Am 13.3. war es endlich so weit. Das europäische Parlament gab grünes Licht für den Artificial Intelligence Act (AI Act). Die Verordnung zur Regulierung des Einsatzes von künstlicher Intelligenz gilt künftig für KI-System Hersteller und Unternehmen. Der AI Act ist die erste umfassende KI-Regelung auf europäischer Ebene und wird unmittelbar in allen Mitgliedstaaten gelten. Zielsetzungen des AI Acts sind die Vorgabe einheitlicher Anforderungen an das Design und den Einsatz von KI-Systemen, Grundrechtsschutz und Risikoabwehr sowie Innovationsförderung durch Sandboxes und Begleitmaßnahmen.
Beim Event „Powercouple KI und Arbeitswelt“ ging Jeannette Gorzala, Rechtsanwältin mit Spezialisierung auf KI und Wirtschaftsrecht, genauer auf die Entstehung des AI Acts ein und wie sich Unternehmen jetzt schon darauf vorbereiten können. Der Entwurf des AI Acts aus 2021 entstand aus einer Ethikleitlinie, die bereits 2018 veröffentlicht wurde. Der AI Act gießt die Grundprinzipien der Ethikleitlinie in rechtsverbindliche Regelungen. Vor allem im Bereich Personalmanagement beachtet werden müssen das Verbot von Emotionserkennungssystemen am Arbeitsplatz mit engen Ausnahmen für Sicherheit und medizinische Zwecke sowie die Einführung umfassender Compliance beim Einsatz von KI-Systemen für Tätigkeiten wie Ausschreibungen, Bewerbungsprozesse und Entscheidungen zum Dienstverhältnis (z.B. Beförderung, Arbeitszuteilung, Entlohnung, Beendigung).
Generell wird die Technologie unterteilt in verbotene Systeme, Hochrisiko KI-Systeme, Systeme mit Transparenzpflichten und sogenannte general-purpose KI-Systeme, die insbesondere den Bereich generativer KI abdecken. Als künftig verpflichtende Offenlegungspflicht hervorzuheben ist beispielsweise, Nutzer*innen immer dort zu informieren, dass sie mit einer Maschine oder einem Chatbot interagieren, wo dies nicht klar aus den Umständen hervorgeht. Ebenso müssen KI-generierte Inhalte teilweise als solche gekennzeichnet werden.
Alles neu mit dem AI Act?
Nicht unbedingt – denn bereits vor dem AI Act war ein Teilbereich dieser Technologie in der DSGVO adressiert. Genauer im Artikel 22 – dort wo es um automatisierte Entscheidungen und die Verarbeitung der zugrundeliegenden Daten geht. Die DSGVO gilt bereits. Die Regelungen für KI-Systeme im AI Act sind damit jedoch nicht vergleichbar und eine ganz andere Herausforderung in der Umsetzung. Die Übergangsfristen im AI Act von zwischen 6 und 24 Monaten sollten daher mit Voraussicht genutzt werden, um die Auswirkungen des AI Acts auf die Organisation zu evaluieren, notwendige Prozesse und Policies zu installieren und Mitarbeiter*innen auszubilden.
Unternehmen müssen sich dessen bewusst sein, dass die Einhaltung der DSGVO auch weiterhin in Bezug auf die KI gültig bleibt und es hier daher einer Abstimmung bedarf. Daten und KI gehen Hand in Hand. Wenn KI daher eingesetzt wird und es zu Verstößen und Problemen im Unternehmen kommt, besteht die Gefahr von Strafen nach der DSGVO und dem AI Act. Dies kann aufgrund der empfindlichen Strafdrohungen dieser beiden Regulierungen schnell zu einer potenziellen Existenzbedrohung für Unternehmen führen.
Zudem darf man nicht vergessen, dass der AI Act in das geltende Arbeitsrecht eingebettet ist – das heißt auch hier dürfen Verbindungen nicht übersehen werden. Verantwortungsvoller Einsatz von KI kann Employer Branding und die Reputation von Unternehmen stärken. Ausfälle und Schadensfälle im Zusammenhang mit KI-Systemen, vor allem bei Diskriminierung, können jedoch genauso schnell zu Klagewellen und nachhaltiger Reputationszerstörung führen.
Datensicherheit wird verschärft
Wie Lukas Feiler, Rechtsanwalt bei Baker McKenzie, beim Powercouple-Event in der ARS Akademie betonte, bringt der Einsatz von KI eine große Erleichterung bei der Auswertung von Daten. Daher sollte noch besser auf die DSGVO geachtet werden, um die Rechte einzelner Personen zu wahren.
Ein Lösungsansatz ist z.B. die Synthetisierung von personenbezogenen Daten, um für einen Algorithmus Trainingsdaten zu erzeugen. Man erstellt also aus dem ersten personenbezogenen Datenset ein zweites (synthetisches) Datenset, das keinen einzigen Datensatz des ersten beinhaltet aber dieselben statistischen Eigenschaften aufweist – z.B. derselbe Prozentsatz der im Datenset abgebildeten Personen hat drei Kinder. Damit ist es zwar ein fiktives Datenset und nicht mehr einer realen Person zuordenbar, hat aber denselben technischen Wert für das Training eines Algorithmus.
Wer im Rahmen der Vollautomatisierung von Geschäftsprozessen personenbezogene Daten verarbeitet, muss sich zudem nicht nur in Zukunft mit dem AI Act, sondern bereits jetzt mit der DSGVO auseinandersetzen, die hierfür strenge Regeln auferlegt. Dazu gehört die Offenlegung der involvierten Logik und die Pflicht, auf Antrag des Betroffenen die Entscheidung der KI einer menschlichen Kontrolle zu unterwerfen.
Überblick im Gesetzesdschungel behalten
Mit in Kraft treten des AI Acts wird die EU zum Vorreiter und bringt ein striktes Regelwerk hervor, das die europäischen Unternehmen unbedingt aktiv nutzen sollten. Idealerweise bereits vor gestaffeltem Inkrafttreten. Für Unternehmen ist daher eine sorgfältige Vorbereitung und aktives Einholen von Informationen wichtig.
Der 272 A4-Seiten starke AI Act ist ein umfassendes Regelwerk, dessen gewissenhafte Erarbeitung einiges an Zeit in Anspruch nimmt. Daher findet in der ARS Akademie am 20.06.2024 erstmals ein eintägiges Seminar zum AI Act und der EU Datenstrategie statt. Hier erhalten die Teilnehmer*innen fundiertes Wissen sowie praktische Strategien. Damit minimieren sie rechtliche Risiken und nutzen gleichzeitig Chancen, die sich aus dieser digitalen Transformation ergeben.
Mehr Informationen: AI Act & EU Datenstrategie
Weiter zum Unternehmensprofil