Die Integration von KI in die Unternehmensstrategie bietet große Chancen, birgt aber auch Herausforderungen an Compliance und Regulatorik. Die rechtssichere Integration von KI in die Unternehmensstrategie ist kein Luxus, sondern eine juristische Notwendigkeit, denn in vielen Fällen drohen bei Nichtbeachtung drakonische Strafen.
Bei den Verantwortlichen für KI-Systeme erzeugen die Fragen zu Compliance und Regulatorik daher eher ungute Gefühle. Wer ist sich schon sicher, an alles gedacht zu haben?
Sind die richtigen Maßnahmen getroffen worden, um die nötigen Rahmenbedingungen zum sicheren Betrieb von KI-Systemen zu schaffen und den Regelungen zu genügen?
Dieser Beitrag ist Teil I der gemeinsamen Blog-Serie der internationalen Großkanzlei CMS und viadee. Wir beleuchten darin die besonderen Herausforderungen, die der Einsatz von KI mit sich bringt, und zeigen in späteren Folgen anhand konkreter Anwendungsbeispiele auf, wie – ausgewählte – rechtliche Anforderungen in die Praxis umgesetzt werden können.
Beginnen wollen wir mit der aktuell wohl bekanntesten Gesetzgebung zu KI-Systemen:
1. Regulierung und KI-Gesetzgebung
Herzstück der Regulierung von KI ist die am 1. August 2024 in Kraft getretene „Verordnung zur Festlegung harmonisierter Vorschriften für Künstliche Intelligenz“ (KI-VO oder auch AI-Act). Die KI-VO basiert auf einem risikobasierten Ansatz. Danach steigen die rechtlichen Anforderungen entsprechend der mit dem jeweiligen KI-System im Zusammenhang stehenden Risiken. Zu beachten ist insofern insbesondere:
Verbotene Praktiken: Bestimmte Verwendungszwecke werden als unvereinbar mit den Grundrechten der Europäischen Union angesehen. Beispielhaft genannt werden kann die Verarbeitung (bestimmter) biometrischer Daten und die Nutzung von KI zwecks Verhaltensmanipulationen.
Hochrisiko-KI: Besonders risikobehaftete Anwendungen unterliegen strengeren Anforderungen. Unternehmen, die Hochrisiko-KI anbieten oder auch nur einsetzen, müssen demnach beispielsweise sicherstellen, dass angemessene Risikomanagement implementiert ist, dass für die Entwicklung von Modellen hochqualitative Trainings- und Validierungsdaten eingesetzt werden und dass angemessene Dokumentationen vorliegen. Zu beachten ist insofern, dass die Hürden als Hochrisiko-KI klassifiziert zu werden zuweilen recht niedrig liegen.
Chatbots u.a.: Mit Menschen interagierende KI-Systeme unterliegen auch dann besonderen Transparenzverpflichtungen, wenn sie nicht als Hochrisiko-KI gelten.
Rechtsfolgen: Bei Verstößen drohen u. a. erhebliche Bußgelder: Bei Einsatz verbotener Praktiken bis zu 35 Millionen Euro bzw. bis zu 7 % des vorjährigen
weltweiten Gesamtumsatzes und in anderen Fällen bis zu 7,5 Millionen Euro bzw. bis zu 1 % des vorjährigen weltweiten Gesamtumsatzes.
2. Antidiskriminierung, Fairness und sonstige allgemeine Anforderungen
Es existieren auch eine Reihe genereller Compliance-Anforderungen an den Umgang mit KI. Diese haben nicht nur Eingang in die KI-VO gefunden, sondern ergeben sich auch aus einer Reihe weiterer Rechtsquellen (zuweilen auch verfassungsrechtlicher Natur).
Vermeidung von Bias: KI-Modelle können unbeabsichtigt diskriminierende Ergebnisse produzieren, wenn sie mit verzerrten oder unzureichend repräsentativen Datensätzen trainiert werden. Ein besonderes Risiko resultiert daraus, dass die KI-Modelle oft auf historischen Daten basieren, die nicht frei von Vorurteilen sind bzw. bestehende Verhältnisse manifestieren. Es gibt eine Reihe von Vorschriften, die entsprechend diskriminierende Methoden untersagen.
Fairness und Transparenz: Mit der Vermeidung von Bias im direkten Zusammenhang steht die Anforderung, dass KI-gestützte Systeme fair, transparent und
gerecht arbeiten müssen. Dies ist insbesondere in technischer Hinsicht eine große Aufgabe. In diesem Szenario können Ansätze zur XAI, d. h. „Explainable AI“ hilfreich sein.Verantwortungsbewusste KI: KI-Systeme sollten generell so entwickelt und eingesetzt werden, dass sie allgemeinen Rechtsgrundsätzen entsprechen. Nutzende
sollten mit hinreichenden Kompetenzen für einen verantwortungsvollen Umgang ausgestattet sein. Es sollten zudem Mechanismen vorgesehen werden, um den Betrieb
von KI-Systemen kontinuierlich zu überwachen und negative Auswirkungen zu verhindern oder zu korrigieren.
In den nächsten Teilen der Serie widmen wir uns weiteren Rechtsvorschriften und werden konkrete Fallbeispiele analysieren. Speziell in Teil 2 der Blog-Serie befassen wir uns unter anderem mit dem nicht minder wichtigen Thema Datenschutz.
KI-Anwendungen rechtssicher einsetzen - Teil 2
Jetzt informierenHat man die rechtliche Seite sicher im Griff, bieten KI-Systeme insbesondere große Chancen. Anregungen dazu finden sie in unserem Blogpost.
Sie benötigen eine individuelle Einschätzung der Rechtslage zum Einsatz Ihrer gekauften oder selbst entwickelten KI-Systeme? Sie wollen sicherstellen, dass Ihre Ausgangsdaten und Ihr KI-System möglichst Bias-frei ist? Sie fragen sich, wie Sie organisatorisch und technisch ein angemessenes Risikomanagement umsetzen können?
Wenn Sie solche oder ähnliche individuelle Fragen zu Rechtsthemen und/oder der Umsetzung von Compliance Maßnahmen für KI-Anwendungen haben, melden Sie sich gerne bei unserem Partner CMS, oder bei uns, der viadee. Die Autoren dieses Blog-Posts (Thorsten Hemme von CMS und Dirk Langheim von der viadee) freuen sich über Ihre Kontaktaufnahme.
Dieser Blog stellt keine Rechtsberatung dar und ersetzt eine solche auch nicht. Wenden Sie sich bei konkreten Rechtsfragen an einen Rechtsberater.
