Unternehmen sind bereit in KI-Systeme als Zukunftstechnologie zu investieren, doch sehen viele Unternehmen rechtliche Unsicherheiten beim geplanten Einsatz und der Entwicklung von KI. Ein Interview mit Dr. Andreas Splittgerber und Joana Becker von der Anwaltskanzlei Reed Smith aus München.
Die Welt ist im Wandel und in der Arbeitswelt ist der vernetzte und gesteuerte Computereinsatz schon lange nicht mehr wegdenkbar. Neue Technologien mit intelligenten Lösungen „revolutionieren“ alle Ebenen im wirtschaftlichen und auch gesellschaftlichen Zusammenspiel – und helfen beispielsweise, Produktionsprozesse zu verbessern, Maschinenausfälle zu minimieren oder intelligentere Dienstleistungen zu entwickeln. Welche Gesetze finden eigentlich Beachtung im Zusammenhang mit KI?
Gibt es eine genaue Definition von KI im rechtlichen Sinne?
Nein, die gibt es im juristischen Sinne in der Tat noch nicht. Der Begriff Künstliche Intelligenz (KI) wird in sehr unterschiedlichen Kontexten zur Beschreibung von unterschiedlichen Technologien verwendet. Die Europäische Kommission definiert KI in ihrem Vorschlag für eine neue KI-Verordnung als „eine Software, die mit einer oder mehreren der in Anhang (der Verordnung) aufgeführten Techniken und Konzepte entwickelt worden ist und im Hinblick auf eine Reihe von Zielen, die vom Menschen festgelegt werden, Ergebnisse wie Inhalte, Vorhersagen, Empfehlungen oder Entscheidungen hervorbringen kann, die das Umfeld beeinflussen, mit dem sie interagieren“.
In welchen Bereichen zeigt sich der Einsatz von KI?
Deutsche Industrieunternehmen nutzen KI überwiegend für die Optimierung von Produktions- und Fertigungsprozessen, der Steigerung von Produktivität, der Predicitve Maintenance als auch bei der Reduktion von Kosten. Unternehmen aller Branchen zeigen eine große Bereitschaft, in KI-Systeme als wichtige Zukunftstechnologie zu investieren, allerdings sehen viele Unternehmen rechtliche Unsicherheiten beim geplanten Einsatz und der Entwicklung von KI.
Welche juristischen Regeln sind aktuell für den Einsatz von KI relevant?
Der Einsatz von KI-Systemen ist aktuell noch nicht mit einem eigenständigen rechtlichen Rahmen abgedeckt, allerdings besteht jedoch bereits ein breites Regelungswerk auf nationaler sowie auch internationaler Ebene. Hierzu gehören das Vertragsrecht bei Kooperationsverträgen, das Urheberrecht und Patentrecht bei der Nutzung von KI, das Datenschutzrecht und die geplante KI-Verordnung (2021/0106 (COD).
Wie sieht die EU- KI-Verordnung aus?
Der EU-Vorschlag möchte einen einheitlichen Regelungsrahmen auf europäischer Ebene schaffen. Er wird von der geplanten neuen EU-Maschinenverordnung (2021/0105 (COD)) flankiert, bei der es um die Gesamtsicherheit (nicht nur bezogen auf KI) des gesamten Endprodukts geht. Die KI-Verordnung und die neue EU-Maschinenverordnung sollen zeitgleich in Kraft treten – wahrscheinlich 2023 oder später.
Die KI-Verordnung adressiert sowohl Entwickler als auch Nutzer von KI, die diese in ihrem beruflichen Umfeld verwenden. Sie versucht den Einsatz vertrauensvoller KI in der EU zu stärken, indem sie diese in verschiedene Risiko-Kategorien einstuft und gewisse KI-Systeme untersagt, um den Schutz von EU-Grundrechten zu gewährleisten. KI Systeme mit geringem Risiko, wie Chatbots oder Spamfilter, unterliegen außer einzelnen Transparenzpflichten keinerlei regulatorischer Vorgaben, sodass die Verordnung in ihrem Kern Hochrisiko-KI betrifft.
Ein hohes Risiko beim Einsatz von KI-Systemen ergibt sich gemäß der KI-Verordnung aus den zu erwartenden negativen Auswirkungen auf die europäischen Grundrechte. Diese werden beispielsweise beim Einsatz von KI im Bereich von kritischen Infrastrukturen (z.B. im Verkehr), bei Sicherheitskomponenten von Produkten oder der Beschäftigung bzw. Personalmanagement befürchtet. Entsprechend müssen Anbieter und Nutzer vor und während der Marktzulassung umfassende Pflichten berücksichtigen, wie die Konformitätsbewertung, Risikomanagement, Wahrung der menschlichen Aufsicht über das System, technische Dokumentation, Genauigkeit, Robustheit und Cybersicherheit und das Qualitätsmanagement.
Ferner obliegen Anbieter und Nutzer auch die laufende Beobachtung sowie die Meldung von schweren Vorfällen und die Durchführung entsprechender Abhilfemaßnahmen. Bei einem schweren Verstoß gegen Vorgaben dieser Verordnung drohen Unternehmen hohe Bußgelder von bis zu 20 Millionen Euro oder 6 Prozent des weltweiten Jahresumsatzes.
Wie sieht es mit dem Datenschutz aus?
Sobald KI Daten verarbeitet, die die Identifizierung einer natürlichen Person ermöglichen, unterfallen diese Tätigkeiten der EU Datenschutz-Grundverordnung (DSGVO), welche in Deutschland durch das Bundesdatenschutzgesetz (BDSG) ergänzt wird. Die technische Umsetzung der KI ist entscheidend, denn Entscheidungen mit rechtlicher oder grundrechtsbeeinträchtigender Wirkung dürfen nicht allein einer Maschine überlassen werden. Es gelten außerdem die allgemeinen Grundsätze der DSGVO, wie der Grundsatz der Datenminimierung. Personenbezogene Daten dürfen demzufolge ausschließlich für einen angemessenen und erheblichen Zweck sowie in dem dafür erforderlichen erheblichen Maße verarbeitet werden. Diese Grundsätze sind von dem Verantwortlichen durch Technikgestaltung („Privacy by Design“) und datenschutzfreundliche Voreinstellungen („Privacy by Default“) umzusetzen.
Wie beurteilen Sie den Compliance-Aufwand für Unternehmen?
Unabhängig davon, welche genaue technische Gestaltung hinter der KI steckt, kann ein Compliance Aufwand aus datenschutzrechtlicher Sicht durch die Pseudonymisierung personenbezogener Daten entsprechend verringert werden. Idealerweise sollte zur Vermeidung des Unterfallens unter den Anwendungsbereich der DSGVO oder des BDSGs sogar eine Anonymisierung der relevanten personenbezogenen Daten vor der Verarbeitung durch die KI erfolgen.
In Fälle, in denen der Anwendungsbereich der DSGVO weiterhin eröffnet ist, sollten Unternehmen jedenfalls ein nachhaltiges Datenschutzkonzept etablieren. Dazu gehört auch die Durchführung einer Datenschutzfolgeabschätzung sowie die Beachtung der zentralen Prinzipien der DSGVO: Transparenz, Zweckbindung und Verantwortlichkeit bei der Datenverarbeitung.
Zum Zweck der kontinuierlichen Sicherstellung einer rechtlichen Compliance ist es für Unternehmen sinnvoll, neben ihrem Datenschutzbeauftragten auch einen KI-Beauftragten zu benennen, der als zentraler Ansprechpartner für den KI-Einsatz agiert.
Ihr Fazit?
Erfreulich ist, dass die Förderung von Innovationen in der EU als Zielmarke gesetzt ist. Im Ergebnis sehen wir derzeit einen Rechtsrahmen, der zwar noch nicht final aber durchaus vielversprechend ist und eine standortfördernde, zukunftsorientierte Grundlage bildet. Einen neuen Paragraphendschungel wird es wohl nicht geben.
Dr. Andreas Splittgerber ist Partner der globalen Wirtschafts- und Anwaltskanzlei Reed Smith und Mitglied der Tech & Data Group. Er ist spezialisiert auf die Beratungsfelder IT-Recht, Vertragsrecht, Datenschutz, Internet- und Social-Media-Recht.
Joana Becker ist Rechtsanwältin im Münchner Büro der globalen Wirtschafts- und Anwaltskanzlei Reed Smith und Mitglied der Tech & Data Group. Sie berät im Bereich Technologie und Daten, einschließlich Datenschutz, Cybersicherheit, ePrivacy und IT-Verträge.