Unionspräsidentin Ursula von der Leyen hofft wieder auf den sogenannten Brüssel-Effekt: Die Europäische Union (EU) hat den ersten Rechtsrahmen für Künstliche Intelligenz (KI) weltweit vorgelegt. Sie will damit globale Vordenkerin und Taktgeberin in Sachen KI-Regulierung werden. Ähnliches gelang mit der Datenschutz-Grundverordnung (DSGVO), deren hohe Anforderungen faktisch weit über Europa hinaus übernommen werden mussten.
Risikobasierter Ansatz
Die neue KI-Verordnung (KI-VO) will wieder internationale Standards schaffen. Sie soll stufenweise ab 2024 in Kraft treten und verfolgt einen risikobasierten Ansatz. KI-Systeme, die die Sicherheit, die Lebensgrundlagen und die Grundrechte der Menschen bedrohen, werden verboten. Für alle anderen KI-Systeme gilt: Je riskanter, umso höher die Anforderungen an Sicherheit, Transparenz, Dokumentation und Information der Nutzer. Man unterscheidet verschiedene Risikostufen (hohes, systemisches, mittleres und geringes Risiko), die den Anbietern unterschiedliche Pflichten auferlegen. In der Hochrisiko-Klasse gibt es eine weitere Eskalationsstufe für autonome Systeme, die zum Beispiel in Bereichen kritischer Infrastruktur eingesetzt werden und daher besonders sicher sein müssen. Die meisten Anwendungsfälle werden für die Kategorie „mittleres Risiko“ erwartet.
Bis zuletzt umstritten war die Kategorie der systemischen Risiken, insbesondere wie man die dort verortete generative KI regulieren soll, Beispiel ChatGTP. Diese Modelle müssen nach EU-Sicht besonders transparent funktionieren. Künftig sind deshalb KI-generierte Inhalte zu kennzeichnen, die Entwickler müssen die Trainingsdaten des Systems offenlegen und Modelle entwickeln, die das Erzeugen illegaler Inhalte verhindern.
KI in Einkauf und Logistik
Gerade ChatGTP ist im Einkauf vielfach einsetzbar. „Man kann damit zum Beispiel Verhandlungsstrategien für anstehende Preisgespräche mit Lieferanten ausarbeiten“, sagt Frank Sundermann von der Unternehmensberatung „DurchDenkenVorne Consult“. Der Berater mit Fokus KI nennt als weitere Anwendungsbeispiele Lieferantensuchplattformen, die mit KI-Unterstützung in Millionen von Profilen Alternativlieferanten identifizieren. Auch bei der Spendanalyse, der automatisierten Ausschreibung oder der Compliance-Überwachung kommt KI zum Einsatz – Tendenz steigend.
Bild: DurchDenkenVorne
In der Logistik ist man ebenfalls schon recht weit mit der Schlüsseltechnologie: Laderaumoptimierung, Auslastungsprognosen, Predictive Maintenance, mehrsprachiges Pick-by-Voice, kollaborative Roboter – überall wirkt KI mit. Berater Sundermann findet es gut und wichtig, dass der Umgang mit Künstlicher Intelligenz jetzt geregelt wird, „denn nur durch mehr Transparenz und Rechtssicherheit schaffen wir mehr Vertrauen und damit die Voraussetzung, um das Thema in allen Unternehmen anzupacken.“
Bild: Taylor Wessing
Die neue Verordnung wendet sich vor allem an Entwickler und Anbieter, weniger an die Nutzer. Und trotzdem: „Bevor KI angeschafft wird, bedarf es einer Entscheidung der Unternehmensführung, ob und welche Risiken das Unternehmen bei der Nutzung einzugehen bereit ist“, sagt Mareike Christine Gehrmann, Fachanwältin für IT-Recht im Düsseldorfer Büro der Kanzlei Taylor Wessing. Sie weist darauf hin, dass einige Aspekte derzeit rechtlich noch unklar seien. „Es muss eine eigene Risikomatrix für jeden Bereich geben und davon abgeleitet klare Vorgaben für den Einkauf, auf welche Aspekte bei der Beschaffung von KI zu achten ist“, rät die Digitalisierungsexpertin.
Was nicht geregelt ist
Die KI-Verordnung beantwortet in der Tat nicht alle juristischen Fragen, die sich stellen. Mindestens so interessant wie das, was dort geregelt ist, ist das, was dort nicht geregelt ist. Der Datenschutz zum Beispiel.
Zwar stärkt der EU-Gesetzgeber jetzt den Datenverkehr insgesamt durch mehrere Digitalgesetze, unter anderem durch den neuen Data Act, der für einen freien Datenzugang und eine faire Datennutzung sorgen soll. Das gibt etwa dem Käufer und Nutzer einer Automationskomponente, wie sie in einer smarten Produktion verbaut ist, mehr Rechte im Hinblick auf die Nutzung der anfallenden Daten. Aber es entlastet ihn nicht davon, mit diesem Schatz besonders sorgsam umzugehen, sobald es nicht nur um rein industrielle Daten geht, sondern ein Bezug zu Personen herstellbar ist. Denn dann gilt auch für KI-generierte Daten die Datenschutz-Grundverordnung (DS-GVO) mit ihren hohen Anforderungen an Datenminimierung, Transparenz und Zweckbindung.
Daten mit Personenbezug
Und aus vermeintlich „reinen“ Industriedaten können schnell personenbezogene Daten werden. „Daten, die eine KI verarbeitet, um die zustandsgerechte Wartung einer Maschine anzuzeigen, werden zumeist keinen Personenbezug aufweisen“, stellt Rechtsanwalt Dr. Benedikt Kohn klar, ebenfalls von Taylor Wessing Düsseldorf. „Wenn durch die Verarbeitung verschiedener durch die Maschine generierter Daten allerdings Rückschlüsse auf einzelne Personen wie Maschinenführer oder Wartungspersonal gezogen werden können, handelt es sich bereits um personenbezogene Daten.“ Wer als Nutzer eine KI damit füttern lässt, kann mit Bußgeldern nach der DS-GVO belegt werden. Weil er gegen den Mitarbeiterdatenschutz verstößt zum Beispiel, oder weil die KI kurzerhand selbsttätig das Trainingsmaterial für andere Zwecke verwendet als ursprünglich bei Datenerhebung vorgesehen.
Bild: Taylor Wessing
Was schon seit Geltung der DSGVO wichtig ist, bekommt mit selbstlernenden Systemen eine neue Dringlichkeit: „dass es sich tatsächlich um anonyme Datensätze handelt und nicht um Klardaten oder pseudonyme Daten, anhand derer eine Person identifizierbar gemacht werden kann“, sagt Anwältin Gehrmann. Entweder muss vertraglich zugesichert sein, dass eine KI nur rein industrielle Daten nutzt. Oder man geht den sicheren Weg über die Anonymisierung, und zwar am besten schon vor der Übertragung der Daten in die KI-Umgebung. Nur dann kann man guten Gewissens den Regelungen in den Standardverträgen zustimmen, nach denen der Anbieter auch nach Vertragsbeendigung die Daten des Kunden zu Trainingszwecken nutzen darf.
Geschäftsgeheimnisschutz und Geistiges Eigentum
Sorgfalt bei der Auswahl des Trainingsmaterials der KI ist auch in anderer Hinsicht angezeigt. „Zum ‚Füttern‘ der KI dürfen keine schützenswerten Datensätze unberechtigt verarbeitet werden, die beispielsweise Geschäftsgeheimnisse oder urheberrechtsgeschütztes Material enthalten“, mahnt Juristin Gehrmann und rät eindringlich, was eigentlich klar sein sollte: „Die Mitarbeitenden sind entsprechend zu schulen, bevor sie die KI nutzen.“
Denn das Gesetz zum Schutz von Geschäftsgeheimnissen, das bereits seit 2019 in Kraft ist, verbietet unter anderem das unbefugte Kopieren von elektronischen Dateien, die ein Geschäftsgeheimnis enthalten oder darstellen. Und auch das Trainieren von KI mit geistigem Eigentum Dritter ist heikel. Sind in Daten Texte, Bilder, Designs oder anderes geistiges Eigentum von Dritten enthalten, sind vor der Verwendung als Lerndatei Urheberrechte abzuklären.
Weitere Schnittstellen zu anderen Gesetzen werden sich auftun, das steht fest. Die KI-Verordnung ist so facettenreich wie einzigartig.
Die Autorin: Anja Falkenstein,
Rechtsanwältin, Karlsruhe
.png)
