AI Act Compliance – AI Literacy & Art. 5 EU AI Act

As of 2 February 2025, Articles 4 and 5 of the EU AI Act will apply. AI Act Compliance, especially AI Literacy, becomes a must!

Are you prepared?

For companies as providers or deployers of AI systems within the meaning of the EU AI Act, AI Act Compliance particularly means that they must have the required AI Literacy to avoid violating the prohibition in Art. 5 of the EU AI Act. Although the relevant penalty provision in Art. 99 (3) of the EU AI Act does not take effect until 2 August 2025, Art. 5 of the EU AI Act is a protective provision. Any violation could lead to claims under national law.

What does AI Literacy mean?

Art. 4 of the EU AI Act does not require specific measures such as training, nor is it accompanied by a penalty provision. Due to its need for individual interpretation, enforcement by authorities is excluded. Instead, Art. 4 of the EU AI Act is an organisational obligation, expecting providers and deployers to manage competence and skills as part of compliance management. In cases of a violation of Art. 5 or other provisions of the regulation at a later date, a lack of knowledge cannot be claimed, as AI Literacy is presumed.

How to ensure compliance?

Implementation is easier said than done. The EU AI Act does not provide detailed guidance. While skill databases have been around for approximately 25 years, they have been predominantly utilised by only very large companies and with only limited success. Rapidly acquiring, building, and filling a skill database for AI-related skills could quickly lead to violations of rights protected (not only) by the EU AI Act. Additionally, whether a one-time, standardised external training meets the EU AI Act’s requirements is highly questionable, especially given the rapid development of AI technologies.

For example, how do you address the recent report by Apollo Research, which claims that AI systems based on current large language models can strategically and covertly pursue goals that conflict with those of their developers or users? Their findings suggest that several AI systems can disable oversight mechanisms, attempt self-exfiltration, or manipulate outputs to avoid detection. ChatGPT o1 reportedly even lies during these attempts.

Compliance management including competence management must ensure that AI systems are understood in terms of their opportunities and risks, to ensure they are handled appropriately. This includes being aware of, reading, and evaluating such publications.

What is competence & skill management?

Therefore, Art. 4 of the EU AI Act requires compliance management in the form of (compliant) competence and skill management:

Competence management refers to a systematic approach aligned with overarching corporate goals to handle the organisation’s competence, particularly manifesting in its core competencies (according to Kunzmann, 2011). It is a central task of strategic corporate management.

“Competence” can be understood as the inherently inalienable potential performance capability of an individual, enabling them to effect a qualitatively perceivable change in work performance through self-reflective work actions (according to Beck, 2004).

Skill management involves systematically managing employee competencies in talent recruitment, development, and deployment, primarily falling under the HR department’s responsibility (according to Kunzmann, 2011).

“Skills” refer to the potential abilities and capabilities enabling individual employees to perform tasks appropriately (according to Beck, 2004).

Since partners must also possess AI Literacy as per Art. 4 of the EU AI Act, and cannot be managed like employees, compliance management in a narrower sense is required, often ensured through contractual agreements.

How to start?

How compliance management related to AI Literacy can be structured according to the EU AI Act is outlined in an action plan based on Art. 4 of the EU AI Act. This facilitates a legally compliant, swift initial competence and skill development concerning Art. 5 of the EU AI Act and, over time, the rest of the EU AI Act.

How can Claudia help?

Feel free to contact Claudia if you need:

1. An action plan for your own specifications;

2. An action plan tailored to your needs;

3. Legal advice for compliant implementation;

4. Training regarding the prohibitions of Art. 5 of the EU AI Act;

5. Training on AI Risk Assessment under Art. 5 of the EU AI Act;

6. A Legal Risk Assessment under Art. 5 of the EU AI Act (based on your information or combined with);

7. A thorough AI Risk Assessment under art. 5 of the AI Act;

8. Tools to self-assess the risks under the EU AI Act.

Law firm and corporate experience, combined with a scientific background in artificial intelligence and security and disaster management, is invaluable for the effective yet economical implementation of new regulations aimed at the safety and security of critical technologies like AI. Claudia possesses these qualities and looks forward to working with you on your EU AI Act compliance.

Get in touch!

Ab dem 2. Februar 2025 gelten die Art. 4 und 5 der KI-VO. AI Act Compliance, insbesondere KI-Kompetenz, wird ein Muss!

Sind Sie vorbereitet?

AI Act Compliance bedeutet für Unternehmen als Anbieter bzw. Betreiber von KI-Systemen im Sinne der KI-VO insbesondere, dass sie über die erforderliche KI-Kompetenz verfügen müssen, um nicht gegen das Verbot des Art. 5 KI-VO zu verstoßen. Zwar gilt die einschlägige Bußgeldvorschrift des Art. 99 Abs. 3 KI-VO erst ab dem 2. August 2025, dennoch ist Art. 5 KI-VO ein Schutzgesetz, dessen Verletzung zu Verletztenansprüchen nach nationalem Recht führen kann.

Was bedeutet KI-Kompetenz?

Art. 4 KI-VO verlangt weder konkrete Maßnahmen wie Schulungen, noch steht ihm eine Bußgeldvorschrift gegenüber. Eine behördliche Durchsetzung ist aufgrund seines Bedarfs an individueller Ausgestaltung ausgeschlossen. Art. 4 KI-VO ist vielmehr eine Organisationsvorschrift und erwartet von Anbietern und Betreibern Kompetenz- und Skill-Management als Teil des Compliance-Managements. Kommt es zu einem Verstoß gegen Art. 5 KI-VO oder später auch andere Vorschriften derselben Verordnung, kann nicht auf mangelnde Kenntnis verwiesen werden. Denn KI-Kompetenz wird vorausgesetzt.

Wie stellt man Compliance sicher?

Die Umsetzung ist dabei leichter gesagt als getan. Die KI-VO schweigt dazu. Grundsätzlich gibt es Skill-Datenbanken bereits seit rund 25 Jahren. Von großen Erfolgen kann man wohl nicht sprechen, zumal nur sehr große Unternehmen diese überhaupt bewerten können. Eine Skill-Datenbank ggf. kurzfristig einzukaufen, aufzubauen und KI-Skills ein- bzw. nachzutragen kann hier schnell zur Verletzung der Rechte führen, deren Schutz (nicht nur) die KI-VO dient. Höchst fraglich ist zudem, inwiefern eine einmalige, standardisierte externe Schulung den Anforderungen der KI-VO genügt. Dies v.a. im Hinblick auf eine sich rasend schnell entwickelnde Technologiefamilie.

Wie z.B. gehen Sie mit dem kürzlich veröffentlichten Bericht der Apollo Research um, die festgestellt haben will, dass KI-Systeme, die auf aktuellen großen Sprachmodellen basieren, strategisch und verdeckt Ziele verfolgen können, die im Konflikt mit den Zielen ihrer Entwickler oder Nutzenden stehen. Deren Ergebnisse sollen zeigen, dass mehrere KI-Systeme dazu fähig sind, indem sie Überwachungsmechanismen deaktivieren, sich selbständig machen oder Ausgaben manipulieren. ChatGPT o1 neige sogar dazu, bei diesen Versuchen zu lügen. 

Compliance-Management in Form des Kompetenz-Managements muss sicherstellen, dass die KI-Systeme mit ihren Chancen und Risiken verstanden werden, damit mit ihnen sachgerecht umgegangen werden kann. Das schließt ein, derartige Veröffentlichungen zu kennen, zu lesen und einzuordnen.

Was meint Kompetenz- bzw. Skill-Management?

Art. 4 KI-VO verlangt also ein Compliance-Management in Form von (rechtskonformem) Kompetenz- und Skill-Management:

Kompetenz-Management ist dabei der systematische, an den übergeordneten Unternehmenszielen orientierte Umgang mit der Kompetenz des Unternehmens, was sich insbesondere in seinen Kernkompetenzen ma­nifestiert (nach Kunzmann, 2011). Kompetenz-Management ist eine zentrale Aufgabe der strategischen Unternehmensführung.

 „Kompetenz“ kann als subjektzentrierte, unveräußerliche Leistungspotenziale des Menschen verstanden werden, die als eigenverantwortlich reflektiertes Arbeitshandeln der Person eine persönlich und betrieblich wahrnehmbare qualitative Veränderung der Arbeitsleistung bewirken (nach Beck, 2004).

Skill-Management ist der systematische Umgang mit Mitarbeiterkompetenzen bei der Personalauswahl, bei der Personalentwicklung und beim Personaleinsatz und damit Aufgabe des Personalbereichs (nach Kunzmann, 2011).

„Skills“ sind die potenziellen Fähigkeiten und Fertigkeiten, welche einzelnen Mitarbeitenden sachgerechtes Handeln ermöglichen (nach Beck, 2004).

Da auch beauftragte Dritte über KI-Kompetenz im Sinne des Art. 4 KI-VO verfügen müssen, die jedoch nicht wie Mitarbeitende gemanagt werden kann, geht es hier um Compliance-Management im engeren Sinne, regelmäßig sichergestellt durch vertragliche Regelungen.

Wo fängt man an?

Wie das KI-Kompetenz-bezogene Compliance-Management nach der KI-VO grundsätzlich aussehen kann, ergibt sich aus einem sog. Maßnahmenkonzept nach Art. 4 KI-VO. Dieses ermöglicht einen rechtskonformen, zügigen Kompetenz- und Skillaufbau zunächst in Bezug auf Art. 5 KI-VO und, im Verlauf der Zeit, in Bezug auf die übrige KI-VO. 

Wie kann RA’in Claudia Otto helfen?

Sprechen Sie Rechtsanwältin Claudia Otto gerne an, wenn Sie Bedarf haben an:

1. einem Maßnahmenkonzept zur eigenen Konkretisierung;

2. einem auf Sie zugeschnittenen Maßnahmenkonzept;

3. einer anwaltlichen Beratung zur rechtskonformen Umsetzung;

4. Schulungen in Bezug auf die Verbote des Art. 5 KI-VO;

5. Schulungen in Bezug auf das AI Risk Assessment im Rahmen der Verbote;

6. einem Legal Risk Assessment nach Art. 5 KI-VO (ohne, d.h. auf der Grundlage Ihrer Informationen, oder mit)

7. einem gründlichen AI Risk Assessment nach Art. 5 KI-VO; oder

8. Tools zum eigenen Durchführen von AI Risk Assessments.

Kanzlei- und Unternehmenserfahrung sowie ein wissenschaftlicher Hintergrund im Bereich der Künstlichen Intelligenz sowie im Sicherheits- und Katastrophenmanagement sind wertvoll, wenn es um die wirksame, aber auch wirtschaftliche Umsetzung von neuen Rechtsvorschriften geht, welche auf die Sicherheit von und vor kritischen Technologien wie den KI-Technologien abzielt. Diese bringt Claudia mit und freut sich, mit Ihnen an Ihrer KI-VO-Compliance zu arbeiten.

Nehmen Sie Kontakt auf!