marken und dann möchte ich als Kunde schon wissen, ist das jetzt der Realzustand oder ist es einfach ein aufgehübschtes KI-Bild und das sehe ich, wenn das Unternehmer, der das postet, natürlich auszeichnet, das macht mir als Verbraucher, gibt mir das die Sicherheit, die ich für Entscheidungen brauche Ja, in jedem Fall.
Du hast aber noch ganz einen interessanten Punkt angesprochen und das passiert manchmal, aber nicht immer kommt mir vor, nämlich die Chatbots. Klar, wenn jetzt ein kleines Männchen ist oder eine Sprechblase redet, unten, die dann sagt, du kannst mir eine Frage stellen, ich bin Fried, da weiß ich nicht Chatbot, dann weiß ich ja, dass ich mit dem Chatbot rede.
Ich denke jetzt zum Beispiel an Funktionen, wie sie auf Instagram gern genutzt werden mit Manychat oder so ähnliche Dinge, also wo man ganz einfach, weil ich sage, jemand kann sich eine Ressource herunterladen, sagen wir würden, diese Serie oder diese Aufnahme, die mir jetzt machen, dann auf Instagram posten und sagen, wer jetzt da kommentiert Checkliste und wir würden so Checkliste hinausgeben,
der kriegt es dann zugesandt, dann wird es ja automatisch verarbeitet und der sagt aber nicht, hallo, ich bin ein Chatbot.
Ich glaube, da gibt es so Graubereiche, da muss ich es einfach wissen oder schreibt man es da dann besser hinein, wie soll ich denn da als Unternehmer damit umgehen, soll ich da reinschreiben, das ist eine automatisch generierte Nachricht und du bekommst jetzt eine Checkliste oder wie sehr muss ich denn das kenntlich machen.
Ich glaube, man muss an Schritt vorher gehen und schauen, ist es überhaupt KI oder ist es einfach nur ein klassisches „Wenn-Dann“-System, das nicht mit den Daten weiterarbeitet, sondern einfach nur eine reine Datenverarbeitung ohne KI macht.
Denn dann haben wir es ganz einfach, dann sind wir aus dem AI-Act draußen. Der erste Punkt ist nämlich wirklich zu schauen bei solchen Prüfungsprogrammen, ist es überhaupt KI. Im Zweifel würde ich davon ausgehen.
Das heißt, wenn der Unternehmer sagt: „Ich bin mir nicht ganz sicher, ob diese Lösung tatsächlich KI ist“, würde ich es als KI betrachten wollen und die entsprechenden Vorsichtsmaßnahmen machen. Aber da kann sicherlich jemand, der IT erfahren ist, einen entsprechenden Rat geben und Auskunft geben, ob es tatsächlich ein KI-System ist.
Der einfachste Fall ist, wenn es keine KI ist, ist es nicht AI-Act relevant.
Genau, und das ist ein super, super Praktiker-Tipp, weil ich denke, dass genau das, nämlich die Wenn-Dann-Regeln, da sehr weite Verbreitung haben in allen diesen Automatisierungen.