03161 KI-VO & Co.: Compliance für künstliche Intelligenz sicher umsetzen
|
Künstliche Intelligenz (KI) ist aus dem modernen Unternehmensalltag nicht mehr wegzudenken. Ob bei der Erstellung von Texten, dem Entwerfen von Bildern oder dem Schreiben von Code: KI-Anwendungen sind vielseitig im Einsatz. Doch mit der Nutzung gehen komplexe rechtliche Herausforderungen einher. Neben der neuen EU-KI-Verordnung (AI Act) müssen auch Regelungen der DSGVO, des Urheberrechts und anderer Rechtsgebiete berücksichtigt werden, die alle eng mit der Informationssicherheit verknüpft sind. Dieser Beitrag zeigt, wie KI rechtlich eingeordnet werden kann und welche Vorschriften bei ihrer Entwicklung und ihrem Einsatz gelten. Ziel ist es, Unternehmen dabei zu unterstützen, gesetzliche Vorgaben zu erkennen, betroffene Systeme zu identifizieren und die Compliance sicherzustellen. Checklisten und konkrete Hinweise helfen dabei, eine fundierte KI-Richtlinie zu erstellen und Mitarbeiter für das Thema zu sensibilisieren. Arbeitshilfen: von: |
1 Was ist künstliche Intelligenz?
Dass die Entwicklung und der Einsatz künstlicher Intelligenz (KI) reguliert werden müssen, daran scheint kein Zweifel zu bestehen. Die EU hat mit der Verabschiedung der Verordnung zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz (KI-VO) in der ersten Hälfte des Jahres 2024 erstmals umfassende Regeln zum Umgang mit dieser neuen Technologie festgelegt. Im englischsprachigen Raum wird die KI-VO als AI Act bezeichnet. In deutschsprachigen Publikationen ist diese Abkürzung ebenfalls sehr verbreitet. Auch andere bereits geltende Gesetze berühren diesen Themenbereich, etwa die rechtlichen Rahmenbedingungen zum Umgang mit personenbezogenen Daten, das Urheber- oder das Produkthaftungsrecht.
Vielzahl der Informationsquellen
Die Zahl der Veröffentlichungen zum Thema KI von Behörden, Normungsgremien, Verbänden und Fachleuten ist schier unüberschaubar. Allein das Sichten sämtlicher Anforderungen und Auslegungen wird für die meisten Unternehmen, die KI bei sich einsetzen wollen, einen Kraftakt darstellen. In einem weiteren Schritt muss dann auch noch sichergestellt werden, dass die rechtlichen Vorgaben im Betrieb praktisch umgesetzt werden.
Die Zahl der Veröffentlichungen zum Thema KI von Behörden, Normungsgremien, Verbänden und Fachleuten ist schier unüberschaubar. Allein das Sichten sämtlicher Anforderungen und Auslegungen wird für die meisten Unternehmen, die KI bei sich einsetzen wollen, einen Kraftakt darstellen. In einem weiteren Schritt muss dann auch noch sichergestellt werden, dass die rechtlichen Vorgaben im Betrieb praktisch umgesetzt werden.
Was ist KI?
Damit dies möglich ist, muss zuallererst geklärt werden, was eigentlich Gegenstand dieser „KI-Regelungen” ist. Was also ist „KI” im rechtlichen Sinne, beziehungsweise was ist der Gegenstand der „KI-Compliance” im Unternehmen?
Damit dies möglich ist, muss zuallererst geklärt werden, was eigentlich Gegenstand dieser „KI-Regelungen” ist. Was also ist „KI” im rechtlichen Sinne, beziehungsweise was ist der Gegenstand der „KI-Compliance” im Unternehmen?
Definition nach KI-VO
Um es vorwegzunehmen: Eine wirklich gute und allgemeingültige Antwort auf die Frage, was „KI” aus rechtlicher Sicht ist, gibt es nicht. Einen Anhaltspunkt kann die gesetzliche Definition des Begriffs „KI-System” in Art. 3 Nr. 1 KI-VO geben. Demnach ist ein KI-System„ein maschinengestütztes System, das für einen in unterschiedlichem Grad autonomen Betrieb ausgelegt ist und das nach seiner Betriebsaufnahme anpassungsfähig sein kann und das aus den erhaltenen Eingaben für explizite oder implizite Ziele ableitet, wie Ausgaben wie etwa Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen erstellt werden, die physische oder virtuelle Umgebungen beeinflussen können”.
Um es vorwegzunehmen: Eine wirklich gute und allgemeingültige Antwort auf die Frage, was „KI” aus rechtlicher Sicht ist, gibt es nicht. Einen Anhaltspunkt kann die gesetzliche Definition des Begriffs „KI-System” in Art. 3 Nr. 1 KI-VO geben. Demnach ist ein KI-System„ein maschinengestütztes System, das für einen in unterschiedlichem Grad autonomen Betrieb ausgelegt ist und das nach seiner Betriebsaufnahme anpassungsfähig sein kann und das aus den erhaltenen Eingaben für explizite oder implizite Ziele ableitet, wie Ausgaben wie etwa Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen erstellt werden, die physische oder virtuelle Umgebungen beeinflussen können”.
Diese sperrige Definition ist für den Praktiker nur bedingt hilfreich, da sie zu viele auslegungsbedürftige Rechtsbegriffe enthält. Fürs Erste wird man daraus jedoch ableiten können, dass KI, in Abgrenzung gegenüber gewöhnlicher Software, eine gewisse Autonomie aufweisen muss und eigenständig aus Eingaben Ausgaben genieren kann, die über das hinausgehen, was eine „Wenn-dann-Logik” in etablierter Software gemeinhin zu leisten vermag. Ein wichtiger Anhaltspunkt für die Beurteilung, ob KI vorliegt, muss dementsprechend auch sein, ob diese vor ihrer Anwendung mit Datensätzen trainiert werden muss.
Unternehmensrichtlinie soll ALLE Regeln einbeziehen
Es sei jedoch darauf hingewiesen, dass ein zu starker Fokus auf die Regeln der KI-VO, insbesondere auch bei der Erstellung einer KI-Richtlinie, nicht unbedingt zielführend sein dürfte. Denn diese Unternehmensrichtlinie soll ja gerade die Compliance-Anforderungen nicht nur aus diesem Gesetz, sondern aus möglichst allen relevanten Rechtsakten und regulatorischen Vorgaben widerspiegeln. Und ein KI-System im Sinne der KI-VO ist nicht zwingend deckungsgleich mit dem Begriff der KI, der im Datenschutz- oder Produkthaftungsrecht zur Anwendung kommt. So war bei der Schaffung der KI-VO der Begriff des KI-Systems einer der Punkte, um die am meisten gerungen wurde. Die Kommission schlug zunächst eine sehr technologiespezifische Formulierung vor, die den Begriff ausgehend von Gruppen von Techniken und Konzepten definierte (Konzepte des maschinellen Lernens, logik- und wissensgestützte Konzepte, statistische Ansätze). Am Ende orientierte man sich allerdings deutlich am technologieoffenen Verständnis der Definition der OECD, um möglichst auch künftige Entwicklungen in diesem Bereich nicht auszuschließen (vgl. ErwG 12 zur KI-VO). Weitere mehr oder weniger anerkannte Definitionen von „KI” wurden von Verbänden und internationalen Organisationen aufgestellt. So versteht man darunter z. B. „die Eigenschaft eines IT-Systems, ‚menschenähnliche’, intelligente Verhaltensweisen zu zeigen.” [1]. Andere bestimmen künstliche Intelligenz als „(...) ein Teilgebiet der Informatik, welches sich mit der Erforschung von Mechanismen des intelligenten menschlichen Verhaltens befasst (...)” [2] oder als „die Fähigkeit einer Maschine, menschliche Fähigkeiten wie logisches Denken, Lernen, Planen und Kreativität zu imitieren” [3].
Es sei jedoch darauf hingewiesen, dass ein zu starker Fokus auf die Regeln der KI-VO, insbesondere auch bei der Erstellung einer KI-Richtlinie, nicht unbedingt zielführend sein dürfte. Denn diese Unternehmensrichtlinie soll ja gerade die Compliance-Anforderungen nicht nur aus diesem Gesetz, sondern aus möglichst allen relevanten Rechtsakten und regulatorischen Vorgaben widerspiegeln. Und ein KI-System im Sinne der KI-VO ist nicht zwingend deckungsgleich mit dem Begriff der KI, der im Datenschutz- oder Produkthaftungsrecht zur Anwendung kommt. So war bei der Schaffung der KI-VO der Begriff des KI-Systems einer der Punkte, um die am meisten gerungen wurde. Die Kommission schlug zunächst eine sehr technologiespezifische Formulierung vor, die den Begriff ausgehend von Gruppen von Techniken und Konzepten definierte (Konzepte des maschinellen Lernens, logik- und wissensgestützte Konzepte, statistische Ansätze). Am Ende orientierte man sich allerdings deutlich am technologieoffenen Verständnis der Definition der OECD, um möglichst auch künftige Entwicklungen in diesem Bereich nicht auszuschließen (vgl. ErwG 12 zur KI-VO). Weitere mehr oder weniger anerkannte Definitionen von „KI” wurden von Verbänden und internationalen Organisationen aufgestellt. So versteht man darunter z. B. „die Eigenschaft eines IT-Systems, ‚menschenähnliche’, intelligente Verhaltensweisen zu zeigen.” [1]. Andere bestimmen künstliche Intelligenz als „(...) ein Teilgebiet der Informatik, welches sich mit der Erforschung von Mechanismen des intelligenten menschlichen Verhaltens befasst (...)” [2] oder als „die Fähigkeit einer Maschine, menschliche Fähigkeiten wie logisches Denken, Lernen, Planen und Kreativität zu imitieren” [3].
Um dem damit verbundenen Dilemma zu entgehen, sollte der Begriff der künstlichen Intelligenz in einer zu erstellenden Unternehmensrichtlinie weit ausgelegt werden. Anderenfalls besteht das Risiko, dass relevante, insbesondere zukunftsorientierte Systeme, Modelle oder Anwendungsfälle übersehen werden oder ungeregelt bleiben. Denn der Bereich „KI” und die „KI-Entwicklung” schreiten rapide voran und betreffen immer mehr Lebenssachverhalte, weshalb eine möglichst offene Definition zielführend sein dürfte.
Generative KI
In jedem Fall sollten in den Bereich „künstliche Intelligenz” sämtliche Erscheinungsformen sogenannter generativer KI, also die großen Sprachmodelle (sog. Large Language Models = LLM), einschließlich der Modelle zur Erstellung von Bildern, Videos, Audio oder sonstiger Strukturen und Prozesse einbezogen werden. Der Begriff „Generative KI” bezieht sich auf KI-Systeme, die in der Lage sind, neue Inhalte zu erzeugen, anstatt nur bestehende Daten zu analysieren oder zu interpretieren. Diese Systeme können Texte, Bilder, Musik, Videos und andere kreative Inhalte erstellen. Ein bekanntes Beispiel für generative KI ist GPT-4, das Modell, auf dem ChatGPT basiert. Es kann menschenähnliche Texte schreiben, Fragen beantworten und sogar Geschichten erzählen.
In jedem Fall sollten in den Bereich „künstliche Intelligenz” sämtliche Erscheinungsformen sogenannter generativer KI, also die großen Sprachmodelle (sog. Large Language Models = LLM), einschließlich der Modelle zur Erstellung von Bildern, Videos, Audio oder sonstiger Strukturen und Prozesse einbezogen werden. Der Begriff „Generative KI” bezieht sich auf KI-Systeme, die in der Lage sind, neue Inhalte zu erzeugen, anstatt nur bestehende Daten zu analysieren oder zu interpretieren. Diese Systeme können Texte, Bilder, Musik, Videos und andere kreative Inhalte erstellen. Ein bekanntes Beispiel für generative KI ist GPT-4, das Modell, auf dem ChatGPT basiert. Es kann menschenähnliche Texte schreiben, Fragen beantworten und sogar Geschichten erzählen.
Dies gilt weiterhin für alle auf der Basis dieser Modelle erstellten Systeme (z. B. Chatbots), unabhängig davon, ob diese mit eigenen Daten trainiert oder von den Anbietern vortrainiert wurden. Im Zweifel sollte auch alles, was anbieterseitig als „KI” vermarktet wird, von Unternehmen als „KI-Anwendungen” behandelt werden.
Vorschlag einer Definition
Die Definition von künstlicher Intelligenz für die Zwecke einer KI-Richtlinie könnte also zum Beispiel lauten:„Künstliche Intelligenz im Sinne dieser Richtlinie ist jedes System, das fähig ist, aufgrund von Eingaben oder der Aufnahme von Eindrücken eigenständig Ausgaben zu generieren, die über eine einfache ‚Wenn-dann-Logik’ hinausgehen, und das fähig ist, sich im Lauf seiner Nutzung anzupassen und weiterzuentwickeln. Von dem Vorliegen künstlicher Intelligenz wird weiterhin ausgegangen, sofern eine entsprechende hersteller- oder anbieterseitige Kennzeichnung als ‚KI-Anwendung’ vorliegt.”
Die Definition von künstlicher Intelligenz für die Zwecke einer KI-Richtlinie könnte also zum Beispiel lauten:„Künstliche Intelligenz im Sinne dieser Richtlinie ist jedes System, das fähig ist, aufgrund von Eingaben oder der Aufnahme von Eindrücken eigenständig Ausgaben zu generieren, die über eine einfache ‚Wenn-dann-Logik’ hinausgehen, und das fähig ist, sich im Lauf seiner Nutzung anzupassen und weiterzuentwickeln. Von dem Vorliegen künstlicher Intelligenz wird weiterhin ausgegangen, sofern eine entsprechende hersteller- oder anbieterseitige Kennzeichnung als ‚KI-Anwendung’ vorliegt.”
Alle Technologien erfasst
Diese sehr weite Definition gewährleistet, dass im ersten Schritt mit großer Sicherheit alle neuen Technologien erfasst werden, die als künstliche Intelligenz potenziell den Regelungsbereich relevanter Gesetze wie KI-VO, DSGVO u. a. berühren könnten. Sollte sich im Rahmen der anschließenden Analyse herausstellen, dass es sich entgegen der ersten Annahme nicht um KI handelt oder dass keine relevanten Risiken bestehen, war die erste Aufnahme als solche dennoch unschädlich.
Diese sehr weite Definition gewährleistet, dass im ersten Schritt mit großer Sicherheit alle neuen Technologien erfasst werden, die als künstliche Intelligenz potenziell den Regelungsbereich relevanter Gesetze wie KI-VO, DSGVO u. a. berühren könnten. Sollte sich im Rahmen der anschließenden Analyse herausstellen, dass es sich entgegen der ersten Annahme nicht um KI handelt oder dass keine relevanten Risiken bestehen, war die erste Aufnahme als solche dennoch unschädlich.
2 Stakeholderanalyse
Ist ein Sachverhalt gegeben, in dem KI im zuvor definierten Sinne zum Einsatz kommt, muss festgestellt werden, welche Rolle das jeweilige Unternehmen diesbezüglich einnimmt, insbesondere auch deshalb, um die gesetzlichen Anforderungen, die sich daraus ergeben, zu identifizieren und umsetzen zu können. Ebenso müssen die Bereiche und Verantwortlichen im Unternehmen bestimmt werden, die für den Einsatz im entsprechenden Rahmen zuständig und verantwortlich sind.