Es ist Zeit für ein Update
Letzte Woche, irgendwo zwischen Vertragsprüfung, KI-Tool-Auswahl und DSGVO-Tabellen, war klar: Wir brauchen ein Update. Nicht weil wir völlig ahnungslos waren – das sicher nicht. Aber weil sich rund um den EU AI Act gerade einiges bewegt, was für unsere Arbeit als Beraterinnen (und alle, die mit personenbezogenen Daten und KI arbeiten) relevant ist.
Ja, Julia hat auch mal kurz genervt geschnaubt, als sie sich durch die Formulierungen zur Auftragsverarbeitung und „General Purpose AI“ gekämpft hat. Aber: So wie sich KI weiterentwickelt, müssen wir es auch.
In diesem Beitrag teilen wir, was wir dabei gelernt haben – und was uns (noch) Kopfzerbrechen bereitet. Mit dabei: ein Überblick über den EU AI Act, praktische Fragen zur Nutzung von KI im Alltag und Ressourcen, die helfen können, sich selbst auf Kurs zu bringen.
Was ist der EU AI Act und warum betrifft er uns?
Der EU AI Act ist das erste umfassende Gesetz zur Regulierung von Künstlicher Intelligenz weltweit. Ziel ist es, Innovation mit Verantwortung zu verbinden – also sicherzustellen, dass KI-Systeme transparent, nachvollziehbar und menschenzentriert eingesetzt werden. Das Gesetz folgt einem risikobasierten Ansatz:
Vier Risikoklassen:
- Verbotene KI: etwa Social Scoring oder manipulative Emotionserkennung im Schulumfeld
- Hochrisiko-KI: z. B. für Recruiting, Kreditvergabe, Mitarbeiterüberwachung oder sicherheitsrelevante Systeme
- Begrenztes Risiko: z. B. Chatbots, die klar kennzeichnen müssen, dass sie KI sind
- Geringes Risiko: z. B. Spiele oder Tools mit rein unterhaltendem Charakter
Der Zeitplan:
- Juni 2024: Der AI Act ist formell in Kraft getreten. Die Übergangsphase beginnt.
- 2. August 2025: Erste Regeln gelten verbindlich für Anbieter von sogenannten “General Purpose AI Models” (GPAI), z. B. GPT-4. Es geht hier u. a. um Transparenzpflichten, Copyright-Hinweise und Sicherheitsvorgaben.
- 2026 (voraussichtlich März–August): Hochrisiko-Systeme unterliegen dann verpflichtenden Anforderungen wie Risikobewertungen, Dokumentation und menschlicher Aufsicht.
Der Gesetzgeber schafft damit einen Rahmen, der nicht nur große Tech-Konzerne betrifft – sondern auch Beratungsunternehmen, HR-Dienstleister und Software-Nutzer:innen, die KI in Ihre Prozesse integrieren.
3 wichtige Learnings zur KI-Vertragsgestaltung (inkl. DPA & SCC)
1. Es gibt keine Blaupause, aber Prinzipien helfen. Ob ein DPA notwendig ist, hängt nicht nur vom Tool ab, sondern auch davon, wie ihr es nutzt. Werden personenbezogene Daten verarbeitet? Wohin werden sie übertragen? Erfolgt ein Modelltraining? Diese Fragen müssen individuell geklärt werden – am besten gemeinsam mit Datenschutzexpert:innen.
2. Viele Infos sind verfügbar – aber verstreut. Man findet wirklich viel: von WKO-Leitfäden über Bitkom-Vorlagen bis hin zu EU-Dokumenten. Aber: Diese Informationen sind selten direkt auf praktische Anwendungsfälle kleiner Unternehmen oder beratender Tätigkeiten zugeschnitten. Es lohnt sich, eigene Beispiele durchzuspielen und sich auszutauschen.
3. Gute Beratung zahlt sich aus. Wir haben gelernt: Es ist keine Schwäche, professionelle Unterstützung zu holen – sondern ein Zeichen von Qualität. Ein fundierter Vertrag oder eine gut dokumentierte Risikoabwägung schützt nicht nur rechtlich, sondern stärkt auch das Vertrauen bei Kund:innen und Partnern.
Selbsttest: Ist Ihr Unternehmen vom EU AI Act betroffen?
Beantworten Sie die folgenden Fragen:
- Nutzt du Tools wie ChatGPT, Copilot oder Fireflies mit echten Kund:innendaten?
- Arbeitest du in sensiblen Bereichen wie HR, Gesundheit oder Finanzen?
- Treffen deine Tools (auch indirekt) Entscheidungen über Menschen?
Wenn mindestens einmal “ja” die Antwort ist: Willkommen in der AI-Act-Welt.
Verträge mit KI-Tools richtig gestalten – was jetzt wichtig ist
Wir haben keine eigene DPA-Vorlage zum Download – ganz bewusst. Warum? Weil wir keine Juristinnen sind. Und weil es fahrlässig wäre, etwas zu verbreiten, das rechtlich vielleicht nicht zu 100 % passt.
Stattdessen hier ein paar hilfreiche Links, mit denen Sie sich orientieren können:
| Thema | Link | Nutzen |
|---|---|---|
| Auftragsverarbeitung | WKO Übersicht | Praxisnahe Infos für Österreich |
| KI-Rechtslage | EU AI Act – EU Info | Originalquelle |
| Schulungen | Ausbildung zu KI Beauftragten | Weiterbildung mit Zertifikat bei BMD – für Expertinnen im Finanzbereich |
| Vorlage | Vertragsvorlage der WKO | Vertragsvorlagen für Österreich |
| mehr Infos | Artikel zum Thema KI-Daten | für weiteren Lesespaß |
| Datenschutz mit Biss | noyb.eu | NGO rund Datenschutz und Datensicherheit |
Fazit: EU AI Act verstehen und sicher umsetzen
Die Arbeit mit KI ist aufregend, transformativ – und manchmal anstrengend, wenn man sich durch die rechtlichen Grundlagen wühlen muss. Aber: Es lohnt sich. Nicht nur, weil es Vorschrift ist, sondern weil Vertrauen das wertvollste Kapital in einer digitalisierten Welt ist.
Wir müssen nicht alles sofort perfekt machen. Aber wir sollten wissen, wo wir stehen, was wir tun und wann wir uns Verstärkung holen sollten.
Unser Tipp: Bleiben Sie neugierig, fragen Sie nach, holen Sie Feedback. Und sollten Sie mal den Unterschied zwischen SCC und DPA googeln – Sie sind nicht allein.
Hinweis: Dieser Beitrag stellt keine Rechtsberatung dar. Alle Links sind Empfehlungen zur eigenen Weiterbeschäftigung und ersetzen keine juristische Prüfung.