Am 21. Mai 2024 hat das Europäische Parlament die EU-Verordnung über Künstliche Intelligenz (AI Act, Verordnung (EU) 2024/1689) verabschiedet. Diese neue Regelung schafft erstmals einen einheitlichen Rechtsrahmen für den Einsatz von KI-Systemen in der EU. Vollständig anwendbar wird sie ab dem 2. August 2026, einige Vorschriften – insbesondere zu Verboten und Transparenzpflichten – greifen bereits 2025 (Art. 112 AI Act). Unternehmen, die KI-Tools wie Microsoft Copilot nutzen, sollten sich frühzeitig mit den neuen Anforderungen vertraut machen, um Datenschutz, DSGVO-Compliance und KI-Compliance sicherzustellen.
Der AI Act unterscheidet zwischen Anbietern und Nutzern von KI-Systemen. Wer Microsoft Copilot lediglich als Anwender nutzt, gilt nicht als Hersteller oder Inverkehrbringer und unterliegt daher nicht den strengen Herstellerpflichten gemäß Art. 16 ff. AI Act. Dennoch gibt es verbindliche Vorgaben, die Unternehmen als Nutzer beachten müssen, insbesondere aus Art. 29 AI Act.
Zu den wichtigsten Pflichten für Anwender gehören die zweckgebundene Nutzung im Rahmen der vorgesehenen Funktionen, die Einhaltung geltender Gesetze wie DSGVO, Arbeitsrecht und Urheberrecht, sowie die Sicherstellung einer angemessenen menschlichen Aufsicht. Entscheidungen müssen stets von Menschen verantwortet werden. Zudem besteht eine Transparenzpflicht: Bei KI mit menschenähnlicher Interaktion müssen Dritte darüber informiert werden, dass sie mit einer KI kommunizieren (Art. 52 AI Act). Mitarbeitende, die Microsoft Copilot nutzen, sind zu schulen, und bei sensiblen Einsatzbereichen wie Personalprozessen ist eine nachvollziehbare Protokollierung empfehlenswert.
Auch wenn der AI Act die DSGVO nicht direkt verändert, ergeben sich für Unternehmen wichtige Schnittstellen. Die Nutzung von Microsoft Copilot muss auf einer datenschutzrechtlich tragfähigen Rechtsgrundlage beruhen, in der Regel auf Art. 6 Abs. 1 lit. f DSGVO, bei sensiblen Daten zusätzlich auf Art. 9 DSGVO. Datenschutzhinweise sollten um KI-spezifische Inhalte ergänzt werden, um den Informationspflichten aus Art. 13 und 14 DSGVO nachzukommen. Betroffenenrechte und Transparenz gemäß Art. 5 Abs. 1 lit. a DSGVO müssen gewahrt bleiben. Unternehmen sollten zudem ihre Auftragsverarbeitungsverträge mit Microsoft prüfen und sicherstellen, dass die Nutzung von KI-Funktionen explizit geregelt ist, etwa durch das „Generative AI Addendum“.
Aus Sicht der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO ist es empfehlenswert, interne Datenschutzrichtlinien um einen Abschnitt „Einsatz von Künstlicher Intelligenz“ zu erweitern. Darin sollten der Einsatz von Microsoft Copilot, Zweck und Umfang der Nutzung, getroffene Schutzmaßnahmen und der Umgang mit KI-generierten Inhalten klar beschrieben werden. Falls besonders sensible Daten mit Hilfe von MS Copilot verarbeitet werden, sollte eine Risikobewertung im Rahmen einer Datenschutz-Folgenabschätzung (DSFA) durchgeführt werden. Schulungen und Sensibilisierungen der Mitarbeitenden zur sicheren und DSGVO-konformen Nutzung von KI gehören ebenfalls zu den Best Practices.
Unternehmen, die Microsoft Copilot nutzen, profitieren von einem klaren Handlungsrahmen: Auch ohne Herstellerpflichten bestehen Pflichten zur transparenten, sicheren und rechtmäßigen Nutzung. Wer interne Richtlinien anpasst, Vertragswerke prüft und Mitarbeitende schult, erfüllt nicht nur die gesetzlichen Anforderungen aus AI Act und DSGVO, sondern stärkt auch das Vertrauen von Kunden, Mitarbeitenden und Geschäftspartnern in den verantwortungsvollen Umgang mit Künstlicher Intelligenz.