#28 Die KI-Verordnung: was Sie jetzt wissen müssen.

Christine Munker: Hallo und herzlich willkommen zu So geht's sicher, dem Podcast für Datenschutz und IT-Sicherheit in der Steuerberatung. Mein Name ist Christine Munker. Ich bin Geschäftsführerin und Beraterin bei der Munker Privacy Consulting GmbH und ich möchte mit Ihnen heute mit einem ganz aktuellen Thema in das Podcastjahr 2025 starten. Ich rede mit Ihnen über das Thema KI. Wieder mal, denken Sie? Klar, und das wird uns auch die nächsten Jahre noch beschäftigen. Aber wir haben einen sehr konkreten Anlass direkt vor unserer Nase, nämlich den 2. Februar 2025. Die KI-Verordnung ist ja bereits am 1. August des letzten Jahres in Kraft getreten. Allerdings erfolgt eben dieses Inkrafttreten stufenweise. Und ein Schritt steht nun am 2. Februar direkt an. Und zwar geht es hier die Kapitel 1 und 2. einige allgemeine Bestimmungen und vor allem aber auch verbotene Praktiken im KI-Bereich. Diese Kapitel treten am 2. Februar in Kraft und ich möchte mit Ihnen darüber sprechen, was das für Sie in der Kanzlei bedeutet, worauf Sie achten müssen und wo Sie vielleicht noch an der einen oder anderen Stelle nachsteuern müssen. Zum einen sprechen wir als erstes über das Thema verbotene Praktiken im Artikel 5 der KI-Verordnung. Können Sie die ganz, ganz detailliert nachlesen. Den Link dazu packe ich Ihnen auch in die Show Notes dieser Podcast-Episode. Worum geht es dabei? In diesem Artikel wird festgelegt, für welche Zwecke ein KI-System nicht genutzt werden darf, also weder in Verkehr gebracht, noch in Betrieb genommen, noch verwendet werden darf. Da geht es zum Beispiel so Themen, wenn die KI bewusst manipuliert. beeinflusst, negative Entscheidungen treffen soll.

Christine Munker: Da geht es zum Beispiel Themen wie bewusstes Manipulieren, täuschen, unterschwelliges Beeinflussen, das Beeinflussen menschlicher Entscheidungen auf negative Art und Weise durch den Einsatz von KI. Oder das gezielte Schwächen bestimmter Personengruppen, wenn es die Schutzbedürftigkeit bestimmter Personengruppen geht. Soziale Bewertungen, Profiling. beispielsweise das Risiko der Strafwilligkeit zu berechnen. Diese und weitere Zwecke der KI sind per se verboten. Jetzt ist es natürlich so, dass nicht jedes System, das zum Einsatz kommt im Bereich der KI, von vornherein einen definierten Zweck hat. Nehmen wir zum Beispiel mal ChatGPT. Da kommt es ja immer darauf an, welche Daten Sie reingeben oder welche Fragen Sie stellen und das definiert den Zweck ihrer Nutzung der KI. Das heißt also, Sie sollten sich diese verbotenen Praktiken tatsächlich einmal anschauen, einfach im Hinterkopf zu haben, was Sie auch mit Systemen wie JetGPT oder wie die alle heißen, die großen generischen KI-Systeme nicht tun dürfen, welche Fragen Sie nicht stellen sollten. Und das sollten Sie auch Ihren Mitarbeitern bei der Nutzung von KI mit auf den Weg geben. Denn, und das ist wirklich das Entscheidende, bei normaler, in Anführungszeichen, normaler Software entscheidet ja immer die Funktionalität der Software darüber, zu welchem Zweck sie eingesetzt werden kann. Bei Systemen wie ChatGPT entscheidet der Nutzer darüber, zu welchem Zweck er diese Software einsetzt, dieses Tool einsetzt, indem er eben entsprechende Fragen stellt oder nicht stellt. Und auch damit, wie er mit den Ergebnissen dieser Fragen dann im Endeffekt umgeht. Das ist schon ganz wichtig, dass Sie das Ihren Mitarbeitern einmal erklären. Und damit sind wir im Endeffekt auch schon bei dem zweiten großen Thema, das dieser zweite Februar für Sie mit sich bringt, nämlich im Artikel 4 der KI-Verordnung das Thema Sicherstellung der KI-Kompetenz, sprich Schulung, Schulung, Schulung. Wir haben ja schon sehr lange darauf hingewiesen, dass gerade im Bereich der KI

Christine Munker: eben aus diesem Grund, den ich gerade beschrieben habe, weil der Mitarbeiter im Endeffekt über den Zweck der KI entscheidet, der Schulung eine riesengroße Rolle spielt. Und das sieht eben auch die KI-Verordnung entsprechend so und hat das im Artikel 4 geregelt. Hier geht es eben darum, dass alle Anbieter, also die Hersteller, Betreiber und Betreiber von KI-Systemen Maßnahmen ergreifen müssen, damit die Personen die mit dem Betrieb oder in ihrem Fall eben mit der Nutzung der KI-Systeme betraut sind, über die entsprechende Kompetenz verfügen. Dabei geht es ganz grundlegende technische Kenntnisse, also das Verstehen der Funktionsweise von KI-Systemen und deren Algorithmen. Das, was ich gerade erklärt habe zu JetGPT beispielsweise, ist ganz wesentlich eben hier in dem Bereich technische Kenntnisse mit einzuordnen. Dann geht es das Thema Erfahrung oder Kenntnisse im spezifischen Einsatzkontext, also die Schulung zum praktischen Anwendungsfall, vor allem eben im branchenspezifischen Szenarien wie im Einsatz in der Steuerkanzlei. Also hier sind wir eben wieder bei dem Thema der Nutzer entscheidet über den Zweck, das heißt, sie müssen genau darüber sprechen und definieren, welche Szenarien sind denn mit welcher KI überhaupt. Was wollen wir denn? Es gibt ja KI-Systeme, die zum Beispiel in Ihrer Kanzlei-Software integriert sind. Da ist völlig klar, für welchen Zweck die genutzt werden. Da ist auch nicht so wahnsinnig viel darüber zu reden. Aber eben wenn Sie diese großen generischen Systeme einsetzen, dann müssen Sie schon sehr genau darüber sprechen, was damit überhaupt gemacht werden darf und was nicht. Welche Daten da vielleicht reingegeben werden, wie mit den Daten umgegangen werden soll, die KI Ihnen. liefert, das muss man ja auch immer mal wieder überprüfen, ob das alles so richtig ist, was da rauskommt. Darüber müssen Sie auf jeden Fall mit Ihren Mitarbeitern sprechen und Sie müssen auf jeden Fall auch das Thema Risiken und Chancen der KI thematisieren und wissen über mögliche ethische und rechtliche Konsequenzen einfach auch in Ihre Schulung mit einbinden, dass eben die Umsetzung von KI in Ihrer Kanzlei wirklich sicher und vor allem auch effizient erfolgen kann.

Christine Munker: wirklich ihre Ziele damit umgesetzt und erfüllt werden und nicht außenrum irgendwas passiert, was sie sich gar nicht gewünscht haben, nur weil die KI diese Möglichkeiten bietet. Wir müssen hier tatsächlich sehr stark darüber nachdenken, welche der Möglichkeiten, die die KI ihrer Kanzlei bietet, das ist ein riesengroßes Spektrum, denn tatsächlich genutzt werden sollen und sinnvoll sind. Tatsächlich hat man sich bei der Erstellung der KI-Verordnung sehr viele Gedanken darüber gemacht, wie das mit dieser KI-Kompetenz genau aussehen soll. Im Artikel 3 beispielsweise wird das tatsächlich definiert, was man unter KI-Kompetenz versteht. Und da geht es eben auch das Thema technische, ethische und rechtliche Aspekte beim Einsatz von KI, die Frage, ob der Nutzer Risiken entsprechend gut bewerten kann, je nachdem, welche KI zum Einsatz kommt. und eben auch darum, wie mit potenziellen Fehlfunktionen oder Missbrauchsszenarien durch den Einsatz von KI, dass einem einfach mal wirklich was Falsches gemacht wird oder dass die Ergebnisse der KI nicht richtig sind, umgegangen wird in der Kanzlei. Das sollten Sie Ihren Mitarbeitern regelmäßig näherbringen, schulen und weiterbilden, regelmäßig auch eben Updates und Änderungen in den KI-Systemen, in diese Schulungen mit integrieren. und sollten vor allem auch entsprechende Richtlinien erstellen. Zum einen ist eine Richtlinie immer gut, wenn diese Inhalte da einfach mal schriftlich festgehalten werden, dann kann jeder das Ganze auch nachlesen, auch wenn die Schulung schon etwas länger her sein sollte oder man sich eben beim aktuellen Einsatz eines KI-Tools gerade nicht ganz sicher ist, was da die Vorgabe war. Und es ist auch für Sie ganz wichtig, denn Sie haben damit als Kanzlei-Leitung dokumentiert, dass sie entsprechende Vorgaben für den Einsatz machen und der Mitarbeiter stimmt denen zu. Das heißt, sie haben einen Nachweis. Wer schreibt, der bleibt. Das gilt auch im Datenschutz und der IT-Sicherheit. Wenn dann doch mal was schiefgehen sollte, haben sie im Endeffekt den Nachweis, dass sie hier entsprechend aktiv geworden sind und die Vorgaben eingehalten haben. Was wir Ihnen auf jeden Fall empfehlen bevor...

Christine Munker: bevor Sie ein KI-System in Ihrer Kanzlei zum Einsatz bringen, finden Sie ein System, diese KI zu bewerten und gegebenenfalls so anzupassen, dass gar nichts schief laufen kann, sprich, dass nichts gemacht werden kann in der aktuellen oder in täglichen Nutzung, was Sie gar nicht wollen, was nicht gewünscht ist. Das heißt also, sollten die Systeme, die schon da sind natürlich, erstmal auf die Konformität mit der KI-Verordnung kann man damit irgendetwas tun, was zum Beispiel zu den untersagten Zwecken gehört? Wie sieht es aus mit der Notwendigkeit der Schulung? Habe ich alle Aspekte, die wichtig sind für die KI-Systeme, die schon im Einsatz sind, auch in meine Schulung mit einbezogen? Dann ist natürlich die Frage, welche Schwachstellen bringt diese KI mit? Kann ich die irgendwie sicherer gestalten? Gibt es Verbesserungsmaßnahmen vielleicht auch im technischen Bereich, die ich hier umsetzen kann? Und das sollten Sie auch entsprechend dokumentieren, dass Sie sich diese KI angeschaut haben und eben versucht haben, die KI-Verordnung hier entsprechend umzusetzen und die bereits eingesetzte KI in dieser Richtung sicherer zu gestalten oder so sicher wie möglich zu gestalten. Für uns ist aber immer noch der beste Weg, eben zu bewerten, bevor Sie ein KI-System zum Einsatz bringen. Und da gibt es natürlich nun mehrere Ansatzpunkte, wonach Sie ein KI-System bewerten können und sollten. Zum einen die KI-Verordnung und die vorgegebenen Zwecke oder Einschränkungen der Einsatzzwecke. Dann gibt es natürlich das Thema IT-Sicherheit. Hier reden wir ganz konkret darüber eben zu überprüfen, bei welchem Anbieter läuft diese KI, wenn das eine Cloud-Lösung ist? Was ist da technisch dahinter? Wie sicher sind die Daten, die Sie eingeben? Welche Daten stecken denn da überhaupt drin? Informationssicherheitsthemen, paar Exzellents und wir sprechen natürlich auch über die datenschutzrechtliche Prüfung der KI-Systeme, was ja im Grunde Hand in Hand geht, auch mit der IT-Sicherheitsthematik und wo Sie eben auch den Anbieter der Systeme checken sollten zum Thema Auftragsverarbeitung und mit dem ein paar Vereinbarungen treffen, wie mit Daten, die eingegeben werden, umzugehen ist und so weiter. Wenn Sie Interesse daran haben,

Christine Munker: Wir haben natürlich eine kleine Checkliste vorbereitet, die gibt es für unsere Kunden und nun auch für Sie, in der wir einfach die wichtigsten Schritte zusammengefasst haben, die Sie prüfen sollten oder über die Sie nachdenken sollten, bevor Sie ein KI-System einsetzen oder bevor Sie generell KI in Ihrer Kanzlei einsetzen, falls Sie das nicht schon tun, was in den meisten Fällen wahrscheinlich so ist. Wenn Sie diese Checkliste haben möchten, dann schreiben Sie uns einfach gerne an info.munka.info, eine kurze E-Mail. Wir schicken Ihnen diese Checkliste sehr gerne zu. Wir schicken Ihnen auch gerne eine Musterrichtlinie. Ich habe ja gerade darüber gesprochen, Sie sollten Richtlinien erstellen, in denen Sie dokumentieren, welche Regeln Sie für die Nutzung der IT der KI IT-Seitig vorgeben. Und auch eine solche Richtlinie können Sie als Muster von uns bekommen. Da haben wir mal eines für den Einsatz von Chat GPT erstellt. Also wenn Sie diese Dokumente unsere Checkliste zum Einsatz von KI und die Musterichtlinie für JetGPT gerne einmal haben möchten, schreiben Sie uns an info-at-munka.info. Die Kontaktmöglichkeiten finden Sie wie immer auch in unseren Show Notes und dann schicken wir Ihnen das sehr gerne zu. So, das soll es für unsere erste Folge in 2025 auch schon gewesen sein. Wir werden bestimmt in diesem Jahr noch viel, viel öfter über das Thema KI sprechen, denn es ist einfach wirklich wichtig, auch die Neuerungen und Änderungen in diesem Bereich aktiv mitzugehen und hier up to date zu bleiben. KI ist wirklich eines der Themen, dass man nicht einmal einführen kann und dann an Akte legen, sondern da muss man wirklich laufend am Ball bleiben, sensibilisieren, schulen, die aktuellen Entwicklungen in der Kanzlei bewerten, umsetzen, was notwendig ist und eben auch schauen. für Ihre Effizienz im Endeffekt ja. Was für Möglichkeiten bietet denn die KI denn? Das ändert sich im Moment ja wirklich rasant und wie kann das meine Kanzlei noch besser unterstützen? Deswegen bleibt dieses Thema bei uns auch 2025 im Fokus. Für heute bedanke ich mich für Ihre Aufmerksamkeit. Wie gesagt, schreiben Sie gerne, wenn Sie die angesprochenen Unterlagen für Ihre Kanzlei nutzen möchten, dann schicken wir Ihnen das zu. Wenn

Christine Munker: So geht es sicher, Ihnen unsere Hinweise und Inhalte gefallen. Dann wäre es natürlich super, wenn Sie den Podcast abonnieren. Das würde uns sehr freuen. Ansonsten wünschen wir Ihnen viel Erfolg beim Einsatz der KI in Ihrer Kanzlei und hoffen, dass Sie uns auch in der nächsten Folge wieder zuhören. Herzlichen Dank und bis bald.