Die Integration von KI in die Unternehmensstrategie bietet große Chancen, birgt aber
auch Herausforderungen an Compliance und Regulatorik. Die rechtssichere Integration von
KI in die Unternehmensstrategie ist kein Luxus, sondern eine juristische Notwendigkeit, denn
in vielen Fällen drohen bei Nichtbeachtung drakonische Strafen.
Bei den Verantwortlichen für KI-Systeme erzeugen die Fragen zu Compliance und
Regulatorik daher eher ungute Gefühle. Wer ist sich schon sicher, an alles gedacht zu haben?
Sind die richtigen Maßnahmen getroffen worden, um die nötigen Rahmenbedingungen zum
sicheren Betrieb von KI-Systemen zu schaffen und den Regelungen zu genügen?
Dieser Beitrag ist Teil I der gemeinsamen Blog-Serie der internationalen Großkanzlei CMS
und viadee. Wir beleuchten darin die besonderen Herausforderungen, die der Einsatz von KI
mit sich bringt, und zeigen in späteren Folgen anhand konkreter Anwendungsbeispiele auf,
wie – ausgewählte – rechtliche Anforderungen in die Praxis umgesetzt werden können.
Beginnen wollen wir mit der aktuell wohl bekanntesten Gesetzgebung zu KI-Systemen:
1. Regulierung und KI-Gesetzgebung
Herzstück der Regulierung von KI ist die am 1. August 2024 in Kraft getretene „Verordnung zur Festlegung harmonisierter Vorschriften für Künstliche Intelligenz“ (KI-VO oder auch AI-Act). Die KI-VO basiert auf einem risikobasierten Ansatz. Danach steigen die rechtlichen Anforderungen entsprechend der mit dem jeweiligen KI-System im Zusammenhang stehenden Risiken. Zu beachten ist insofern insbesondere:
- Verbotene Praktiken: Bestimmte Verwendungszwecke werden als unvereinbar mit
den Grundrechten der Europäischen Union angesehen. Beispielhaft genannt werden
kann die Verarbeitung (bestimmter) biometrischer Daten und die Nutzung von KI
zwecks Verhaltensmanipulationen. - Hochrisiko-KI: Besonders risikobehaftete Anwendungen unterliegen strengeren
Anforderungen. Unternehmen, die Hochrisiko-KI anbieten oder auch nur einsetzen,
müssen demnach beispielsweise sicherstellen, dass angemessene Risikomanagement
implementiert ist, dass für die Entwicklung von Modellen hochqualitative Trainings-
und Validierungsdaten eingesetzt werden und dass angemessene Dokumentationen
vorliegen. Zu beachten ist insofern, dass die Hürden als Hochrisiko-KI klassifiziert zu
werden zuweilen recht niedrig liegen. - Chatbots u.a.: Mit Menschen interagierende KI-Systeme unterliegen auch dann
besonderen Transparenzverpflichtungen, wenn sie nicht als Hochrisiko-KI gelten. - Rechtsfolgen: Bei Verstößen drohen u.a. erhebliche Bußgelder: Bei Einsatz
verbotener Praktiken bis zu 35 Millionen Euro bzw. bis zu 7% des vorjährigen
weltweiten Gesamtumsatzes und in anderen Fällen bis zu 7,5 Millionen Euro bzw. bis
zu 1% des vorjährigen weltweiten Gesamtumsatzes.
2. Antidiskriminierung, Fairness und sonstige allgemeine Anforderungen
Es existieren auch eine Reihe genereller Compliance-Anforderungen an den Umgang mit KI.
Diese haben nicht nur Eingang in die KI-VO gefunden, sondern ergeben sich auch aus einer
Reihe weiterer Rechtsquellen (zuweilen auch verfassungsrechtlicher Natur).
- Vermeidung von Bias: KI-Modelle können unbeabsichtigt diskriminierende
Ergebnisse produzieren, wenn sie mit verzerrten oder unzureichend repräsentativen
Datensätzen trainiert werden. Ein besonderes Risiko resultiert daraus, dass die KI-
Modelle oft auf historischen Daten basieren, die nicht frei von Vorurteilen sind bzw.
bestehende Verhältnisse manifestieren. Es gibt eine Reihe von Vorschriften, die
entsprechend diskriminierende Methoden untersagen. - Fairness und Transparenz: Mit der Vermeidung von Bias im direkten
Zusammenhang steht die Anforderung, dass KI-gestützte Systeme fair, transparent und
gerecht arbeiten müssen. Dies ist insbesondere in technischer Hinsicht eine große
Aufgabe. In diesem Szenario können Ansätze zur XAI, d.h. „Explainable AI“ hilfreich
sein. - Verantwortungsbewusste KI: KI-Systeme sollten generell so entwickelt und
eingesetzt werden, dass sie allgemeinen Rechtsgrundsätzen entsprechen. Nutzende
sollten mit hinreichenden Kompetenzen für einen verantwortungsvollen Umgang
ausgestattet sein. Es sollten zudem Mechanismen vorgesehen werden, um den Betrieb
von KI-Systemen kontinuierlich zu überwachen und negative Auswirkungen zu
verhindern oder zu korrigieren.
In den nächsten Teilen der Serie widmen wir uns weiteren Rechtsvorschriften und werden
konkrete Fallbeispiele analysieren. Speziell in Teil 2 der Blog-Serie befassen wir uns unter
anderem mit dem nicht minder wichtigen Thema Datenschutz.
Ansprechpartner
Thorsten Hemme ist Experte für IT-Recht und Digital Business. Zu den Schwerpunkten seiner Tätigkeit gehört die Gestaltung von IT-Verträgen aller Art, u.a. Softwareentwicklungs-, Integrations-/Implementierungs-, Cloud-/SaaS- sowie (sonstige) IT-Outsourcing-Verträge. Als IT-Rechtsexperte war Thorsten Hemme an zahlreichen komplexen und großvolumigen IT-Projekten beteiligt und verfügt daher über umfassende Erfahrung über die besonderen Herausforderungen solcher Projekte .
Dirk Langheim ist beratender Manager bei der viadee IT-Unternehmensberatung und unterstützt Kunden bei organisatorischen und strategischen Themen mit den Schwerpunkten Product Ownership und agile Skalierung. Er berät Kunden bei der Einführung von Innovationmanagementsystemen und ist seit über 25 Jahren in verschiedenen Rollen in der IT unterwegs.
Wenn Sie an weiteren Formaten zu diesem Thema interessiert sind, melden sich gerne bei unserem Webinar dem gleichnamigen Titel „KI-Anwendungen rechtssicher einsetzen“ an, in dem weiter auf dieses Thema eingegangen wird.
Hat man die rechtliche Seite sicher im Griff, bieten KI-Systeme insbesondere große Chancen.
Anregungen dazu finden sie in unserem Blogpost und das gleiche Thema adressieren wir im Webinar "Künstliche Intelligenz im Unternehmen: Praxisnahe Use Cases für messbaren Business Value".
Sie benötigen eine individuelle Einschätzung der Rechtslage zum Einsatz Ihrer gekauften oder
selbst entwickelten KI-Systeme? Sie wollen sicherstellen, dass Ihre Ausgangsdaten und Ihr
KI-System möglichst Bias-frei ist? Sie fragen sich, wie Sie organisatorisch und technisch ein
angemessenes Risikomanagement umsetzen können?
Wenn Sie solche oder ähnliche individuelle Fragen zu Rechtsthemen und/oder der Umsetzung
von Compliance Maßnahmen für KI-Anwendungen haben, melden Sie sich gerne bei unserem
Partner CMS, oder bei uns, der viadee. Die Autoren dieses Blog-Posts (Thorsten Hemme von
CMS und Dirk Langheim von der viadee) freuen sich über Ihre Kontaktaufnahme.
Dieser Blog stellt keine Rechtsberatung dar und ersetzt eine solche auch nicht. Wenden Sie
sich bei konkreten Rechtsfragen an einen Rechtsberater.
zurück zur Blogübersicht