Die EU-Verordnung zur Künstlichen Intelligenz: Nutzen Sie als Unternehmen die sich bietenden Handlungsspielräume!

Die Umsetzung der EU-Verordnung zur Künstlichen Intelligenz, auch bekannt als AI-Act, muss nun dieses Jahr umgesetzt werden. Auch wenn der AI-Act mit zahlreichen Unschärfen behaftet ist und viele unbestimmte Rechtsbegriffe enthält, bietet der AI-Act vereinzelt auch Klarheit und eröffnet Unternehmen praktikable Handlungsspielräume, die es zu nutzen gilt.

Arnold Lukas, Partner bei gunnercooke und Experte im Bereich AI & IT, gibt einen Überblick über die bevorstehende AI-Verordnung, um sicherzustellen, dass Sie in der sich ständig wandelnden digitalen Landschaft stets rechtlich auf dem neuesten Stand sind.

Was wird von der Verordnung nicht erfasst?

• Erstaunlich: KI für Militär- oder Polizeizwecke fällt nicht unter die KI-Verordnung.
• Für alle anderen Projekte: Reine Forschung und Entwicklung von KI vor der Inbetriebnahme ist erlaubt.

Hochrisiko-KI ist grundsätzlich verboten, aber in den folgenden Ausnahmen erlaubt:

• Die KI bereitet eine menschliche Entscheidung lediglich vor, während die letzte Entscheidung einem Menschen vorbehalten bleibt („Human in the Loop“).
• Die KI erhebt lediglich Entscheidungsmuster, das heißt ihr Schwerpunkt liegt auf der rein statistischen Analyse von Daten.
• Die KI ist für den betroffenen Arbeitsablauf „nicht wirklich wichtig“.

Für General Purpose AI (GPAI), wie zum Beispiel ChatGPT, gelten vor allem Transparenzpflichten:

• Der KI-Output muss als „KI-generiert“ in maschinenlesbarer Form gekennzeichnet werden. Diese Transparenzpflicht ist besonders wichtig bei DeepFakes, wobei zu bezweifeln ist, ob sich „auswärtige“ und „unfreundliche“ Akteure daran halten werden.
• Es gibt sinnvolle Ausnahmen von der Kennzeichnungspflicht:
  • Die KI war nur unterstützend tätig
  • Texte wurden von Menschen endredigiert.
• GPAI sollen das Urheberrecht beachten, insbesondere den Vorbehalt des Text- und Data Mining (TDM). Das ist ohnehin bereits in § 44b UrhG so geregelt, und man nimmt an, dass der AI-Act das Sammeln von KI-Trainingsdaten durch TDM jetzt endgültig erlaubt.
• Für GPAI „mit systemischen Risiken“ gelten besondere Regeln. Systemrelevant soll eine GPAI ab einem Rechenaufwand von 10^25 FLOPS sein.

Wie verhält sich der AI-Act zu anderen Gesetzen?

• Die DSGVO „bleibt unberührt.“ Das heißt, es gibt möglicherweise widersprüchliche Regelungen, beispielsweise Löschungspflichten nach DSGVO vs. Dokumentationspflichten nach der KI-Verordnung.
• Es gibt zahlreiche Spezialgesetze, wie zum Beispiel zum autonomen Fahren, die der KI-Verordnung vorgehen. Das kennt man auch sonst aus dem Produktrecht oder Datenschutzrecht.
• Wer KI benutzt und damit die Rechte Dritter verletzt, haftet wie bisher nach allgemeinen Grundsätzen.
• Die Ausrede „Das war nicht ich, das hat die KI gemacht“ gilt nicht.

Aufsichtsbehörden:

• Eine Reihe neuer Behörden soll die Einhaltung überwachen, sprich den Unternehmen dabei „helfen.“
• Bisher ist unklar, woher die ausreichend qualifizierten Fachleute dafür kommen sollen.
• Selbst wenn die Verwaltung wettbewerbsfähige Gehälter zahlen könnte (was sie nicht kann), wären fachkundige Kandidaten nur schwer zu finden. Im Ergebnis droht ein Vollzugsdefizit in der Verwaltung.

Welche Pflichten kommen also auf Unternehmen zu?

• Umfangreiche Dokumentationspflichten
• Einführung eines Risikomanagementsystems
• Verankerung menschlicher Aufsicht über die KI in den Abläufen

Könnte Ihr Unternehmen von der neuen KI-Verordnung betroffen sein? Arnold und das Team von gunnercooke unterstützen Sie bei komplexen Digitalisierungsthemen.