Die Regeln für den Umgang mit KI werden in der EU klarer definiert. Das verlangt schnelles Lernen und ein neues Rechtsverständnis bei Unternehmern. Der Datenschutz ist dabei noch stärker als zuvor zu beachten.
MAIK NOVOTNY
Drei Jahre dauerten die Verhandlungen, bis EU-Parlament und EU-Rat im Frühjahr 2024 eine Einigung über den Umgang mit Künstlicher Intelligenz vermelden konnten. Im Juli 2024 wurde diese Einigung in Rechtsform gegossen, genau gesagt, in die EU-Verordnung 2024/1689 über Künstliche Intelligenz, kurz gesagt: EU AI Act. Diese Verordnung gilt für alle Unternehmen, die KI-basierte Produkte oder Dienstleistungen anbieten oder nutzen, vor allem für Anwendungen, die Inhalte, Vorhersagen und Empfehlungen bereitstellen oder die Entscheidungsfindung der Nutzer:innen beeinflussen. Der AI Act versteht sich als Ergänzung zu bestehenden Regelungen wie der inzwischen im Alltag etablierten EU-Datenschutz-Grundverordnung DSGVO. Er ist weltweit der erste Rechtsakt, der konkrete Regelungen für den Einsatz von Künstlicher Intelligenz enthält.
Die rechtliche Umsetzung der Verordnung verlief stufenweise, besonders relevant für Unternehmen war jene im Februar 2025, die vorschrieb, den Mitarbeiter: innen Kompetenzen im Umgang mit den eingesetzten KI-Werkzeugen zu vermitteln. Bis Ende 2025 hatten alle Mitarbeiter:innen, die mit dem Betrieb oder der Nutzung von KISystemen zu tun haben, verpflichtende Schulungen zu besuchen, die mit einem Zertifikat abzuschließen sind. Die letzte Stufe steht im Sommer 2026 an, ab dann müssen alle Unternehmen ihre Kund:innen oder Geschäftspartner darauf hinweisen, wenn diese mit KI interagieren, KI-generierte Inhalte müssen als solche gekennzeichnet werden – etwa auch Chatbots, die für die Kundenbetreuung eingesetzt werden.
Service und Strategie
Bestimmte KI-Anwendungen werden vom AI Act gänzlich verboten. Dazu zählen Benotungssysteme für soziales Verhalten („Social Scoring“) und biometrische Kategorisierungen, die Merkmale wie politische oder religiöse Überzeugungen, sexuelle Orientierung oder ethnische Zugehörigkeit nutzen. Ebenso verboten ist die Erstellung von Gesichtsdatenbanken auf Basis von ungezieltem Durchsuchen des Internets oder von Bildmaterial aus Überwachungskameras.
Viel zu lernen in kurzer Zeit also für Unternehmen und Mitarbeiter:innen, von denen sich viele bislang nicht oder kaum mit Künstlicher Intelligenz beschäftigt haben. Um hier beratend zur Seite zu stehen, wurde in Österreich Anfang 2024 die KI-Servicestelle bei der Regulierungsbehörde RTR GmbH eingerichtet, die online über die wichtigen Rahmenbedingungen informiert. Ein Beirat für Künstliche Intelligenz wurde als Beratungsgremium für die Bundesregierung eingerichtet. Diese hatte bereits 2021 ihre KI-Strategie „Artificial Intelligence Mission Austria 2030 (AIM AT 2030)“ entwickelt. Sie zielt auf einen gemeinwohlorientierten Einsatz von KI ab und will sie gleichzeitig nutzen, um Österreich als Technologie-Standort für Forschung und Entwicklung zu profilieren. Ob diese Ziele sich bisweilen im Weg stehen, wird die nahe Zukunft zeigen.
Digitaler Humanismus
Auch die Stadt Wien hat mit der Überarbeitung ihrer seit 2019 bestehenden KI-Strategie auf den EU AI Act reagiert, diese trat im Oktober 2024 in Kraft. „Wir setzen auf transparente und ethische Prinzipien bei der Entwicklung und Anwendung von KI-Technologien“, betont Klemens Himpele, CIO der Stadt Wien. Die aktuelle KI-Strategie verankert das Prinzip des Digitalen Humanismus, welches die Bedürfnisse der Menschen in den Mittelpunkt der Digitalisierung stellt. „Die zukünftigen Möglichkeiten des KI-Einsatzes in der Verwaltung lassen sich nur erahnen“, so Himpele.
Digitale Schlüsselstelle
Auch das Planen und Bauen ist Teil der KI-Welt geworden. So wurde an der Universität für Weiterbildung Krems ein Leitfaden für KI in der Bauwirtschaft erstellt. Die digitale Schlüsselstelle zwischen Planung und Verwaltung ist das 2019 gestartete System zur digitalen Baueinreichung BRISE (Building Regulations Information for Submission Envolvement). Auch dieses verwendet von Anfang an KI-Bestandteile zur Erleichterung der Suchfunktion. Rechtsquellen und textliche Bestimmungen des Flächenwidmungsund Bebauungsplans werden automatisch klassifiziert, Einreichungsdokumente automatisch kategorisiert.
Für Bauträger ist jedoch vor allem die Schnittstelle zu den Bewohner:innen in puncto KI und Datenschutz relevant. Namen oder E-Mail-Adressen von Mieter:innen dürfen laut DSGVO nur im direkten Zusammenhang mit dem Mietverhältnis verwendet werden, erklärt David Hummel, Co-Autor des Ratgebers „Datenschutz in der Wohnungswirtschaft“ im Fachmagazin „Die Wohnungswirtschaft“.
Risiken von Datenlecks
„Unterschieden wird bei KI-Anwendungen zwischen geschlossenen und offenen Systemen. Bei geschlossenen Systemen werden die Daten in einer eingegrenzten und technisch abgeschlossenen Umgebung verarbeitet. Die Nutzung solcher betriebsinternen KI-Lösungen ist für Unternehmen unproblematisch, sofern ein geeigneter Dienstleister hinzugezogen wird und der Datenschutz vertraglich geregelt ist.“ Bei offenen KI-Tools wie ChatGPT besteht das Risiko, dass Dritte Zugriff auf personenbezogene Daten erhalten, etwa wenn die KI ein personalisiertes Schreiben an einen Mieter erstellt. Auch dürfen nach DSGVO Entscheidungen mit Rechtswirkung grundsätzlich nur von Menschen getroffen werden. Ein Mietvertrag basierend auf einem KIVorschlag stünde dem entgegen.
„Neben dem rechtlichen Rahmen durch die geltenden Datenschutzgesetze hatten wir auch zahlreiche prozessorientierte Fragen zu klären.“
Katrin Schwarz, Alpenland
Auch bei den inzwischen gängigen Kund:innen-Apps und -Portalen zur Interaktion mit den Mieter:innen müssen sich Bauträger ständig gegen die Risiken von Datenlecks absichern – und das tun sie auch. „Im Rahmen der Konzeption und Umsetzung unseres Kundenportals haben wir uns intensiv mit dem Themenkreis rund um Datenschutz und Datensicherheit auseinandergesetzt“, erläutert Katrin Schwarz, Projektleiterin Kundenportal bei der Alpenland. „Neben dem rechtlichen Rahmen durch die geltenden Datenschutzgesetze, bei denen es darum geht, sicherzustellen, dass sensible Kundendaten entsprechend geschützt sind, hatten wir auch zahlreiche prozessorientierte Fragen zu klären. Ergänzend haben wir hierzu auch externe rechtliche Expertise eingeholt.“
Zu diesen Fragen zählen: Wie stellen wir sicher, dass Kund:innen nur ihre persönlichen Daten und Dokumente einsehen können? Was passiert, wenn es bei einem Aus- oder Einzug in eine Wohnung Überschneidungen gibt? Wie lange müssen wir die Daten aufbewahren? Welches Löschungskonzept kommt danach zum Einsatz? Wo werden die Daten gespeichert, laufen sie über Drittländer wie US-Clouds? Ein Fragenkatalog, der in Zukunft nicht kleiner werden wird.
