Generative KI rechtskonform einsetzen

News

Bildquelle: peterschreiber.media (Adobe Stock)

21/05/2025 | Recht und Regulierung | Künstliche Intelligenz

Was schreibt der EU AI Act vor? Was müssen Unternehmen und Wirtschaftsprüfer beim Einsatz von KI-gestützten Sprachmodellen beachten?

Die Anwendung von generativer KI, beispielsweise zur Text- oder Bilderzeugung, bringt eine Reihe von rechtlichen Fragestellungen mit sich. Der EU AI Act bringt ab 2. August 2025 Verpflichtungen speziell für generative KI- Systeme, aber darüber hinaus sind für Unternehmen zahlreiche weitere Regelungen zu beachten -vom Datenschutz über das Urheberrecht bis zum Arbeitsrecht. Für Wirtschaftsprüfende sind zudem die berufsrechtlichen Verpflichtungen einschlägig. Um die Berufspraxis gerade von kleineren Unternehmen und Wirtschaftsprüfungspraxen zu unterstützen, sind jüngst verschiedene Leitfäden erschienen, die im Blogbeitrag vorgestellt werden.

Der Einsatz von generativen KI-Modellen breitet sich in Unternehmen und Wirtschaftsprüfung immer mehr aus. Um so wichtiger ist es, die rechtlichen Verpflichtungen zu kennen und anzuwenden. Diese betreffen nicht nur den EU AI Act sondern auch allgemeine Vorschriften wie die DSGVO, das Urheberrecht oder das Berufsrecht der Wirtschaftsprüfung. Drei Leitfäden von Bitkom, Accountancy Europe und der Wirtschaftsprüferkammer geben nützliche Hinweise.

Die Plattform SOLON X bietet Wirtschaftsprüfungsgesellschaften aller Größen einen Überblick und Zugang zu digitalen Tools und Services, die auf die Branche zugeschnitten sind und bei einer effizienten digitalen Transformation unterstützen - sowohl für die Prozesse in der eigenen Praxis als auch bei der Mandatsarbeit.

Generative KI – Rechtliche Regelungen

Die Rechtsfragen, die sich im Zusammenhang mit generativer KI stellen, umfassen sowohl die Daten, die in die KI-Modelle eingegeben werden, als auch die Verwendung der KI-generierten Ergebnisse. Einschlägig ist dabei unter anderem die EU-KI-Verordnung, vor allem Kapitel V, Artikel 51 ff. Diese Vorschriften gelten ab dem 2. August 2025 und regeln vor allem Pflichten für Anbieter von KI-Modellen mit allgemeinem Verwendungszweck.

Der Leitfaden des Digital-Branchenverbands Bitkom "Generative KI im Unternehmen" bietet eine umfassende Übersicht über die rechtlichen und ethischen Herausforderungen. Der Leitfaden richtet sich insbesondere an Unternehmen als Anwender von generativer KI und gibt praktische Handlungsempfehlungen.

Dies beginnt mit einer Checkliste notwendiger Vorüberlegungen vor der Anschaffung eines KI-Programms. Hier ist zu beachten, dass der Anbieter eines neuen KI-Modells mit allgemeinem Verwendungszweck ab dem 2. August 2025 die Erfüllung seine Pflichten nach Artikeln 51 ff. KI-Verordnung nachweisen und eine umfangreiche Dokumentation liefern muss. So kann das kaufende Unternehmen als Kunde bei Bedarf als Anbieter eines KI-Systems, in dem das KI-Modell mit allgemeinem Verwendungszweck integriert wird, die Fähigkeiten des gelieferten KI-Modells beurteilen sowie seinen eigenen Pflichten als Anbieter des KI-Systems nachkommen.

In der Phase des Einsatzes der KI sind zuvörderst die Vorschriften der Datenschutz-Grundverordnung (DSGVO), aber auch Aspekte der Cybersicherheit zu beachten. Ebenfalls relevant während der Nutzung sind das Urheberrecht und der Schutz von Geschäftsgeheimnissen sowie arbeitsrechtliche Aspekte. Die Einführung einer internen Richtlinie zum Umgang mit generativen KI-Tools in einem Unternehmen wird empfohlen.

In einem eigenen Abschnitt zu ethischen Aspekten betont der Bitkom Leitfaden, dass es mehr als technische Expertise braucht, um KI verantwortungsvoll zu gestalten. Es erfordert einen ethischen Kompass, der Transparenz, Qualität und menschliche Werte ins Zentrum stellt. Nur so wird KI zum Instrument des Fortschritts, nicht der Spaltung. Diese Entwicklung braucht insbesondere ein neues digitales Mindset in den Organisationen, mit dem in der Verbindung von Anwendungsregeln für GenAI und individuellen Fähigkeiten im Umgang mit GenAI eine veränderte Kultur der Verantwortung entsteht.

Der EU AI Act in der Beratung von kleinen und mittelgroßen Unternehmen

Da der EU AI Act nicht zwischen kleinen und großen Unternehmen unterscheidet, sind kleine und mittelgroße Unternehmen (KMU), die KI-Systeme entwickeln, vertreiben oder einsetzen, gleichermaßen zur Einhaltung der Vorschriften verpflichtet.

Um KMU und Wirtschaftsprüfer, die diese beraten, zu unterstützen, hat die europäische Wirtschaftsprüferorganisation „Accountancy Europe“ eine Übersicht über die regulatorischen Anforderungen und deren Auswirkungen auf KMU herausgegeben.

Aufgeführt sind bestimmte Erleichterungen, die der EU AI Act gezielt für KMU vorsieht: regulatorische „Sandboxes“ für sicheres Testen neuer Systeme, vereinfachte Pflichten für Kleinstunternehmen, standardisierte Vorlagen und Leitfäden zur Unterstützung, ein zentrales Informationsportal und reduzierte Konformitätsprüfungsgebühren für KMU.

Wirtschaftsprüfern, die KMU unterstützen, gibt Accountancy Europe eine Checkliste an die Hand, um die Auswirkungen des AI Act auf das Unternehmen zu bewerten und sicherzustellen, dass es die erforderlichen Schritte unternimmt.

Diese Checkliste umfasst Fragen wie:

Entwickelt oder nutzt das KMU KI-Systeme?
Was ist der beabsichtigte Zweck des KI-Systems?
Fällt das KI-System unter eine der Hochrisikokategorien?
Welche Transparenzanforderungen gelten für das KI-System?
Welche Unterstützungsmöglichkeiten stehen dem KMU zur Verfügung?
Wie können die Kosten der Einhaltung der Verpflichtungen bewertet werden?
Wie kann die Einhaltung in die Geschäftsstrategie des KMU integriert werden?

Berufspflichten von Wirtschaftsprüfern bei Einsatz generativer KI

Beim Einsatz von generativer KI müssen Wirtschaftsprüfer – abgesehen von den allgemeinen Vorschriften – eine Reihe von Berufspflichten beachten, um sicherzustellen, dass ihre Arbeit den gesetzlichen und beruflichen Standards entspricht. Der Leitfaden der Wirtschaftsprüferkammer bietet eine detaillierte Übersicht über diese Pflichten.

Zu beachten ist, dass auch beim Einsatz von generativer KI die bestehenden Berufspflichten uneingeschränkt gelten – beispielsweise Gewissenhaftigkeit, Eigenverantwortlichkeit, Verschwiegenheitspflicht, fachliche Fortbildung, Dokumentationspflicht. Betreffend die Pflicht zur Qualitätssicherung bedeutet dies beispielsweise beim KI-Einsatz, dass die Praxisleitung klare Vorgaben zum KI-Einsatz formulieren und diese in das Qualitätssicherungssystem integrieren muss.

Wie die Wirtschaftsprüferkammer betont, gelten die Berufsanforderungen technologieunabhängig. Wirtschaftsprüfer bleiben in vollem Umfang verantwortlich für die Arbeitsergebnisse – auch dann, wenn KI eingesetzt wird. Der Einsatz von KI soll die Tätigkeit der Wirtschaftsprüfer effizienter gestalten und qualitativ unterstützen – nicht ersetzen. Der menschliche Faktor – insbesondere kritisches Denken, Professional Judgement und Kommunikationsfähigkeit – bleibt trotz KI-Einsatz unverzichtbar.

Konkrete Anwendungsbeispiele von KI in der Wirtschaftsprüfung unter Beachtung dieser Prämissen sind beispielweise:

Datenanalyse, Strukturierung komplexer Daten
Belegprüfung, Anomalie-Erkennung
Anhangprüfung
Risikobewertung und Trendanalysen
Textgenerierung und -zusammenfassung
Wissensmanagement und Recherche