Digitalisierung

Künstliche Intelligenz – neue Regelungen für die KI-Verordnung

Die Welt der Künstlichen Intelligenz (KI) entwickelt sich rasant. Um den verantwortungsvollen Einsatz von KI-Technologien zu gewährleisten, hat die Europäische Union die KI-Verordnung (auch AI-Act genannt) verabschiedet. Diese Auswirkungen hat die Verordnung auf den Einsatz von KI in Ihrem Unternehmen.

Was ist die KI-Verordnung?

Die KI-Verordnung ist eine Verordnung der Europäischen Union, die darauf abzielt, den Einsatz von KI-Technologien sicherer und transparenter zu gestalten. Sie legt Regeln fest, um Risiken zu minimieren und das Vertrauen in KI-Systeme zu stärken. Die Verordnung unterscheidet zwischen verschiedenen Risikostufen und setzt dementsprechend Anforderungen an die Nutzung und Entwicklung von KI-Systemen.

Welche Unternehmen sind betroffen?

Grundsätzlich betrifft der KI-Act alle Unternehmen, die KI-Systeme entwickeln, bereitstellen oder nutzen, sofern diese Systeme in der EU eingesetzt werden oder deren Ergebnisse Personen in der EU beeinflussen. Das schließt sowohl große Konzerne als auch kleine und mittlere Unternehmen (KMUs) ein, die KI-Technologien in ihren Produkten oder Dienstleistungen integrieren.
Nicht in den Anwendungsbereich der KI-Verordnung fällt die KI-Nutzung zu privaten Zwecken.

Ab wann gilt die KI-Verordnung und welche Fristen sind einzuhalten?

Die KI-Verordnung ist am 1. August 2024 in Kraft getreten. Sie wird schrittweise in den nächsten Jahren wirksam, um den Unternehmen ausreichend Zeit zur Anpassung zu geben:
  • 2. Februar 2025: Verbotene KI-Systeme, die ein unannehmbares Risiko darstellen, dürfen nicht mehr verwendet werden.
  • 2. August 2025: Anwendbarkeit der Bestimmungen für KI-Systeme mit „allgemeinem Verwendungszweck“ (Basismodell wie zum Beispiel Chat-GPT)
  • 2. August 2026: allgemeine Anwendbarkeit der KI-VO
  • 2. August 2027: Anwendbarkeit der KI-VO für bestimmte Hochrisikosysteme

Was sind die so genannten „Risikogruppen“ der KI-Verordnung?

Die KI-Verordnung kategorisiert KI-Systeme in verschiedene Risikogruppen. Je höher das Risiko einer KI-Anwendung, umso strenger sind die Anforderungen.

Unvertretbares Risiko:

KI-Systeme, die den Grundrechten der EU nicht vereinbar sind und somit ein inakzeptables Risiko darstellen, sind verboten (Beispiel Social Scoring).

Hohes Risiko:

Als Hochrisiko-Systeme werden KI-Systeme bezeichnet, die ein bedeutendes Risiko für Gesundheit, Sicherheit oder Grundrechte bergen. Hierzu können unter anderem KI-Systeme in kritischer Infrastruktur wie Medizin oder Verkehr im Personalmanagement, in der beruflichen Bildung, oder im Bankwesen fallen. Diese unterliegen strengen Anforderungen im Hinblick auf Risikobewertung, Transparenz, Robustheit und menschlicher Aufsicht.

Begrenztes Risiko:

Hier sind Transparenzpflichten vorgesehen. Der Nutzer muss darüber informiert werden, dass er mit einem KI-System interagiert, beispielsweise bei Chatbots.

Minimales Risko:

Hier entstehen keine zusätzlichen rechtlichen Verpflichtungen. Beispiele sind die meisten KI-gestützten Spiele oder Spam-Filter. Für Unternehmen besteht dennoch die Möglichkeit, freiwillig einen Verhaltenskodizes für derartige KI-Systeme zu erarbeiten.

Aufsicht und Sanktionen

Jedes EU-Mitgliedsland muss Aufsichtsbehörden benennen, bei denen etwaige Verstöße gegen die KI-Verordnung zukünftig gemeldet werden können. Verstöße gegen die KI-Verordnung können mit Geldbußen bis zu 35 Millionen Euro oder 7Prozent des weltweiten Umsatzes eines Unternehmens sanktioniert werden.

Was gilt bei der Nutzung von „Basismodellen“ (GPAI-Systeme)?

GPAI steht für „General Purpose Artificial Intelligence“ (KI-Systeme mit allgemeinem Verwendungszweck). Diese Systeme werden auch „Basismodelle“ genannt, weil es sich um KI-Systeme handelt, die einem allgemeinen Verwendungszweck dienen, mit großen Datensätzen trainiert werden und sich an verschiedene Aufgabenstellungen anpassen können. Sie können auch in weitere KI-Systeme in verschiedenen Risikogruppen integriert werden. Das bekannteste Beispiel ist ChatGPT.
Die Anforderungen an GPAI-Systeme richtet sich nach der jeweiligen Funktion des Basismodells. Unternehmen, die solche Basismodelle nutzen, müssen sicherstellen, dass diese den Anforderungen der KI-Verordnung entsprechen, insbesondere wenn sie in Hochrisiko-Anwendungen integriert werden. Hierzu gehören die Bewertung und Dokumentation der Modelle hinsichtlich Sicherheit, Genauigkeit und Transparenz.
Wenn Unternehmen die Ergebnisse von Basismodellen nutzen wollen, müssen sie Regelungen im Arbeits-, Datenschutz- und gewerblichem Rechtschutz (Urheberrecht, Markenrecht) beachten. Die wichtigsten Aspekte haben wir hier zusammengestellt.

Arbeitsrecht

Für Arbeitgeberinnen und Arbeitgeber bietet die KI vielfältige Einsatzmöglichkeiten. Insbesondere im Personalbereich kann der KI-Einsatz eine erhebliche Arbeitserleichterung sein. Im Bereich des Recruitings kann die KI für das Erstellen für Stellenanzeigen, bei der Sichtung von Bewerbungsunterlagen, für die Kommunikation mit Bewerbern oder für Bewerbungsgespräche eingesetzt werden. Auch die Ausarbeitung eines Musterarbeitsvertrags mittels KI ist denkbar. KI kann auch in der Personaladministration unterstützen, beispielsweise bei der Formulierung und Auswertung von Zielen, der Kommunikation gegenüber einzelner Mitarbeitenden oder der Belegschaft sowie bei der Vorbereitung von Vertragsunterlagen und sonstiger Dokumente im bestehenden Arbeitsverhältnis.
Zu beachten ist jedoch, dass durch den Einsatz eines KI-Tools Diskriminierungen und Verstöße gegen das Allgemeine Gleichbehandlungsgesetz (AGG) denkbar sind. Zwar vermittelt der KI-Einsatz im Recruiting den Anschein, dass diese Systeme besonders objektiv und diskriminierungsfrei arbeiten. Jedoch sind KI-Tools Trainingsdaten, die sich stetig fortentwickeln. Finden sich in einem KI-Tool (mittelbar) diskriminierende Inhalte, können diese auch in neu generierten Arbeitsergebnissen wiederzufinden sein. Daher ist eine kritische Kontrolle der KI-Ergebnisse unumgänglich.
Der Einsatz von KI-Tools wird zudem durch Art. 22 der Datenschutzgrundverordnung (DSGVO) begrenzt, wonach Personen davor geschützt werden, ausschließlich KI-basierten Entscheidungen unterworfen zu sein. Unzulässig wäre es beispielsweise, wenn ein KI-Tool im Recruitingprozess autonom entscheidet, wer eine Zu- oder Absage erhält. Art. 22 DSGVO wird gewahrt, wenn die endgültige Entscheidung durch den Arbeitgeber oder die Arbeitgeberin erfolgt und der KI-Einsatz sich lediglich auf Vorentscheidungen oder Vorschläge beschränkt.
Zu beachten ist, dass der KI-Einsatz als solcher zwar nicht mitbestimmungspflichtig ist, aber einzelne Mitbestimmungsrechte des Betriebsrats wie zum Beispiel § 87 Abs. 1 Nr. 6 Betriebsverfassungsgesetz (Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen) berühren kann.

Urheberrecht und Markenrecht

Bei der Verwendung von KI-Tools sind urheberrechtliche Gesichtspunkte zu beachten. Das Urheberrecht schützt persönliche geistige Schöpfungen. Künstliche Intelligenz kann solche Werke nicht erschaffen, daher sind rein durch KI-generierte Inhalte nicht urheberrechtlich geschützt (z. B. Texte, Bilder).
Es ist jedoch darauf zu achten, für welche Zwecke nach den Nutzungsbedingungen des KI-Tools eine Verwendung der Ergebnisse erlaubt ist. Außerdem kann ein Urheberschutz bestehen, wenn das KI-Tool nur zur Unterstützung bei der Erarbeitung von Bild-, Audio- oder Videoinhalten verwendet wird und dadurch ein „Mischwerk“ entsteht.
Auch kann eine wortgenaue Übernahme von KI-generierten Textstellen eine Urheberrechtsverletzung darstellen, wenn an dem Ursprungstext ein Urheberrecht besteht. Gleiches gilt für Bilder.
Auch wenn keine Urheberrechte bestehen, können die Inhalte unter den Markenschutz fallen. Zeigen die KI-erzeugten Inhalten eingetragene Marken oder ähneln sich solchen so sehr, dass sich eine Verwechslungsgefahr bei Marktteilnehmern aufdrängt, kann eine Markenrechtsverletzung gegeben sein.
Markenrechtsverletzungen können vermieden werden, indem der Verwender für die KI-generierten Inhalt eine umfassende Markenrecherche durchführt, bevor der Inhalt verwendet wird. Von einer KI-gesteuerten Markenrecherche ist aufgrund der dynamischen KI-Systeme abzuraten, da keine kontinuierliche Anpassung der Markenrechtsvorschriften und ein umfassender Markenschutz gewährleistet werden kann.
Hat sich ein Unternehmen gegenüber seinen Kunden zur Einräumung (exklusiver) Nutzungsrechte verpflichtet, kann die Nutzung von KI-Tools durch Beschäftigte Haftungsrisiken begründen. Sollen Nutzungsrechte übertragen werden, sollte mit anwaltlicher Unterstützung eine vertragliche Regelung hierzu vereinbart werden.

Kennzeichnungspflichten

Bild-, Audio- oder Videoinhalte, die mit Künstlicher Intelligenz erzeugt und als echt wahrgenommen werden können (sog. Deepfakes), müssen gekennzeichnet werden. Die Kennzeichnungspflicht entfällt, wenn die Verwendung zur Aufdeckung, Verhütung, Ermittlung oder Verfolgung von Straftaten gesetzlich zugelassen ist.
Die KI-Verordnung enthält keine Regelung, ob und wie KI-Werke gekennzeichnet werden müssen, die keine Deepfakes darstellen. Es ist davon auszugehen, dass es maßgeblich auf das Irreführungspotenzial ankommen wird, ob KI-Inhalte gekennzeichnet werden müssen. Wird ein Teil eines künstlerischen, fiktionalen oder analogen Werks KI-generiert erzeugt, so beschränkt sich die Transparenzpflicht darauf, in geeigneter Weise die KI-Nutzung offenzulegen, ohne die Darstellung des Werkes zu beeinträchtigen.

Handlungsempfehlungen

Unternehmen mit KI-Einsatz müssen sicherstellen, dass alle Mitarbeitende, die KI-Systeme verwenden, ein ausreichendes KI-Verständnis haben. Die Erstellung einer unternehmensinternen KI-Richtlinie, um die rechtlichen Rahmenbedingungen zu definieren, ist empfehlenswert. Die bestehenden Mitbestimmungsrechte des Betriebsrates sind auch hierbei zu beachten. Für Detailfragen sollte anwaltlicher Rat eingeholt werden.

Weitere praktische Schritte:

  • Identifizierung der KI-Systeme: Unternehmen sollten zunächst eine Bestandsaufnahme ihrer KI-Systeme machen und deren Risikostufe nach dem KI-Act bestimmen.
  • Erfüllung der Anforderungen: Für Hochrisiko-KI-Systeme müssen Unternehmen strenge Auflagen erfüllen, einschließlich der Durchführung von Risikobewertungen und der Implementierung von Überwachungsmechanismen.
  • Transparenz und Dokumentation: Unternehmen sollten sicherstellen, dass ihre KI-Systeme transparent sind und alle relevanten Informationen dokumentiert sind, um im Falle einer Überprüfung durch die Behörden nachweisen zu können, dass sie die Vorschriften einhalten.
  • Schulung und Sensibilisierung: Es ist wichtig, dass Mitarbeiter, die mit KI-Systemen arbeiten, über die Anforderungen der KI-Verordnung informiert und entsprechend geschult sind.
Die KI-Verordnung stellt sicher, dass KI-Technologien verantwortungsvoll und sicher eingesetzt werden. Für Unternehmen bedeutet dies, dass sie sich proaktiv mit den Vorschriften auseinandersetzen und entsprechende Maßnahmen ergreifen müssen, um den gesetzlichen Anforderungen gerecht zu werden. Durch eine gründliche Vorbereitung und Einhaltung der Richtlinien können Unternehmen nicht nur rechtliche Risiken minimieren, sondern auch das Vertrauen ihrer Kunden in ihre KI-gestützten Produkte und Dienstleistungen stärken.