Praxiswissen auf den Punkt gebracht.
Kundenservice: 0931 4170-472 | Hilfe
logo
  • Meine Produkte
    Bitte melden Sie sich an, um Ihre Produkte zu sehen.
Menu Menu
MyIww MyIww

    • · Fachbeitrag · Digitalisierung und KI

    Der AI Act in 5 Minuten erklärt

    von Jens Ferner, RA, FA für Strafrecht, FA für IT-Recht, Alsdorf, www.ferner-alsdorf.de

    | Der Artificial Intelligence Act (AI Act oder auch „KI-Verordnung“, „KI-VO“) der EU ist eines der weltweit ersten umfassenden Gesetze zur Regulierung von Künstlicher Intelligenz (KI). Ziel ist es, Innovation zu fördern und gleichzeitig sicherzustellen, dass KI-Systeme sicher, vertrauenswürdig und im Einklang mit den Grundrechten der EU-Bürger eingesetzt werden. |

    1. Rollen im AI Act

    Der AI Act definiert klare Verantwortlichkeiten für verschiedene Akteure im KI-Ökosystem:

     

    • Anbieter (Provider): Entwickeln oder vermarkten KI-Systeme. Sie tragen die Hauptverantwortung für die Einhaltung der Vorgaben des AI Act, insbesondere für die Risikoeinstufung und Konformitätsbewertung ihrer Systeme.
    • Deployer (Nutzer): Organisationen oder Personen, die KI-Systeme in ihren Prozessen einsetzen. Sie sind verantwortlich für den sicheren Betrieb und die Nutzung im Einklang mit den gesetzlichen Anforderungen.
    • Einführer (Importer): Bringen KI-Systeme aus Nicht-EU-Ländern in die EU. Sie haben ähnliche Pflichten wie Anbieter und müssen sicherstellen, dass importierte KI-Systeme den EU-Regelungen entsprechen.
    • Händler (Distributor): Verkaufen KI-Systeme innerhalb der EU und stellen sicher, dass diese konform sind und den Anforderungen des AI Act entsprechen.

    2. Risikoeinteilung

    Zentrales Element des AI Act ist die Einteilung von KI-Systemen in vier Risikoklassen. Diese bestimmen, welche Vorschriften für ein KI-System gelten:

     

    • Unzulässiges Risiko: KI-Systeme, die als unzulässig gelten, sind komplett verboten. Dazu zählen beispielsweise Systeme, die Menschen auf manipulative Weise beeinflussen oder Social Scoring durch Behörden.
    • Hohes Risiko: Diese Systeme werden in Bereichen eingesetzt, die besonders sensible Auswirkungen auf das Leben von Menschen haben, wie zum Beispiel in der Medizin, beim autonomen Fahren oder im Arbeitsmarkt. Solche Systeme unterliegen strengen Vorschriften bezüglich Transparenz, Datenmanagement und menschlicher Kontrolle.
    • Begrenztes Risiko: Diese Systeme erfordern bestimmte Transparenzmaßnahmen. Wenn etwa ein KI-gestütztes Chatbot-System verwendet wird, muss der Nutzer darüber informiert werden, dass er mit einer KI interagiert.
    • Minimales Risiko: Systeme wie einfache KI-Anwendungen, etwa Spamfilter, fallen unter diese Kategorie und unterliegen keiner speziellen Regulierung.

    3. Pflichten der Akteure

    Die Pflichten der beteiligten Akteure variieren je nach Risikoklasse des KI-Systems und lassen sich im Wesentlich wie folgt zusammenfassen:

     

    • Anbieter von Hochrisiko-KI-Systemen müssen vor dem Inverkehrbringen eine umfassende Konformitätsbewertung durchführen. Dies umfasst die Sicherstellung der Genauigkeit, Robustheit und Sicherheit des Systems sowie eine detaillierte Dokumentation und Nachverfolgbarkeit.
    • Deployer müssen die Systeme verantwortungsvoll nutzen und regelmäßig überwachen. Sie müssen gewährleisten, dass die KI-Systeme sicher betrieben werden und auf dem aktuellen Stand der Technik sind.
    • Einführer und Händler müssen sicherstellen, dass alle Systeme, die sie in die EU bringen oder vertreiben, den EU-Anforderungen entsprechen. Sie sind verpflichtet, mit den Anbietern zusammenzuarbeiten, um Mängel zu beheben oder Systeme zurückzurufen, wenn sie nicht konform sind.

    4. Rechtliche Risiken für das Management beim Einsatz von KI im Unternehmen

    Der Einsatz von Künstlicher Intelligenz (KI) bietet zahlreiche Chancen, birgt jedoch auch erhebliche rechtliche Risiken für das Management. Diese rechtlichen Risiken entstehen durch regulatorische Anforderungen, ethische Herausforderungen und mögliche Haftung bei Missbrauch oder Fehlverhalten.

     

    Die Einhaltung des rechtlichen Rahmens wie des AI Act oder der DSGVO ist wenig überraschend essenziell. Verstöße können erhebliche Bußgelder und Reputationsschäden nach sich ziehen.

     

    • Nicht-Konformität mit dem AI Act:
      • Unzureichende Risikobewertung von KI-Systemen, besonders bei Hochrisikoanwendungen.
      • Fehlende technische Dokumentation oder Transparenzpflichten.
      • Nutzung von unzulässigen KI-Systemen, wie manipulativen oder diskriminierenden Systemen.
    • Datenschutzverstöße:
      • Verarbeitung personenbezogener Daten durch KI-Systeme ohne Rechtsgrundlage.
      • Mangelnde Umsetzung der Prinzipien der DSGVO, wie Datenminimierung oder Zweckbindung.
      • Einsatz von Systemen, die automatische Entscheidungen treffen, ohne die betroffenen Personen angemessen zu informieren oder ihre Rechte zu gewährleisten.

     

    Komplexer wird es bei den Haftungsrisiken: Das Management kann haftbar gemacht werden, wenn KI-Systeme Schäden verursachen, speziell wenn die Gesellschaft auf Grund von Managementfehlern Schaden erleidet. Solche sind denkbar, wenn etwa Angriffsszenarien durch unsichere KI bestehen und auch eine Haftung für Auskünfte durch Chatbots steht im Raum so wie für KI-generierte Texte insgesamt (LG Kiel, 6 O 151/23).

     

    Allerdings kommt es hier auf den Einzelfall an, um das konkrete Haftungsszenario abzubilden. Der AI-Act regelt keine originären Haftungsfragen. Diees Thema wird durch eine Reform der Produkthaftungsrichtlinie sowie einer noch im Entstehen befindlichen KI-Richtlinie angegangen. In Zukunft wird damit ein Unternehmen haftbar gemacht werden, wenn Software, insbesondere ein KI-System fehlerhaft ist und dadurch Schaden entsteht. Unklare Zuständigkeiten bei der Haftung zwischen Anbietern, Entwicklern und Nutzern von KI-Systemen erhöhen die Risiken in diesem Bereich, da die Haftung durch Beweislastregelungen zulasten der nutzenden Unternehmen angegangen wird. Dies gilt ebenso, wenn KI-Systeme diskriminierende Entscheidungen treffen (z. B. bei Bewerbungsprozessen). Der Einsatz von KI zur Mitarbeiterüberwachung oder -Steuerung muss auf seine arbeitsrechtliche Vereinbarkeit geprüft werden. Das Management ist und bleibt insoweit verantwortlich für die Sicherstellung von Fairness und Nicht-Diskriminierung.

     

    Bedenken Sie auch den „weichen Faktor“ von Reputationsrisiken: Fehlerhafter oder unangemessener Einsatz von KI kann das Vertrauen in das Unternehmen erheblich schädigen, etwa wenn ein Einsatz von KI für intransparente oder ethisch fragwürdige Zwecke erfolgt. Das Management kann zudem wegen falscher oder irreführender Aussagen über die Fähigkeiten der eingesetzten KI-Systeme in den Fokus geraten: KI-Washing tritt auf, wenn Unternehmen ihre Produkte oder Dienstleistungen als „KI-gestützt“ bewerben, ohne dass substanzielle KI-Technologie verwendet wird. Dies kann als irreführende Werbung rechtlich geahndet werden und den Ruf des Unternehmens beeinträchtigen (Ferner, Zeitschrift für Unternehmensjuristen 11/2024, S.18)

    5. Maßnahmen zur Risikominderung

    Um rechtliche Risiken im Umgang mit dem EU AI-Act zu minimieren, sollten Unternehmen im Managementbereich eine umfassende Strategie verfolgen, die sowohl technische als auch organisatorische Maßnahmen umfasst. Der AI-Act, der auf einen risikobasierten Ansatz setzt, verlangt ein klares Verständnis der spezifischen Anforderungen sowie die Implementierung effektiver Compliance-Maßnahmen. Dazu gehören:

     

    • a) Risikobasierte Strategie: Zunächst sollte das Unternehmen seine KI-Anwendungen analysieren und identifizieren, ob und welche Hochrisikobereiche gemäß dem AI-Act betroffen sind. Hochrisiko-KI-Systeme, wie sie beispielsweise im Personalmanagement oder in der Kreditvergabe zum Einsatz kommen, erfordern besondere Aufmerksamkeit. Die Einführung eines internen KI-Compliance-Management-Systems ist essenziell. Dieses System gewährleistet, dass die gesetzlichen Anforderungen kontinuierlich überprüft und umgesetzt werden.

     

    • b) Transparenz und Governance: Unternehmen müssen sicherstellen, dass die Entscheidungsprozesse von KI-Systemen nachvollziehbar dokumentiert sind. Diese Transparenzanforderung hilft nicht nur, regulatorische Vorgaben zu erfüllen, sondern fördert auch das Vertrauen in die Technologie. Mitarbeiter sollten zudem regelmäßig in den ethischen und rechtlichen Standards im Umgang mit KI geschult werden, um das Bewusstsein für potenzielle Risiken zu stärken.
    •  
    • c) Prüfung auf Bias und Fairness: Regelmäßige Audits der eingesetzten KI-Modelle sind unerlässlich, um Diskriminierung und Verzerrungen zu erkennen und zu verhindern. Durch die dokumentierte Nutzung validierter, diversifizierter und qualitativ hochwertiger Trainingsdatensätze lassen sich Verzerrungen in den Modellen reduzieren, was nicht nur den rechtlichen Anforderungen entspricht, sondern auch die Akzeptanz von KI-Systemen bei den Nutzern erhöht.

     

    • d) Vermeidung von KI-Washing: Eine ehrliche und realistische Kommunikation über die Fähigkeiten der eingesetzten KI-Systeme ist entscheidend, um Täuschung oder unrealistische Erwartungen zu vermeiden. Alle angebotenen KI-Produkte müssen den in der Werbung und Dokumentation beschriebenen Standards entsprechen, um rechtliche Konflikte zu umgehen. Das bedeutet, es dürfen weder KI-Funktionen verheimlicht werden um den Regulären des AI-Act zu entgehen, noch dürfen einfache Algorithmen als KI betitelt werden, um einen Marktvorteil zu erlangen. Verstöße im Bereich des KI-Washing werden irreführende Werbung darstellen, die wettbewerbsrechtlich zu ahnden ist ‒ und im Einzelfall sogar strafrechtlich (§ 16 UWG).

     

    • e) Rechtliche Beratung und Audits: Eine Zusammenarbeit mit Datenschutzexperten, juristischen und technischen Beratern um sicherzustellen, dass die KI-Anwendungen sowohl die Anforderungen der Datenschutz-Grundverordnung (DSGVO) als auch die des AI-Acts erfüllen, drängt sich auf. Hier dürfte der bewusste Verzicht auf eine unterprofessionelle Beratung beim Einsatz von KI-Systemen gerade haftungsverschärfend wirken.

    6. Fazit

    Der AI Act schafft einen Rechtsrahmen für den sicheren und ethischen Einsatz von KI-Systemen in Europa. Durch die Definition klarer Rollen, eine risikobasierte Regulierung und umfassende Pflichten für Anbieter und Nutzer schafft er Vertrauen in KI-Technologien und schützt gleichzeitig die Rechte der EU-Bürger. „Einfach mal machen“ ist im professionellen Umfeld mit Blick auf den AI-Act nicht denkbar und ohne klare Strategie sollte nicht gehandelt werden.

     

    Eine solche durchdachte und umfassend dokumentierte Strategie, kombiniert mit regelmäßigen Audits und einer klaren Governance-Struktur, reduziert dann die rechtlichen Risiken im Umgang mit KI-Anwendungen erheblich. Unternehmen, die den AI-Act proaktiv umsetzen, gewinnen nicht nur an Rechtssicherheit, sondern auch an Reputation und Vertrauen bei den Stakeholdern. Auch dies ist ein Faktor von erheblicher Bedeutung, da es kaum vorstellbar erscheint, dass Unternehmen am Markt bestehen können, ohne sich hier entsprechend abzusichern.

    Quelle: ID 50254742
    print print email email email_comp email_comp twitter twitter facebook facebook xing xing

    Mehr zum Thema