Ob im Marketing, im Vertrieb oder für Sprach- und Textverarbeitungen. Die möglichen Anwendungsbereiche für KI-Systeme nehmen stetig zu – mit ihnen auch die Anbieter innovativer KI-Anwendungen. In einigen Unternehmen sind KI-Anwendungen bereits jetzt nicht mehr aus dem Alltag wegzudenken.
Unabhängig von dem aktuellen Einsatzumfang, ist eines vermutlich allen Unternehmen gemein: Es gibt ein enormes Entwicklungspotenzial für KI-Anwendungen im Unternehmensalltag. Neben diesem Entwicklungspotenzial stehen hohe rechtliche Anforderungen, die gemeistert, aber nicht zum Showstopper werden müssen. Einen Überblick der zentralen rechtlichen Anforderungen für Einsatz von KI-Anwendungen bietet dieser Artikel.
Die neue KI-Verordnung
Ein weiterer Schritt in Richtung – wie es Bundesjustizminister Buschmann ausgedrückt hat – „Balance zwischen Innovation und Risikoschutz“ ist die KI-Verordnung der EU, die am 21.05.2024 vom Rat der Europäischen Union gebilligt wurde und zeitnah in Kraft treten wird. Die KI-Verordnung soll Innovationen durch KI möglich machen und stärken sowie gleichzeitig einen sicheren rechtlichen Rahmen zum Umgang mit den Risiken von KI-Anwendung schaffen.
Grundlage der KI-Verordnung ist ein risikobasierter Ansatz. KI-Systeme werden durch ein komplexes Geflecht aus Anlagen und Verweisungen in verschiedene Risikokategorien eingeordnet: Für die Praxis wird die Einordnung als Hochrisiko-KI oder als sog. General-purpose AI besonders relevant und bildet eine entscheidende Weichenstellung. Daran knüpfen jeweils umfangreiche Pflichten für NutzerInnen der KI-Anwendung an. Die Pflichten betreffen zum Beispiel die Einführung von Risikomanagementsystem, das Führen technischer Dokumentationen und Transparenzpflichten gegenüber den Usern. Der Pflichtenkatalog für Anbieter solcher KI-Anwendungen ist noch umfangreicher.
Die komplexen Regelungen zur Anwendbarkeit der KI-Verordnung machen ein genaues Hinsehen umso wichtiger – nicht zuletzt, da auch die KI-Verordnung ähnlich wie die DSGVO empfindliche Sanktionierungen für Verstöße vorsieht.
Einige KI-Systeme werden durch die KI-Verordnung sogar endgültig verboten. Betroffen sind hauptsächlich Technologien mit besonders hohem Risiko für Menschen, etwa KI-Anwendungen zur Steuerung biometrischer Videoüberwachungen oder zur Verhaltenssteuerung.
Täglich grüßt der Datenschutz
KI-Anwendungen verarbeiten fast immer personenbezogene Daten, sodass auch die DSGVO zu beachten ist. Dabei gibt es einige rechtliche Herausforderungen zu bewältigen: Es sind etwa datenschutzrechtliche Verträge zu schließen, Betroffene umfassend zu informieren und die Einhaltung der Betroffenenrechte sicherzustellen (wie beispielsweise Auskunft und Löschung).
Dass sogar die Datenschutz-Aufsichtsbehörden Leitfäden zur (datenschutzkonformen) Nutzung von KI-Anwendungen herausgeben, zeigt, dass ein datenschutzkonformer Einsatz von KI-Anwendungen möglich ist – es gilt dabei jedoch wie so oft im Leben: „Man muss es halt nur richtig machen.“
Wem gehören eigentlich die Ergebnisse der KI?
Wenn eine KI-Anwendung im Unternehmen eingesetzt werden soll, stellt sich zwangsläufig die Frage, wem die Ergebnisse der KI gehören. Aus Unternehmenssicht besteht ein großes Interesse daran, die Ergebnisse der KI rechtssicher und wie „normale“ Arbeitsergebnisse der Beschäftigten nutzen zu können.
In dieser Hinsicht sind noch viele Rechtsfragen ungeklärt. Klar ist jedoch, dass die rechtssichere Nutzungsmöglichkeit der Ergebnisse der KI, von Unternehmen etwa bei der Vertragsgestaltung und im Rahmen der internen Leitlinien zum Umgang mit KI berücksichtigt werden sollten.
Fazit
Das Inkrafttreten der europäischen KI-Verordnung steht kurz bevor und bringt eine Vielzahl Herausforderungen mit sich. Eine frühzeitige Vorbereitung ist hier das beste Mittel, um die kommenden Änderungen zu bewältigen und ein Umsetzungschaos (wie wir es oft nach Einführung der DSGVO gesehen haben) zu vermeiden.
