04.04.2022
Künstliche Intelligenz: Überblick und Ausblick auf die KI-Verordnung
Im letzten Jahrzehnt rückte das Thema Künstliche Intelligenz (KI) zunehmend in den Fokus. Unternehmen, Anwaltskanzleien und staatliche Institutionen setzen sich mit KI zunehmend auseinander und stellen sich die Frage nach den Auswirkungen auf unterschiedliche Lebensbereiche. Heute wollen wir einen Blick darauf werfen, welche Chancen und Herausforderungen KI für Unternehmen und Anwaltskanzleien in sich bergen. Der Beitrag bietet Ihnen einen ersten Überblick über aktuelle Fragen und Problemstellungen zur KI sowie zu den legislativen Trends in der Europäischen Union (EU).
Die besondere Herausforderung der Definition des KI-Begriffes
Die Definition des Begriffes „Künstliche Intelligenz“ erweist sich seit jeher als schwierig. Allein der Vergleich zu menschlichen Denk- und Verhaltensweisen ist nicht trennscharf, schon der Begriff „Intelligenz“ wird sehr unterschiedlich verstanden. Für die Definition sollte auf zwei zentrale Aspekte abgestellt werden: eine in gewissem Maße autonome Funktionsweise und ein sich anpassender Verarbeitungsprozess. KI kann insofern als ein Phänomen selbstlernender Software-Algorithmen beschrieben werden. Diese übernehmen klassischerweise Aufgaben, die traditionell von Menschen ausgeführt werden. Sie werden als Prognosemechanismen eingesetzt, die auf Korrelationen von alten und neuen Datenmustern basieren. Die autonome Anpassung der Verarbeitung wird dabei durch verschiedene Techniken realisiert, unter denen das „maschinelle Lernen“ („machine learning“) gegenwärtig am populärsten ist. Durch Software-Simulationen werden einfache Aufgaben bewältigt, indem der Algorithmus anhand einer großen Anzahl von Beispielfällen trainiert wird. Aus diesen Simulationen ergeben sich sog. neuronale Netze.
Erfolgt das maschinelle Lernen durch ein mehrschichtiges Lernen, bzw. tiefes Lernen oder tiefgehendes Lernen, so wird dieses als „Deep Learning“ bezeichnet. Es beruht auf „Deep Networks“ mit subtileren Differenzierungen und ermöglicht wesentlich komplexere Aufgaben als das klassische „Machine Learning“. „Deep Learning“ ist zu einem eminenten, leistungsstarken Faktor in der IT-Branche geworden.
Anhand des „Deep Learnings“ konnten zuletzt in den Bereichen der Bilderkennung, Sprachübersetzung oder stilistischen Anpassung große Erfolge verzeichnet werden.
Die verstärkte Anwendung von KI beruht auf drei wesentlichen Entwicklungen:
- Infolge der Digitalisierung stehen große Datenmengen zur Verfügung, die für Trainings der KI genutzt werden und anhand der KI-Anwendungen stetig verbessert werden können.
- Es stehen effizientere Trainingsalgorithmen für den Einsatz großer und tiefgreifender neuronaler Netzwerke zur Verfüfung.
- Die Technik hochleistungsstarker Grafikchips konnte für die Entwicklung von „Deep-Learning-Software“ fruchtbar gemacht werden. Dies ermöglichte große Leistungssteigerungen.
Neuronale Netzwerke werden durch den Ablauf von Millionen von Trainingstestläufen und Beispielen trainiert. Bei der Bilderkennung funktioniert dies z. B. durch Vorführung von zahllosen Bildern. Und bei der Spracherkennung wird die Auswertung von Millionen von Tonaufnahmen trainiert. Sobald das jeweilige Netzwerk genügend Trainingsbeispiele (Input) aufgenommen hat, kann es den richtigen Output für einen zuvor nicht bekannten Input korrekt vorhersagen.
Auswirkungen von KI auf die (Rechts-)Realität
Die Digitalisierung hat in vielen gesellschaftlichen Bereichen zu grundlegenden technologischen, wirtschaftlichen und sozialen Veränderungen geführt. Gegenwärtig halten zudem KI-Anwendungen Einzug in die Tätigkeit nahezu aller Arbeitsbereiche. KI-Anwendungen sind dabei als Komponenten in Software integriert. Die Nutzung einer Softwarelösung muss sich dabei für Anwender und Anwenderinnen nicht zwingend ändern, in vielen Fällen wird wie bisher ein Output präsentiert – lediglich der Verarbeitungsvorgang, der dieses Ergebnis produziert hat, läuft anders und der spezifische Output wird Auswirkung auf den Algorithmus und damit zukünftige Verarbeitungen haben.
KI-Komponenten halten beispielsweise bereits Einzug in etliche Bereiche des eCommerce, wie die Mechanismen, die Betrug vermeiden sollen, die Aussteuerung von Werbung und die Anzeige von Produkten auf der Website bis hin zu Logistik-Prozessen. Etliche Sprachassistenten, Chatbots, und Datenanalysetools enthalten bereits KI. Aber auch betriebsinterne Prozesse in der Personalabteilung z.B. bei der Personalentwicklung oder im Recruiting werden durch den Einsatz von KI verändert.
Nicht zuletzt die juristische Arbeit erfährt umfassende Veränderungen. Insbesondere für Vertragsgestaltung, -verhandlungen und -überprüfungen wird KI ein wesentlicher Faktor sein, der Vorhersagen für Fallergebnisse, Vorschläge für entsprechende Vorgehensweisen, die Organisation und vieles mehr beeinflussen wird. Gegenwärtig kommen KI-Module für die „intelligente“ Suche in umfassenden Dokumentenmengen oder für Textvergleiche zum Einsatz.
Der Einsatz von KI in rechtlichen Kontexten ist auch in streitigen Verfahren bereits Realität. Beispielsweise wurde vor wenigen Jahren eine Klageschrift mittels KI erstellt (die jedoch wegen fehlenden Einzelfallbezuges nicht den Anforderungen an eine Klageschrift genügte). Für Wettbewerbsbehörden bieten sich besondere Möglichkeiten: sie könnten mittels KI Unregelmäßigkeiten bei Preisgestaltungen der Märkte oder besondere Marktmacht standardisiert ermitteln.
Nicht in jedem Fall erfordert die Entwicklung und Anwendung von KI die Verarbeitung der Daten von Einzelpersonen. Sofern aber personenbezogene Daten, z.B. im Zusammenhang mit dem KI-Einsatz im Bewerbungsverfahren verwendet werden, ist die Datenschutz-Grundverordnung (DSGVO) zu beachten.
Der Vorschlag für eine KI-Verordnung von der Europäischen Kommission
Die Europäische Kommission hat die mit KI verbundenen Chancen, aber auch das damit einhergehende Regelungsbedürfnis erkannt. Am 21.04.2021 legte die Europäische Kommission einen Vorschlag für eine KI-Verordnung (KI-VO) vor. Die KI-VO wäre weltweit die erste ihrer Art. Ziel ist es, Europa zu einem globalen Zentrum für eine gesellschafts- und rechtskonforme KI zu entwickeln. Der Rat hat bereits einen modifizierten Vorschlag vorgelegt, der derzeit im Europäischen Parlament diskutiert wird. Der Trilog zwischen den drei Gesetzgebungsorganen steht noch aus. Es zeichnet sich jedoch ab, dass das Vorhaben mit großem Nachdruck betrieben wird. Ein In-Kraft-Treten ist 2023 bereits denkbar, wobei eine einjährige Übergangszeit bis zur Anwendbarkeit vorgesehen ist. Als europäische Verordnung wird das Recht dann unmittelbar in allen Mitgliedstaaten gelten. Einer Umsetzung in Form von nationalen Gesetzen bedarf es nicht.
Rechtlicher Hintergrund der Verordnung
Der Vorschlag stellt den Schutz der Bürgerinnen und Bürger in den Mittelpunkt. Bereits im Vorfeld hat die Kommission einige wegweisende Verordnungen erlassen, um die Entwicklung der datengetriebenen Wirtschaft zu erleichtern.
Darunter fallen unter anderem die Verordnung über den freien Verkehr nicht personenbezogener Daten, der Rechtsakt zur Cybersicherheit, die Richtlinie über offene Daten und die Weiterverwendung von Informationen des öffentlichen Sektors sowie die DSGVO.
2018 legte die Kommission erstmals eine KI-Strategie vor und stimmte sie mit den Mitgliedstaaten ab.
Die Kommission stellte zeitgleich eine hochrangige Expertengruppe für KI zusammen. Diese legte im April 2019 ihre Ethik-Leitlinien zur vertrauenswürdigen KI vor. Diese Leitlinien dienten als Grundlage für das am 19. Februar 2020 vorgestellte Whitepaper zu KI.
Newsletter
Alle wichtigen Neuigkeiten zu Themen wie Datenschutz, Künstliche Intelligenz, IT-Recht und vielen mehr – einmal monatlich in Ihr Postfach.
Der Anwendungsbereich der KI-Verordnung
Der räumliche Anwendungsbereich des KI-Verordnungs-Entwurfs (KI-VO-E) ist sehr weit. Die KI-VO sieht eine extraterritoriale Wirkung vor (Art. 2 I KI-VO-E). Er ist eröffnet, wenn ein KI-System innerhalb der EU zur Anwendung kommt oder wenn das vom System produzierte Ergebnis innerhalb der EU verwendet wird, unabhängig davon wo sich Anbieter oder Nutzer befinden. Damit können sie auch in Drittstaaten von der Reichweite erfasst werden. Der KI-VO-E orientiert sich dabei am Marktortprinzip aus Art. 3 Abs. 2 DSGVO, der den Anwendungsbereich der DSGVO in vergleichbarer Weise auf Verantwortliche außerhalb der Union ausdehnt.
In sachlicher Hinsicht zeichnet sich ebenfalls ein sehr weiter Anwendungsbereich ab. Ein KI-System wird nach dem aktuellen Rats-Entwurf der KI-VO als Softwaresystem definiert, das durch Ansätze des maschinellen Lernens oder Logik- und wissensbasierter oder statistischen Ansätzen entwickelt wurde und ein Ergebnis produziert, das in Form von Vorhersagen oder Bewertungen Auswirkungen auf die unmittelbare Umwelt hat, in der der Output eingesetzt wird. Bezugnehmend auf die obigen zentralen Elemente der autonomen Anpassung, liegt der Hauptaugenmerk auf der Art der Technologie, die der Anwendung zugrunde liegt.
Risikobasierter Ansatz der KI-VO
Ebenso wie die DSGVO soll auch die KI-VO einen risikobasierten Ansatz verfolgen. Demnach gilt: je höher die mit dem Einsatz von KI verbundenen Risiken, desto höher sind die regulatorischen Anforderungen an das jeweilige KI-System. Eine zentrale Verpflichtung für Unternehmen, die KI einsetzen oder entwickeln, wird daher der Ausbau des Risiko-Management-Systems sein. Die mit dem Einsatz von KI verbundenen Risken müssen gem. Art. 9 KI-VO-E identifiziert, bewertet und beobachtet werden. Auf Basis der festgestellten Risiken, müssen angemessene Maßnahmen implementiert werden, um Risiken zu mitigieren.
Differenzierung der Risikogruppen
Der KI-VO-E differenziert zwischen vier Risikotypen von KI-Systemen. Dabei werden an sie jeweils verschiedene technische und organisatorische Voraussetzungen und Sicherheitsanforderungen gestellt.
Dabei handelt es sich um:
- Verbotene KI-Systeme (Art. 5 KI-VO-E)
- Hochrisikosysteme (Art. 6–51 KI-VO-E, hier ist das „Herzstück des Entwurfs“ zu verorten)
- Systeme mit geringem Risiko (Art. 52 KI-VO-E)
- Systeme mit einem minimalen Risiko (Art. 69 KI-VO-E)
Art. 5 des KI-VO-E normiert verbotene Praktiken, die nach Ansicht der Kommission ein inakzeptables Risiko für Rechte und Freiheiten von Personen darstellen, da sie gegen die Werte der EU verstoßen und mit der Grundrechtecharta der Union nicht vereinbar sind. Verbotene Praktiken sind unter anderem das Inverkehrbringen, die Inbetriebnahme oder die Verwendung von KI-Systemen,
- die unterschwellige, manipulative oder ausbeuterische Techniken nutzen und physischen oder psychischen Schaden zufügen können,
- die biometrische Echtzeit-Fernidentifikationssysteme im öffentlich zugänglichen Raum zu Strafverfolgungszwecken nutzen, wie zum Beispiel Gesichtserkennung,
- die von Behörden zum Zwecke der sozialen Bewertung („Social Scoring“) genutzt werden.
Im Unterschied zu verbotenen Echtzeitidentifikationen sind Systeme, die Personen im ex post identifizieren können (unter bestimmten Voraussetzungen), zulässig. Sie müssen bei Gesichtserkennungen Genauigkeit, IT-Sicherheit und Transparenz gewährleisten und sich einem Konformitätsverfahren unterziehen.
Hochrisiko-KI-Systeme müssen hohe technische und organisatorische Standards erfüllen, die in Art. 8 ff. KI-VO-E geregelt sind. Da der „Input“ für KI-Systeme in Form von Daten maßgebliche Auswirkung auf die gesamte Funktionsweise hat, stellt Art. 10 KI-VO-E umfassende Anforderungen an die Data Governance. Konkrete Vorgaben beziehen sich hierbei auch auf die Testprozesse. Etliche Pflichten beziehen sich auf die Dokumentation des KI-Einsatzes in Form von Log-Dateien, der Datengrundlagen, der Designentscheidungen oder Re-Evaluation. Kein Anwender einer KI darf sich überdies der Möglichkeit der Kontrolle eines KI-Systems begeben (vgl. Art 15 KI-VO-E).
Daneben sieht die KI-VO einige zusätzliche Verpflichtungen für Anbieter, Importeure, Händler und Nutzer von Hochrisiko-KI-Systemen in Art. 16-29 des Entwurfes vor. Diese Pflichten sind Teil des IT- und Produktsicherheitsrechts und haben – auch wenn sie im Entwurf nicht explizit angesprochen werden – Auswirkungen auf das Vertrags- und Deliktsrecht. Sie können als (Auslegungs-)Richtlinien im Rahmen der vertraglichen und deliktischen Haftung herangezogen werden.
Zu den Low-Risk-Systemen, (risikoarme KI-Systeme) gehören KI-Chatbots, KI-fähige Video- und Computerspiele, Spamfilter, Bestandsverwaltungssysteme, Kunden- und Marktsegmentierungssysteme etc.
Für sie gelten Transparenzpflichten, sodass für Nutzende erkennbar ist, dass sie mit einer Maschine interagieren. Dies dient der Ermöglichung der Entscheidungsfreiheit, ob eine solche Interaktion gewünscht ist (vgl. Art. 52 I-IV KI-VO-E).
KI-Systeme ohne besonderes Risiko fallen unter die allgemeinen gesetzlichen Bestimmungen, insbesondere die der DSGVO. Sie sind vom Anwendungsbereich des KI-VO-E ausgenommen.
Auswirkungen auf Unternehmen
Bei Verstößen gegen die KI-VO sind drastische Sanktionen vorgesehen (6% des Jahresbruttoumsatzes). Die Mitgliedstaaten werden eine nationale Aufsichtsbehörde schaffen müssen. Die Sanktionen sollten indes nicht das zentrale Interesse einer umfassenden Beachtung für betroffene Unternehmen ausmachen. Wichtig ist vor allem die Rechtssicherheit bei der Entwicklung, dem Einkauf und Einsatz von KI-Systemen. Hierbei sollten Unternehmen bereits jetzt Compliance-Projekte ansetzen, die den weiteren Verlauf des Gesetzgebungsprozesses beobachten und sicherstellen, dass ein zukünftiges Pflichtenprogramm sinnvoll in bestehende Abläufe im eigenen Unternehmen integriert werden kann. Wer insbesondere Dokumentationspflichten bereits jetzt sachgerecht anpasst, erspart sich mühevolle Nachdokumentation in der Zukunft.
Kompromissvorschlag zur KI-Verordnung des französischen Ratsvorsitzes
Der französische Vorsitz des Ministerrats der EU hat am 16. Mai einen „Kompromissvorschlag“ zur geplanten KI-Verordnung vorgelegt. Darin beschäftigt er sich mit verschiedenen Aspekten des Entwurfs. Insgesamt lässt sich sagen, dass der Ratsvorsitz die Anforderungen für den Umgang mit KI weniger streng sehen möchte. So gibt er an, ein Gleichgewicht zwischen notwendigem Schutz, der Sicherheit und der Grundrechte mit Wachstum, Wettbewerbsfähigkeit und Innovationsförderung herstellen zu wollen. Insbesondere die Anforderungen für Hochrisiko-Systeme sollen weniger streng gestaltet werden, sodass sie für die Interessenträger weniger belastend würden. Beispielsweise sollen Verpflichtungen hinsichtlich Datenqualität und technischer Dokumentation für Unternehmen abgeschwächt werden. Darüber hinaus soll die Definition der Hochrisiko-KI enger gefasst werden, sodass allgemein weniger Systeme darunter zählen. Zudem hat der Ratsvorsitz in seinem Vorschlag die nationalen Aufsichtsbehörden gestrichen, sodass die Mitgliedsstaaten mehr Flexibilität bei der der Bestimmung der zuständigen Stellen hätten, auch die Fristen dafür sollen verlängert werden. Bemerkenswert ist vor allem auch, dass Anbieter von KI nur noch verpflichtet sein sollen solche Risiken anzugehen, bei denen sie angemessene und realistische Maßnahmen ergreifen können. Unternehmen werden dadurch in erheblichem Maße von einer potenziellen Haftung befreit.
Die Arbeit an der KI-Verordnung schreitet damit voran, Frankreich wird die Ratspräsidentschaft noch diesen Monat innehaben, danach wird die Aufgabe von der Tschechischen Republik übernommen.
Fazit
Die KI-VO stellt einen wichtigen Schritt in Richtung Rechtssicherheit und Regulierung von KI-Systemen dar. Aufgrund des breiten Anwendungsspektrums von KI ist davon auszugehen, dass die KI-Regulation einen vergleichbaren Einfluss auf den europäischen und globalen Markt haben wird wie die DSGVO.
Vereinbaren Sie jetzt ein
unverbindliches Erstgespräch!
Lassen Sie uns über Ihre Herausforderungen sprechen und vereinbaren Sie ein unverbindliches Erstgespräch mit unseren spezialisierten Anwält:innen.
Unsere Experten zum Thema
Weitere Neuigkeiten
30.09.2024
Künstliche Intelligenz (KI) – wer haftet, wenn ein Roboter versagt?
20.09.2024
Datenschutz und M&A: Data Due Diligence und der Schlüssel zur rechtssicheren Datennutzung
12.09.2024