KI-Regulierung: Was regelt der EU AI Act?

Der AI Act verfolgt einen sogenannten risikobasierten Ansatz und regelt insbesondere die Risikoklassifizierung der unterschiedlichen KI-Systeme sowie die Anforderungen an Hochrisiko-KI-Systeme und GPAI-Systeme (General Purpose AI). Danach sind die Vorgaben umso strenger, je höher das Risiko der Anwendung eingeschätzt wird.

Zudem besteht eine Transparenzpflicht: Künstlich erzeugte oder bearbeitete Inhalte sind eindeutig als solche zu kennzeichnen. Die Verordnung betrifft Nutzer und Betreiber von KI-Systemen ebenso wie Anbieter, Importeure, Händler oder Hersteller von KI-Systemen.

Unsere Services im Bereich EU AI Act

  • AI Act
    • Compliance: Unterstützung bei der Einhaltung der gesetzlichen Vorgaben des AI Acts, einschließlich der Implementierung von Risikomanagement- und Qualitätsmanagementsystemen
    • Risikobewertung: Analyse und Bewertung der Risiken, die durch den Einsatz von Hochrisiko-KI-Systemen entstehen können
    • Dokumentation und Berichterstattung: Hilfe bei der Erstellung der notwendigen Dokumentationen und Berichte, die gemäß dem AI Act erforderlich sind
       
  • Vertragsgestaltung
    • Erstellung und Prüfung von Verträgen im Zusammenhang mit der Nutzung und Entwicklung von KI-Systemen
       
  • Datenschutz
    • Beratung zu datenschutzrechtlichen Fragen, insbesondere im Hinblick auf die Verarbeitung großer Datenmengen durch KI-Systeme
       
  • IP-Recht
    • Schutz von geistigem Eigentum, das durch KI-Systeme generiert wird, und Beratung zu Lizenzierungsfragen
       
  • Technologie- und IT-Recht
    • Unterstützung bei rechtlichen Fragen rund um Softwareentwicklung, IT-Outsourcing und Cloud-Computing
Dr. Jörg Buschbaum, LL.M.

Dr. Jörg Buschbaum, LL.M.

Partner

Rechtsanwalt, Fachanwalt für Arbeitsrecht

Dr. Christian Engelhardt, LL.M.

Dr. Christian Engelhardt, LL.M.

Partner

Rechtsanwalt

Was können wir für Sie tun?

Sprechen Sie mit uns – einfach unverbindlich

Kontakt aufnehmen

Was sind KI-Systeme und wie erfolgt die Risikoklassifizierung?

KI-Systeme werden nach Risikoklassifizierung kategorisiert.
Die KI-Verordnung unterscheidet zwischen vier Risikoklassen.

Die rechtskonforme Zuordnung von KI-Systemen zu einer der Risikokategorien ist im Kontext der KI-Verordnung und der KI-Haftungsrichtlinie relevant. Ein KI-System ist hiernach ein maschinengestütztes System, das so konzipiert ist, dass es mit unterschiedlichem Grad an Autonomie operieren und nach dem Einsatz Anpassungsfähigkeit zeigen kann – für explizite oder implizite Ziele aus den Eingaben, die es erhält.

KI-Systeme, die ein unannehmbares Risiko mit sich bringen, sind verboten, da sie eine Bedrohung für die Menschen darstellen. Dazu zählen biometrische Echtzeit-Fernidentifizierungssysteme und KI-Systeme, die soziale Beeinflussung (Social Scoring) oder Manipulationstechniken ermöglichen. 

Daneben bestehen Hochrisiko-KI-Systeme. Diese stellen ein hohes Risiko für die Gesundheit und Sicherheit oder für die Grundrechte natürlicher Personen dar, sind aber erlaubt. Daher unterliegen deren Entwicklung und Nutzung umfassenden Dokumentations-, Überwachungs- und Qualitätsanforderungen. KI-Systeme, die ein begrenztes Risiko für den Endnutzer darstellen, sind solche, die für die Interaktion mit natürlichen Personen bestimmt sind. Sie unterliegen einer begrenzten Anzahl von Transparenzverpflichtungen. KI-Systeme, denen ein minimales Risiko zugeschrieben werden, sind ohne Weiteres zulässig.

Welche Vorgaben gelten bei hohem Risiko?

Hochrisiko-KI-Systeme werden in zwei Kategorien unterteilt: Darunter fallen einerseits KI-Systeme, die in Produkten verwendet werden, die unter die Produktsicherheitsvorschriften der EU fallen. Andererseits handelt es sich auch um KI-Systeme, die in sensible Bereiche wie Gesundheit, Verkehr, Justiz oder Polizei fallen und die in einer EU-Datenbank registriert werden müssen. Bei Hochrisiko-KI-Systemen besteht insbesondere die Pflicht der Errichtung eines Risikomanagementsystems, der Aufzeichnung und Transparenz, der Erstellung einer technischen Dokumentation, der Pflicht zur Aufsicht durch Menschen und der Pflicht, dass diese KI-Systeme ein angemessenes Maß an Genauigkeit, Robustheit und Cybersicherheit erreichen.

KI Governance

Ein zentraler Aspekt ist dabei die sogenannte KI-Governance. Diese beschreibt die Gesamtheit der Maßnahmen, die den ethischen und rechtlichen Einsatz von Künstlicher Intelligenz gewährleisten. Transparenz, Fairness und die Einhaltung von Datenschutzbestimmungen sind hier entscheidend. 

Für Unternehmen bedeutet dies, dass die Funktionsweise ihrer KI-Systeme nachvollziehbar gestaltet sein muss, um Vertrauen bei Nutzern und Behörden zu schaffen. Darüber hinaus müssen mögliche Verzerrungen in den Algorithmen aktiv verhindert und Sicherheitslücken vermieden werden. Dies kann nur durch die regelmäßige Schulung der Mitarbeiter und durch klare Richtlinien gelingen. Die richtige Governance trägt somit wesentlich dazu bei, dass die Vorteile von KI ausgeschöpft werden können, während Risiken kontrolliert bleiben.

GPAI-Systeme (General Purpose AI) sind KI-Systeme mit allgemeinem Verwendungszweck. Anbieter von GPAI-Systemen müssen spezielle Anforderungen erfüllen, wie die Erstellung und Aktualisierung von Informationen und Dokumentationen sowie die Einhaltung des Urheberrechts. GPAI-Systeme sind der allgemeinen Risikoklassifizierung zugänglich und unterliegen den entsprechenden Anforderungen.

KI und Datenschutz – Wie geht das zusammen?

Die Lösung ist vielschichtig und machbar. Unabhängig von der KI-Verordnung sind beim Einsatz von Künstlicher Intelligenz bereits jetzt sämtliche gesetzlichen Regelungen zum Datenschutz einzuhalten, sofern mit der KI personenbezogene Daten verarbeitet werden.

Die Grundsätze der DSGVO wie Rechtmäßigkeit, Zweckbindung, Transparenz, Datenminimierung und Richtigkeit sind einzuhalten.

  • Rechtmäßigkeit bedeutet, eine Datenverarbeitung muss durchgängig auf Rechtsgrundlagen gestützt werden können, welche es erlaubt, die personenbezogenen Daten für konkrete Zwecke zu verarbeiten
  • Insbesondere die Informiertheit einer Einwilligung ist aufgrund der Komplexität der KI zweifelhaft
  • Informationspflichten nach Art. 13, 14 DSGVO
  • Dokumentation – Beschreibung des KI-Systems im Verzeichnis der Verarbeitungstätigkeiten
  • Aufnahme von KI in die Datenschutzerklärung
  • Unterscheidung zwischen alleiniger Verantwortlichkeit, Auftragsverarbeitung oder gemeinsamer Verantwortlichkeit und entsprechende vertragliche Regelungen
  • Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen (Art. 25 DSGVO)
  • Technische und organisatorische Maßnahmen gemessen am Stand der Technik (Art. 32 DSGVO)
  • Sensibilisierung von Mitarbeitenden und Durchführung von Schulungen
  • Durchführung einer Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO:
  • Blacklist der DSK - Nr. 11: Die Durchführung einer DSFA ist u.a. beim Einsatz von KI zur Verarbeitung personenbezogener Daten, zur Steuerung der Interaktion mit den Betroffenen oder zur Bewertung persönlicher Aspekte der betroffenen Person zwingend erforderlich

Welchen Einfluss hat die KI-Verordnung auf die Arbeitswelt?

Nach der KI-Verordnung sind KI-Systeme, 

  • die für die Einstellung oder Auswahl natürlicher Personen verwendet werden sollen (z.B. Analyse und Filterung von Bewerbungen, Bewertung von Bewerbern)
  • die dazu bestimmt sind, Entscheidungen zu treffen, die sich insbesondere auf die Beendigung und die Bedingungen von Arbeitsverhältnissen auswirken

als Hochrisiko-KI-Systeme einzustufen. Insoweit treffen den Nutzer bzw. Betreiber von KI-Systemen, ebenso wie Anbieter, Importeure, Händler oder Hersteller von KI-Systemen besondere Pflichten.

Mitbestimmungsrechte des Betriebsrates

Dem Arbeitgeber steht es zu, das „Ob“ der Einführung von KI im Arbeitsverhältnis zu bestimmen. Bei dem „Wie“ sind jedoch die Mitbestimmungsrechte des Betriebsrates zu berücksichtigen. Insbesondere sieht § 87 Abs. 1 Nr. 6 BetrVG ein Mitbestimmungsrecht bei der Einführung und Anwendung von technischen Einrichtungen, die objektiv dazu geeignet sind, Verhalten oder Leistung der Arbeitnehmer zu überwachen, vor.

Wenn der Betriebsrat zur Durchführung seiner Aufgaben die Einführung und Anwendung von KI beurteilen muss, so hat er das Recht, einen Sachverständigen heranzuziehen. Der Arbeitgeber hat den Betriebsrat über die Planung des Einsatzes von KI so frühzeitig wie möglich zu unterrichten.

Diskriminierung

Auch durch die Verwendung von KI-Systemen sind Diskriminierungen – ebenso wie durch menschliche Entscheidungen – möglich. Dies liegt daran, dass KI-Anwendungen von Menschen mit möglicherweise bereits nicht repräsentativen Trainingsdaten gefüttert werden und somit zu einer Ungleichbehandlung führen können. Doch wie kann dem juristisch begegnet werden? Schutz bietet auch hier das Allgemeine Gleichbehandlungsgesetz (AGG), wonach Beschäftigte weder unmittelbar noch mittelbar aufgrund der dort genannten Diskriminierungsmerkmale benachteiligt werden dürfen. Aufgrund der technologieneutralen Formulierung des AGG können hiervon auch Entscheidungen durch KI-Anwendungen erfasst sein. Im Fall einer Diskriminierung stehen dem Benachteiligten also Entschädigungs- und Schadensersatzansprüche aus dem AGG zu.

Höchstpersönlichkeit der Arbeitsleistung

Schon jetzt verwenden Arbeitnehmer KI-Anwendungen am Arbeitsplatz, wie DeepL zum Übersetzen oder Copilot / ChatGPT zum Verfassen von Texten. Jedoch hat der Arbeitnehmer seine Arbeitsleistung persönlich zu erbringen, er kann seine Arbeitsleistung also grundsätzlich nicht an Dritte delegieren. Fraglich ist somit, ob die Übertragung von Arbeitsaufgaben auf eine KI-Anwendung einen unzulässigen Einsatz einer Hilfsperson oder den zulässigen Einsatz eines Hilfsmittels darstellt.

Entscheidend dürfte hierbei sein, dass das Arbeitsergebnis durch den Arbeitnehmer hinreichend auf Fehlerhaftigkeit geprüft und nicht ungeprüft als sein eigenes Arbeitsprodukt ausgegeben wird. Vor diesem Hintergrund empfiehlt es sich, betriebsinterne Richtlinien zum Umgang mit KI-Anwendungen zu erstellen und die Mitarbeiter diesbezüglich zu schulen.

Ausblick: Rechtssicherheit als Schlüssel einer erfolgreichen Transformation

Das Inkrafttreten der KI-Verordnung ist zu begrüßen und vor dem Hintergrund des Diskriminierungsrisikos auch erforderlich, denn es ist zu erwarten, dass die Bedeutung der KI in der arbeitsrechtlichen Praxis erheblich zunehmen wird. Die Schnittstellen zwischen der KI und dem Arbeitsrecht waren bereits Gegenstand von gerichtlichen Entscheidungen

Von den Anforderungen der KI-Verordnung sind sämtliche Unternehmen betroffen. Es ist damit zu rechnen, dass die Thematik der Künstlichen Intelligenz in den nächsten Jahren erheblich zunehmen wird. Dies hat mehrere Gründe: Zuletzt hat die Datenschutz-Organisation Noyb Beschwerde gegen OpenAI eingereicht, weil das Generieren von ungenauen Informationen über Einzelpersonen gegen Art. 5 DSGVO verstoße und das Recht auf Berichtigung sowie Löschung des Betroffenen nicht gewährleistet werde. 

Der Einsatz von KI bietet für Unternehmen unzweifelhaft große Chancen. Umso mehr lohnt es sich, die Implementierung von Anfang an auf solide rechtliche Grundlagen zu stützen. Gerne sind wir Ihnen bei allen Praxisfragen rund um den Datenschutz sowie bei der Einhaltung der Compliance-Anforderungen behilflich.

Weitergehende Informationen zur KI-Verordnung werden im Rahmen der Veranstaltungsreihe zum Thema "Update Datenschutzrecht"  näher erläutert.