Donnerstag, 25. April 2024

Das Recht der Künstlichen Intelligenz: Herausforderungen & Risiken

EU-KI-Verordnung: Zeitplan & Anwendungsbereich ● KI-Systeme: Verbo-tene, Hochrisiko & General Purpose AI ● Sanktionen ● Best Practice zur Implementierung von KI-Systemen

Baris Cem Batur, Rechtsanwalt bei der AWADO Rechtsanwaltsgesellschaft mbH mit Beratungsschwerpunkt im Datenschutz- und IT-Recht sowie dem Recht der neuen Technologien

 

Das Inkrafttreten des neuen europäischen Rechts zur Regulierung der Technologie der Künstlichen Intelligenz steht unmittelbar bevor (nachfolgend: KI-Verordnung). Bereits vor der Europawahl im Juni 2024 wird die formelle Bestätigung des Entwurfes durch das Europäische Parlament und die Veröffentlichung im Gesetzesblatt erwartet. Die meisten Bestimmungen werden nach einer zweijährigen Umsetzungsfrist gelten. Wobei einige Ausnahmen von diesem Grundsatz bestehen, sodass sechs bzw. zwölf Monate nach Inkrafttreten der KI‑Verordnung bereits Verbotsnormen sowie konkrete Rechte und Pflichten gelten werden.

Der Verordnungsentwurf verfolgt einen risikobasierten Ansatz und reiht sich mithin als „Risikominimierungsgesetz“ in die EU-Regulatorik im Bereich der Digitalisierung nahtlos ein. Verfolgt zum Beispiel die Datenschutz‑Grundverordnung noch einen technikneutralen Ansatz der Regulierung, so ist die KI‑Verordnung eine technikfokussierte Regulierung. Daher gilt es, diese Technologie und ihre Funktionsweise zu verstehen und rechtssicher zu definieren.

Die Definition gelingt dem Verordnungsgeber allerdings nur bedingt.

Als KI-Systeme sollen maschinengestützte Systeme gelten, die so ausgestaltet sind, dass sie mit einem unterschiedlichen Grad an Autonomie operieren können, nach ihrer Inbetriebnahme anpassungsfähig sind und aus den erhaltenen Eingaben, Empfehlungen oder Entscheidungen hervorbringen, die physische oder virtuelle Umgebungen beeinflussen können.

Die Definition bedient sich mehrerer weiterer Begriffe, die nicht in der KI-Verordnung definiert, sondern vielmehr vorausgesetzt werden. Dies birgt eine kaum zu begrüßende Rechtsunsicherheit. Jedenfalls sollen sogenannte Systeme des „Machine Learning“ und „Deep Learning“ als KI‑Systeme im Sinne der KI-Verordnung gelten. Mithin ist mit hinreichender Wahrscheinlichkeit davon auszugehen, dass die generativen KI‑Sprachmodelle (sog. Large Language Models) „ChatGPT“ und „Copilot“ der US-amerikanischen Softwareunternehmen Open AI bzw. Microsoft als solche zu fassen sind.

Im Rahmen des Verordnungsentwurfs ist vorgesehen, dass sowohl KI-Systemanbieter, die ihr KI-System in der Europäischen Union anbieten oder betreiben, als auch KI-Anwender in der Europäischen Union, d. h. sowohl natürliche als auch juristische Personen, die ein KI-System in eigener Verantwortung verwenden, mit Rechten und Pflichten versehen werden.

Gemäß dem risikobasierten Ansatz der KI-Verordnung werden Risikostufen mit verschiedenen Pflichtenkatalogen definiert. Dabei handelt es sich um sogenannte verbotene KI-Systeme, Hochrisiko-KI-Systeme, KI-Systeme mit Transparenzanforderungen aufgrund der Interaktion mit natürlichen Personen sowie sonstige KI-Systeme. Die Bandbreite des Pflichtenkataloges ist breit angelegt, und zwar vom Verbot bis hin zur einfachen Informations- und Transparenzpflicht.

Abseits der Risikostufen bestimmt die KI-Verordnung auch für „KI für allgemeine Zwecke“ (engl. „General Purpose AI“) aufgrund ihrer Funktion und des Nutzens in der KI-Wertschöpfungskette besondere Rechte und Pflichten (ChatGPT und Copilot werden höchstwahrscheinlich unter diese Bestimmungen fallen). Diese bewegen sich insbesondere im Bereich des Risikomanagements durch zu implementierende technische und organisatorische Maßnahmen sowie der Dokumentation zu Prüfungszwecken.

Nicht zu vergessen ist der umfangreiche Sanktionskatalog der KI-Verordnung, der unter anderem auch Bußgelder für Rechtsverletzungen vorsieht, die sogar den in der Datenschutz‑Grundverordnung vorgesehenen Rahmen übersteigen.

Zu empfehlen ist daher, bereits jetzt eine Bestandsaufnahme von KI-Systemen in der Bank durchzuführen sowie eine KI-Governance anhand von zu definierenden Leitlinien zu implementieren.

Hierzu könnte die Schaffung von Verbindlichkeiten durch die Bestellung eines KI-Beauftragten/einer KI-Beauftragten sich als zweckmäßig erweisen; die KI-Verordnung sieht allerdings eine solche Pflicht nicht vor.

Des Weiteren sind regelmäßige Audits und Schulungen der Mitarbeiterinnen und Mitarbeiter zu empfehlen, die eines technischen und rechtlichen Know‑hows in diesem spannenden Themenkomplex bedürfen. Hierzu sollten in der Bank zunächst Know-how-Träger und Interessierte ausfindig gemacht und aber auch der Arbeitsmarkt sondiert werden.

 

PRAXISTIPPS

  • Die KI-Verordnung wird eine umfangreiche Regulatorik für KI-Systemanbieter und KI-Anwender mit sich bringen, sodass es bereits zum jetzigen Zeitpunkt angezeigt ist, eine Bestandsaufnahme bezüglich der verwendeten KI-Systeme vorzunehmen.
  • Sofern KI-Systeme in der Bank eingesetzt werden, so bedarf es der Definition von neuen Anforderungen und der Herbeiführung von neuen Maßnahmen und Standards betreffend den Datenschutz, Urheberschutz oder auch dem Schutz von Geschäftsgeheimnissen.
  • Im Fokus der Banken sollten regelmäßig die Risikominimierungsmaßnahmen und damit eine angemessene KI-Governance stehen.

Beitragsnummer: 22588

Beitrag teilen:

Produkte zum Thema:

Produkticon
Handbuch Datenmanagement, 2. Auflage

119,00 € inkl. 7 %

Produkticon
Das Recht der Künstlichen Intelligenz: Herausforderungen & Risiken

255,00 € exkl. 19 %

28.05.2024

Beiträge zum Thema:

Beitragsicon
Datenschutzprüfungen effizient vorbereiten

Bestellungspflicht von Datenschutzbeauftragten, Künstliche Intelligenz und zunehmende Prüfungen der Umsetzung datenschutzrechtlicher Anforderungen.

08.04.2024

Beitragsicon
Leistungsstörungen im Bauträger-Vertragsverhältnis – Fokus Bauträger

Leistungsstörungen bei Bauträger-Vertragsverhältnissen lösen Rechts- und Finanzierungsfragen aus. Hier werden die Folgen in der Bauträger-Sphäre behandelt.

30.04.2024

Beitragsicon
Fit & Proper im neuen EU-Bankenpaket mit CRR III, CRD VI, Enforcement

Neue Anforderungen zur Eignung von Geschäftsleitern, Aufsichtsräten, Schlüsselfunktionen mit fachlicher Begründung zur Positionsbesetzung im neuen Fit & Prope

13.02.2024

Beitragsicon
Verstärkte Sorgfaltspflichten bei der Geldwäscheprävention

Welchen Einfluss Länderlisten bei der Geldwäscheprävention haben und was bei verstärkten Sorgfaltspflichten im Umgang mit Hochrisikoländern zu beachten ist.

08.08.2022

Beitragsicon
Der Fachkräftemangel in Banken – schlafwandelnd in die Krise?

Der Fachkräftemangel ist für die Banken ein existenzbedrohendes Risiko. Nur ein radikales Umdenken kann zu zukunftsorientierten Lösungen führen.

27.01.2023

Beitragsicon
Neue EU-RL: Im Fernabsatz geschlossene Finanzdienstleistungsverträge

Zur Sicherung der Verbraucher-Rechte bei den im Fernabsatz geschlossenen Verbraucherverträge sind grundlegende Änderungen zukünftig in der Bank umzusetzen.

25.04.2024

Beitragsicon
Einhaltung güterbezogener Sanktionen in internationalen Finanzierungen

Umfangreiche güterbezogene Sanktionen und Risiken der Sanktionsumgehung erfordern eine Prüfung und ggf. Anpassung bestehender Sicherungsmaßnahmen.

07.07.2023

Beitragsicon
DORA umsetzen: So gelingt effizientes Management der IKT-Dienstleister

Um DORA-Berichtspflichten nachweislich und ressourcenschonend zu erfüllen, gilt es, Auslagerungsprozesse durchdacht zu digitalisieren.

02.05.2024

Um die Webseite so optimal und nutzerfreundlich wie möglich zu gestalten, werten wir mit Ihrer Einwilligung durch Klick auf „Annehmen“ Ihre Besucherdaten mit Google Analytics aus und speichern hierfür erforderliche Cookies auf Ihrem Gerät ab. Hierbei kommt es auch zu Datenübermittlungen an Google in den USA. Weitere Infos finden Sie in unseren Datenschutzhinweisen im Abschnitt zu den Datenauswertungen mit Google Analytics.