IT-Recht

Künstliche Intelligenz

Künstliche Intelligenz- Technologien werden unsere Arbeit in Zukunft revolutionieren und die Produktivität in Unternehmen steigern. Mit der Entwicklung und dem Einsatz dieser Technologien sind jedoch zahlreiche rechtliche Compliance-Risiken verbunden, denen sich Unternehmen frühzeitig stellen sollten.

Neben der Problematik des Geheimnisschutzes von unternehmensinternen Daten wird u.a. auch das Datenschutzrecht, das Urheberrecht und nicht zuletzt die europäische KI-Verordnung tangiert.

Neben „Anbietern“ (Providern) im Sinne der KI-Verordnung, die sich mit über 50 Pflichten aus der KI-Verordnung konfrontiert sehen, müssen auch „Betreiber“ von KI-Systemen umfangreiche Pflichten erfüllen. Verstöße können mit empfindlichen Geldbußen belegt werden. Herausfordernd ist auch die Verwendung von KI-Technologien im Zusammenhang mit personenbezogenen Daten, bspw. bei der Verwendung von KI-Tools in der Personalabteilung. KI-Systeme müssen darüber hinaus auch im Einklang mit den weiteren einschlägigen Gesetzen, bspw. dem Urheberrecht und dem Gesetz zum Schutz von Geschäftsgeheimnissen verwendet werden.

Was muss generell beim Einsatz von KI berücksichtigt werden?

Nutzen Unternehmen KI-basierte Technologien, muss geltendes Datenschutzrecht beachtet werden, wenn der Anwendungsbereich eröffnet ist. Dies ist der Fall, wenn im Zusammenhang mit der KI-Anwendung personenbezogene Daten von natürlichen Personen (Mitarbeitern, Bewerbern, Kunden, etc.) verarbeitet werden. Sämtliche Grundsätze der Datenschutzgrundverordnung sind einzuhalten. Häufig stehen KI-Anwendung im Widerspruch zu dem Grundsatz der Datenminimierung und Speicherbegrenzung. Auch Themen wie Transparenz und Richtigkeit der Daten müssen bedacht werden. Unternehmen müssen folglich vor Einsatz der KI-Anwendung risikobasiert die datenschutzrechtlichen Anforderungen prüfen und notwendige Maßnahmen ergreifen, um Rechtskonformität zu erreichen. Darüber hinaus kann die Verwendung von KI zu Urheberrechts-, Marken-, oder Wettbewerbsverletzungen führen und das Allgemeine Gleichbehandlungsgesetz sowie das Gesetz zum Schutz von Geschäftsgeheimnissen tangieren. Jede Verwendung von KI setzt insoweit zumindest die Sensibilisierung im Unternehmen voraus, um mögliche Haftungsrisiken zu minimieren.

Was regelt die KI-Verordnung?

Die europäische KI-Verordnung reguliert die Entwicklung und Verwendung von KI-Technologien in der Europäischen Union, da mit dem Einsatz von KI nicht nur Vorteile, sondern auch Risiken für natürliche Personen verbunden sind. Ziel dieser Regulierung ist es, klare Regelung für den Umgang mit KI-gesteuerten Systemen zu schaffen, um potenziell schädliche Auswirkungen auf die Rechte, insbesondere die Grundrechte natürlicher Personen, zu verhindern. KI soll vertrauenswürdig sein und unter Beachtung ethischen Kriterien eingesetzt werden. Die KI-VO verfolgt daher einen risikobasierten Ansatz. Je risikoreicher eine KI ist, desto umfangreicher sind die Pflichten von Anbietern und Betreibern. Es wird insoweit unterschieden zwischen gänzlich verbotenen KI-Praktiken, Hochrisiko-KI-Systemen, KI-Systemen mit geringem und systemischem Risiko und sog. generativen KI-Systemen mit allgemeinem Verwendungszweck.

Welche Fristen sieht die KI-Verordnung vor?

Die KI-Verordnung tritt 20 Tage nach der Veröffentlichung im Amtsblatt der Europäischen Union in Kraft. Je nach Risikoklasse der KI-Anwendung sieht die KI-VO Umsetzungsfristen von 6 bis 36 Monaten vor. Es gelten folgende Fristen:

  • 6 Monate => Kapitel I und II (Verbot von KI mit unannehmbaren Risiken) gelten.
  • 12 Monate => Kapitel III Abschnitt 4 (Meldebehörden), Kapitel V (KI-Modelle mit allgemeinem Zweck), Kapitel VII (Governance), Kapitel XII (Vertraulichkeit und Sanktionen) und Art. 78 (Vertraulichkeit) gelten mit
  • Ausnahme von Artikel 101 (Geldbuße für Anbieter von KI-Modellen mit allgemeinem Verwendungszweck).
  • 24 Monate => Die übrigen Regelungen der KI-Verordnung finden Anwendung (auch für KI-Systeme mit hohem Risiko gemäß Anhang III)
  • 36 Monate => Artikel 6 Abs. 1 (Einstufungsvorschrift für Hochrisiko-KI-System / Anhang I) gilt.
Anhand welcher Kriterien ergeben sich die Pflichten aus der KI-Verordnung?

Relevante Kriterien sind neben dem Sektor, in dem das Unternehmen tätig ist, insbesondere die Rolle des jeweiligen Akteurs und die Klassifizierung der KI. Es wird unterschieden zwischen Anbieter, Betreiber, Einführer, Händler, bevollmächtigter Vertreter und betroffener Person in der EU. KI wird hingegen unterteilt in verbotene KI, Hochrisiko-KI-Systeme, General Purpose AI Modelle (GPAI) und GPAI mit systemischen Risiken. Sektorenspezifisch gibt es sowohl Ausnahmen vom Anwendungsbereich der KI-VO (bspw. Militär, Forschung) als auch besondere Regelungen.

Welche Geldbußen sieht die KI-VO vor?

Die KI-Verordnung (Artikel 99) sieht je nach Rolle des Akteurs und Art der Rechtsverletzung Geldbußen in Höhe von bis zu 35 Mio. oder 7 % des weltweiten Jahresumsatzes vor, je nachdem welcher Betrag höher ist. Daneben besteht bei der Verletzung von Rechtspflichten aus der KI-VO das Risiko von Schadenersatzklagen Betroffener und ggfs. Wettbewerbern. Unternehmen tun also gut daran, sich rechtzeitig und ausgiebig mit den ihnen obliegenden Pflichten auseinander zu setzen.

Unser Angebot im Bereich KI-Compliance

  • Beratung bei der Einführung KI-basierter Geschäftsmodelle, Projekte, Tools
  • Identifizierung der rechtlichen Anforderungen
  • Gestaltung von notwendigen Dokumenten (KI-Richtlinien, etc.)
  • Beratung im Hinblick auf KI-Verträge (Lizenzverträge, EULA, etc.)
  • KI-Schulungen
  • Datenschutz und Datensicherheit
  • Urheberrecht und geistiges Eigentum
  • Geschäftsgeheimnisschutz