Schlagwort: KI-Verordnung

Meine Firma setzt ChatGPT ein. Darf sie das?

Posted on by Eilert Stamm

Dieser Beitrag erläutert am Beispiel eines sehr häufigen Szenarios, wie sich die KI-VO auf den Einsatz einer weit verbreiteten KI-Lösung auswirkt.

In dem hier zugrunde liegenden Szenario möchte ein Unternehmen den Chatbot ChatGPT ohne weitere Anpassungen unter einem firmeneigenen Namen, z. B. „Firma-Bot“, seinen Mitarbeitern zur internen Verwendung mit eingeschränkten Anwendungsmöglichkeiten anbieten. Die Mitarbeiter sollen eingeladen werden, den Chatbot für das Verbessern eigener Texte einzusetzen, um neue Texte wie z. B. Anleitungen zu generieren, um aus einem Input von unternehmenseigenen Dokumenten Zusammenfassungen zu erstellen oder bestehende Sharepoints mit der Chatbot zu verbinden, um eine fortgeschrittene Suche in diesen Datenablageorten zu ermöglichen.

Kann das Unternehmen ChatGPT so rechtskonform einsetzen? Dies wollen wir uns im Folgenden anhand der zu erwägenden Punkte anschauen:

Was ist ChatGPT aus Sicht der KI-VO?

ChatGPT ist ein KI-gestützter Chatbot. Er wurde von dem US-amerikanischen Softwareunternehmen OpenAI, Inc. entwickelt, um menschenähnliche Konversationen zu führen. Aus Sicht der KI-VO ist der Chatbot ein KI-System, dessen Output auf dem KI-Modell GPT-4 basiert, welches ebenfalls von OpenAI, Inc. entwickelt wurde. Ein KI-Modell ist ein System von Algorithmen, welches trainiert wird, um bestimmte Lösungsfähigkeiten zu erwerben. Bei GPT-4 handelt es sich um ein Large Language Modell, welches auf das Erkennen und Verarbeiten von Sprache trainiert wurde. Das Modell stellt also die Grundlage der Leistungsfähigkeit des Chatbots dar, das Modell kann aber auch zu anderen Zwecken verwendet. Eine Firma, die den Chatbot ChatGPT einsetzt, setzt hingegen nur das KI-System ein. Auch wenn die Fähigkeiten des Modells zum Einsatz kommen, übernimmt der Verwender des Produkts ChatGPT zunächst keine Verantwortung für das zugrunde liegende KI-Modell.

Was sollte mein Unternehmen beachten?

Welche Pflichten die KI-VO einem Unternehmen beim Einsatz eines KI-Systems auferlegt, hängt insbesondere von zwei Faktoren ab: 1. Welche Risikoeinstufung liegt vor? Und 2. Welche Rolle nimmt das Unternehmen ein?

Liegt ein inakzeptables oder hohes Risiko vor?

Wie in unserem vorherigen Beitrag geschildert, hängt die Risikoeinstufung auch vom konkreten Verwendungszweck ab. In unserem Szenario ist der Verwendungszweck durch die unternehmensinterne Richtlinie eingeschränkt. Die Kriterien für inakzeptable Risiken aus Art. 5 Abs. 1 KI-VO treffen bei den vorgenannten Anwendungsmöglichkeiten offensichtlich nicht zu. Ebenso fällt der für dieses Szenario skizzierte Verwendungszweck in keinen der in Anhang III KI-VO genannten Bereiche mit grundsätzlich hohem Risiko. Der Chatbot als Produkt fällt auch nicht unter die Liste der Harmonisierungsrechtsvorschriften in Anhang I KI-VO. Somit handelt es sich nicht um ein Hochrisiko-System und die entsprechenden Pflichten können vermieden werden.

Welche Rolle beim Einsatz von ChatGPT?

Wie ebenfalls in einem unserer früheren Beiträge dargestellt, unterscheidet die KI-VO zwischen verschiedenen Rollen, wie zum Beispiel Anbieter und Betreiber. Dabei sind einem Anbieter mehr Pflichten auferlegt als einem Betreiber. Wer ein KI-System nicht selbst entwickelt, aber in eigener Verantwortung verwendet, gilt als Betreiber. Dies trifft also auch auf das Unternehmen in unserem Szenario zu. Handelt es sich jedoch um ein Hochrisikosystem, würde das Unternehmen durch die Inbetriebnahme unter eigenem Namen allerdings zu einem Anbieter. Dies gilt jedoch nicht für Systeme von begrenztem oder minimalem Risiko, also auch hier nicht. Allerdings bleibt ein Unternehmen, welches eine KI-System einsetzt, nur dann ein Betreiber, wenn das KI-System auch gemäß der Zweckbestimmung verwendet wird, welche wiederum der Anbieter festgelegt. Auch diese Bedingung sollte in unserem Szenario erfüllt sein.

Welche Pflichten ergeben sich?

Somit handelt es sich in dem Szenario um die Inbetriebnahme eines KI-Systems zum Eigengebrauch durch einen Betreiber entsprechend der Zweckbestimmung, wobei das KI-System kein hohes Risiko aufweist.

Den Betreiber treffen daher zunächst die allgemeinen Pflichten aus der KI-VO, die so oder so ähnlich für alle Betreiber von KI-Systemen gelten. Nach Art. 4 KI-VO muss das Unternehmen sicherstellen, dass die Betroffenen das notwendige Wissen und Verständnis für KI-Systeme, die sogenannte KI-Kompetenz, aufweisen. Dies kann durch einen Bildungsabschluss oder Berufserfahrung gegeben sein oder muss durch Schulungen und Informationsmaterial vom Unternehmen nachgezogen werden.

Beim Einsatz eines Chatbots wirken insbesondere die Transparenzpflichten nach Art. 50 Abs. 1 KI-VO. So muss das Unternehmen die eigenen Mitarbeiter darüber informieren, dass sie mit einem KI-System interagieren. Da dies beim Einsatz von ChatGPT für die meisten Mitarbeiter offensichtlich ist, kann diese Pflicht ohne großen Aufwand erfüllt werden. Darüber hinaus sind weitere Compliance-Pflichten zu berücksichtigen. Beim Einsatz von ChatGPT sind insbesondere daten-, geheimnis- und urheberschutzrechtliche Aspekte zu beachten. So muss zum einen der Umgang mit den von den Mitarbeitern eingegebenen Input geregelt werden und umgekehrt diese auch über die spezifischen rechtlichen Herausforderungen eines Chatbots informiert werden, z. B. wenn diese in Prompts oder verwendetem Material dem Chatbot personenbezogenen Daten zur Verfügung stellen wollen.

Aber Vorsicht! Der Einsatz von ChatGPT unter anderen Bedingungen und mit anderen Verwendungszwecken kann eine andere Risikoeinstufung und andere Pflichten nach sich ziehen.

Was sollte mein Unternehmen tun?

Sofern der eingesetzte Chatbot nicht das einzige im Unternehmen eingesetzte KI-System ist, sollte der Einsatz in eine übergeordnete KI-Compliance-Strategie eingebettet sein. Dazu gehört beispielsweise eine systematische Dokumentation der eingesetzten KI-Systeme, eine allgemeine KI-Richtlinie etc. Hierzu werden wir in Kürze einen eigenen Blogbeitrag zur Verfügung stellen.

Für den Einsatz von Chatbots im Speziellen empfiehlt es sich, klare Regeln für die Beschäftigten aufzustellen:

  • Dies beginnt mit Vorgaben, wie, von wem und wofür der Chatbot überhaupt genutzt werden darf. Und wofür nicht, wie bspw. private Zwecke.
  • Darüber hinaus sollten Vorgaben zum zulässigen Input definiert sein, also zum Inhalt der Prompts oder der eingestellten Texte und Dokumente bzw. auch zur Bereinigung dieser vor Eingabe. Denn dieser Input kann sensible personenbezogene Daten enthalten oder Rückschlüsse zulassen, aber auch Geschäftsgeheimnisse oder andere Informationen dem Anbieter des Bots übermitteln. Hilfreich ist es hierfür, Muster für oft verwendete Prompts und übliche zu bereinigende Informationen vorzudefinieren. Zum anderen sollten nachvollziehbare Bestimmungen erlassen werden, in welcher Form der vom Chatbot generierte Output genutzt werden kann.
  • Gänzlich untersagt werden sollte einerseits die Verarbeitung von personenbezogenen Daten, sofern Datenflüsse vom eingesetzten Chatbot zu OpenAI, Inc. möglich sind. Andererseits die Verwendung der im Unternehmen eingegebenen und generierten Daten für das weitere Training des Modells durch OpenAI, Inc.
  • Darüber hinaus sollte in regelmäßigen Abständen eine Evaluation der Nutzung durchgeführt werden. Hierbei sollte überprüft werden, ob der Chatbot bestimmungsgemäß verwendet wird (z. B. durch automatisiertes Screening nach bestimmten Inhalten) und ob er entsprechend der Vorgaben arbeitet (z. B. keine personenbezogenen Daten im Output ausgibt). Achtung, bei einer solchen Auswertung können neue datenschutzrechtliche Herausforderungen auftreten, die es zu berücksichtigen gilt.

Ansonsten kann man sich auch der hilfreichen Checkliste des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit für den Einsatz von KI-basierten Chatbots orientieren.

Gibt es Ausnahmen für Start-ups und KMU?

Entsprechend des Verordnungsziel der Innovationsförderung und dem besonderen Augenmerk auf kleine und mittlere Unternehmen/KMU (Art. 1 Abs. 2 lit. g KI-VO) sind durchaus Erleichterungen und Ausnahmen für KMU und Kleinstunternehmen in der KI-VO vorgesehen. So sind die Anforderungen an das Risikomanagement bei Hochrisikosystemen für Kleinstunternehmen bspw. abgesenkt. Für das hier betrachtete Szenario sind diese Ausnahmen jedoch nicht relevant.

Fazit

Wie am Beispiel gezeigt, können Unternehmen bestimmte KI-Systeme nutzen (lassen), z. B. ChatGPT rechtskonform einsetzen, ohne umfangreiche Pflichten und Verwaltungsaufwände erfüllen zu müssen. Auch kleine oder mittlere Unternehmen, die möglicherweise über keine eigene Rechts- oder Compliance-Abteilung verfügen, können so von KI-Systemen profitieren. Im Zweifel sollte natürlich Rat eingeholt werden, um mögliche Eingriffe in die Rechte Dritter und Bußgelder bei versehentlichen Pflichtverstößen zu vermeiden. Gerade im Personalbereich ist Vorsicht geboten. Die Nutzung von KI-Systemen ist nicht in jedem Falle zulässig, nur weil diese auf dem Markt erhältlich sind oder praktisch erscheinen.

Sprechen Sie uns gerne an, wenn Sie Unterstützung bei der Einführung oder Bewertung eines KI-Systems benötigen. Sie wollen beim Thema KI-Compliance auf dem Laufenden bleiben? Abonnieren Sie unseren Newsletter.

KI-VO: Was ist ein KI-System?

Posted on by Eilert Stamm

In den kommenden Wochen werden wir in diesem Blog die wichtigsten Aspekte der KI-Verordnung vorstellen, analysieren und Handlungsempfehlungen präsentieren. Den Auftakt macht dieser Beitrag zum zentralen Objekt der KI-VO, dem KI-System.

Was ist ein KI-System? Die EU-Verordnung zur Künstlichen Intelligenz (KI-VO), englisch: „AI Act“, reguliert nicht Künstliche Intelligenz insgesamt, sondern beschränkt seinen Anwendungsbereich auf „KI-Systeme“. Wichtige Aspekte des Technologiefelds „Künstliche Intelligenz“ wurden bewusst außerhalb des Anwendungsbereichs gestellt. Die Einschränkung auf „KI-Systeme“ folgt dem grundlegenden Ansatz der Verordnung, welche vom Gesetzgeber als Produktsicherheitsgesetz konzipiert ist. Schauen wir uns daher als Auftakt einer Reihe von Beiträgen in diesem Blog den Begriff genauer an.

Die Begriffsbestimmung in der Verordnung

Art. 3 Abs. 1 Nr. 3 KI-VO definiert ein KI-System in Sinne des Gesetzes als

“ein maschinengestütztes System, das für einen in wechselndem Maße autonomen Betrieb ausgelegt sind (sic!), das nach seiner Einführung anpassungsfähig sein kann und das aus den erhaltenen Eingaben für explizite oder implizite Ziele ableitet, wie Ergebnisse wie etwa Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen hervorgebracht werden, die physische oder virtuelle Umgebungen beeinflussen können;“

Art. 3 Abs. 1 Nr. 3 KI-VO

Bei dieser Definition fallen sofort vage Begriffe und Kompromissformeln ins Auge. Als eindeutige Kriterien bleiben vorerst übrig, dass ein KI-System im Sinne der Verordnung maschinengestützt ist und aus dem Input ableitet, wie ein Output generiert werden soll. Der Output besteht aus Vorhersagen, Inhalten, Empfehlungen oder Entscheidungen, die wiederum Einfluss auf die Umgebungen („environments“) nehmen können.

So weit, so unklar.

Erläuterungen im Erwägungsgrund

In den Erwägungsgründen hat der Gesetzgeber weitere Hinweise gegeben, wie die Verordnung interpretiert werden soll. Für unsere Frage ist insbesondere Erwägungsgrund 12 wichtig. Dieser grenzt ein KI-System von „herkömmlicher“ und „einfacherer“ Software ab und schließt Systeme aus, die „auf ausschließlich von natürlichen Personen definierten Regeln für das automatische Ausführen von Operationen beruhen“. Weiter stellt der Erwägungsgrund als Unterscheidungsmerkmal zu anderen Formen von Software heraus, dass KI-Systeme etwas Neues ableiten können. Die Fähigkeit zum Ableiten basiere dabei auf Konzepten wie maschinellem Lernen und logik- und wissensgestützten Konzepten. Des Weiteren ginge diese Fähigkeit über die „einfache Datenverarbeitung“ hinaus und ermögliche „Lern-, Schlussfolgerungs- und Modellierungsprozesse“.

Der Erwägungsgrund geht nicht darauf ein, was unter „Einfluss nehmen“ zu verstehen ist. Wohl aber greift er den Begriff der Umgebungen auf. Diese sollen „als Kontexte verstanden werden, in denen KI-Systeme betrieben werden“. Diese beiden Begriffe müssen aber zusammen gedacht werden. Die Literatur setzt die Messlatte für die Einflussnahme recht niedrig an. Georg Borges geht davon aus, dass ein System bereits auf die Umgebung Einfluss nimmt, sobald es eine Information generiert, die von einer weiteren Entität weiterverarbeitet wird. Diese Information kann, muss aber nicht, in der Form von Bewertungen, Entscheidungen oder Klassifikationen vorliegen.

Der Anspruch an die Beschaffenheit der Autonomie wird nicht präzise definiert. Es wird lediglich festgestellt, dass ein KI-System in der Lage sein muss, ohne Intervention durch einen Menschen zu operieren, wobei die Mindestschwelle hier vorerst offen bleibt, also sehr niedrig anzusetzen ist. Die Anpassungsfähigkeit hingegen scheint keine notwendige Bedingung zu sein; sie wird lediglich als Möglichkeit („kann“) aufgeführt, dient also wohl eher als starker Hinweis.

Unter Berücksichtigung des Erwägungsgrundes 12 kommen wir vorläufig zu folgendem Ergebnis: ein KI-System ist eine Software (im weiteren Sinne) oder eine Maschine, bei der Software eine Komponente ist. Dank dieser Software kann das System aus einem Input einen Output ableiten, der über simple, manuell festgelegte Wenn-Dann-Beziehungen hinausgeht und somit ein Mindestmaß an Autonomie aufweist. Eine gewisse Lern- bzw. Anpassungsfähigkeit des Systems ist ein Indikator für das Vorliegen eines KI-Systems, aber kein notwendiges Kriterium. Der Output des KI-Systems muss dabei in der Lage sein, die (physische oder virtuelle) Umgebungen zu beeinflussen.

Definition bewusst offen

Somit ist der Erwägungsgrund unverzichtbar für ein Verständnis der Begriffs. Trotzdem lässt die KI-VO viele Fragen offen. Der Gesetzgeber ist sich dessen durchaus bewusst und drückt in dem Erwägungsgrund die Überzeugung aus, dass der Begriff „KI-System“ eng mit internationalen Organisationen abgestimmt werden müsse, welche sich mit KI befassen. Diese Abstimmung solle Rechtssicherheit, internationale Konvergenz und hohe Akzeptanz ermöglichen, dabei gleichzeitig flexibel bleiben, um dem technischen Fortschritt gerecht zu werden.

Was heißt das für die Praxis?

In der Praxis wird die erste Frage bei der Umsetzung der KI-VO lauten: „Trifft das auf uns überhaupt zu?“. Es muss also festgestellt werden, für welche der eingesetzten oder einzuführenden bzw. vertriebenen Softwarelösungen und Maschinen die KI-VO anwendbar ist. Die obige Erörterung verdeutlicht, dass diese Frage nicht immer leicht zu beantworten ist. Diskussionsbedürftig ist insbesondere, wie hoch die Anforderungen an das eigenständige Ableiten durch ein KI-System anzusetzen sind. Es gibt Stimmen in der Datenschutz-Community, die davon ausgehen, dass derzeit noch keine Produkte auf dem Markt sind, die unter den Anwendungsbereich der KI-Verordnung fallen, weil das geforderte Maß an Autonomie bisher nicht erreicht würde (so z. B. Nina Diercks in der letzten BvD-News). Andere hingegen verstehen bereits einen Saugroboter als KI-System. Der Gesetzgeber seinerseits geht sehr wohl davon aus, dass derzeit verwendete Lösungen als KI-Systeme im Sinne der KI-VO zu gelten haben.

Prüfliste: Ist das Produkt ein KI-System?

Wenn ein Unternehmen auf der sicheren Seite sein will, darf es bei der Frage, welche Produkte und Lösungen unter die KI-Verordnung fallen, die Schwelle also nicht zu hoch ansetzen. Die folgenden Prüfpunkte sollten vorläufig (!) die Frage beantworten helfen, ob ein hergestelltes oder eingesetztes Produkt in den Anwendungsbereich der KI-VO fällt:

  • Weist das Produkt oder die Softwarekomponente die Fähigkeit auf, aus einem Input
    einen Output abzuleiten?
  • Ist diese Ableitung mehr als eine Abfolge von Wenn-Dann-Beziehungen, die von
    einem Menschen formuliert wurden?
  • Ist das System zu Lern-, Schlussfolgerungs- und Modellierungsprozesse (oder
    vergleichbarem) befähigt?
  • Kommt das System beim Generieren des Outputs zu einem gewissen Ausmaß ohne die
    Intervention eines Menschen aus?
  • Führt der Output des Systems zur Änderung des Zustands einer anderen Entität
    oder informiert der Output die Aktivität einer anderen Entität?

Wenn alle Punkte mit „Ja“ beantwortet werden, fällt das Produkt wahrscheinlich in den Anwendungsbereich der KI-VO. Angesichts der unklaren Begrifflichkeiten führt die Anwendung dieser unmittelbar aus der KI-VO herausgearbeiteten Prüfpunkte nicht immer zu einem eindeutigen Ergebnis. Daher kann es empfehlenswert sein, ein bisschen über die (vorläufigen) Definition der KI-VO hinauszudenken. Der Gesetzgeber hat sich bemüht, Regulierung für ein amorphes Phänomen zu ermöglichen. Irgendwie ist allen klar, was eigentlich gemeint ist, aber offensichtlich ist dieses Phänomen in einem politischen Prozess nur schwer in Worte zu fassen. Daher können wir zusätzlich auf unser Alltagsverständnis zurückgreifen, wenn wir entscheiden müssen, welches System in einer Organisation unter die Definition fällt. Dabei sollten folgende Eigenschaften des Systems berücksichtigt werden:

  • Nichtlinearität und Unvorhersehbarkeit: minimale Unterschiede im Input können zu großen Unterschieden im Output führen. Damit verbunden ist es schwierig, den Output des Systems genau vorherzusagen
  • Anpassungsfähigkeit und Lernfähigkeit: Systeme entwickeln bessere Lösungsstrategien auf der Grundlage der zuvor gemachten Erfahrungen
  • Selbstorganisation: Muster oder Strukturen entstehen ohne direkte Kontrolle oder Vorgabe.

Je ausgeprägter diese Merkmale vorliegen, desto wahrscheinlicher fällt das System unter die KI-Verordnung. Bekannte Systeme wie Midjourney oder ChatGPT fallen daher höchstwahrscheinlich in den Anwendungsbereich. Betroffen sind aber auch spezialisierte Systeme wie diese Fingerabdruckanalysesoftware, bei der die Entwickler feststellten, dass das System andere Merkmale analysiert, als die Forensiker bisher betrachtet haben. Uns hilft wahrscheinlich ja bald auch eine KI, um festzustellen, was im Verständnis der EU tatsächlich ein KI-System ist.

Sie wollen aber nicht so lange warten und wünschen Beratung zum Thema oder wollen zunächst einen Überblick gewinnen, was die KI-Verordnung für ihr Unternehmen bedeutet? Sprechen Sie uns an.

Sie möchten über die neusten Entwicklungen im Datenschutz und KI-Compliance auf dem Laufenden bleiben? Dann abonnieren Sie einfach unseren Newsletter!

KI-Compliance: Rechtssicherheit in der Ära der künstlichen Intelligenz

Posted on by Christian Klos

Das Wichtigste im Überblick:

Jetzt Angebot anfordern!

In einer Welt, in der künstliche Intelligenz (KI) zunehmend Einzug in Unternehmensprozesse hält, stehen Unternehmen vor der Herausforderung, innovative Technologien zu nutzen und gleichzeitig rechtliche und ethische Standards einzuhalten. KI-Compliance ist dabei der Schlüssel, um die Potenziale der KI voll auszuschöpfen, ohne rechtliche Grenzen zu überschreiten oder Reputationsrisiken einzugehen.

Die Komplexität der rechtlichen Anforderungen im Bereich KI verunsichert viele Unternehmen. Datenschutzverletzungen, mögliche Diskriminierung durch KI-Systeme oder mangelnde Transparenz in KI-gestützten Entscheidungsprozessen sind nur einige der Risiken, die es zu adressieren gilt. Als erfahrene Wirtschaftskanzlei mit Fokus auf Compliance-Recht unterstützt Two Towers Consulting Sie dabei, diese Herausforderungen zu meistern und KI-Technologien rechtssicher in Ihrem Unternehmen zu implementieren.

Rechtliche Grundlagen der KI-Compliance

Die neue EU-KI-Verordnung („KI-VO“; engl.: „AI Act“) ist politisch durch und wird noch in den nächsten Monaten in Kraft treten. Die tatsächliche Anwendbarkeit der einzelnen Vorgaben aus der KI-VO ist zeitlich gestaffelt. Während die Verbote von KI-Systemen mit inakzeptablen Risiken bereits sechs Monate nach Inkrafttreten der Verordnung greifen, werden die meisten Normen in zwei Jahren anwendbar sein. Die rechtlichen Rahmenbedingungen für den Einsatz von KI-Technologien sind vielschichtig und entwickeln sich stetig weiter. Zu den wichtigsten Regelwerken zählen:

  1. Die EU-Verordnung über Künstliche Intelligenz (KI-Verordnung)
  2. Die Datenschutz-Grundverordnung (DSGVO)
  3. Das Allgemeine Gleichbehandlungsgesetz (AGG)
  4. Branchenspezifische Regulierungen

Zentrale Herausforderungen der KI-Compliance

1. Rechtliche Einordnung von KI-Anwendungen

Die korrekte rechtliche Einordnung verschiedener KI-Anwendungen ist der erste Schritt zu einer effektiven Compliance-Strategie. Je nach Einsatzgebiet und Funktionsweise der KI können unterschiedliche rechtliche Anforderungen gelten. 

2. Transparenz und Erklärbarkeit von KI-Systemen

Eine der größten Herausforderungen im Bereich KI-Compliance ist die Gewährleistung von Transparenz und Erklärbarkeit. KI-Systeme müssen nachvollziehbar und ihre Entscheidungen erklärbar sein. Dies ist nicht nur eine rechtliche Anforderung, sondern auch entscheidend für das Vertrauen in KI-gestützte Prozesse. 

3. Verantwortlichkeiten bei KI-gestützten Entscheidungen

Wer trägt die Verantwortung, wenn eine KI eine fehlerhafte Entscheidung trifft? Diese Frage ist zentral für die rechtliche Absicherung beim Einsatz von KI. 

4. Datenschutz-Compliance in KI-Projekten

KI-Systeme basieren oft auf der Verarbeitung großer Datenmengen, was besondere datenschutzrechtliche Herausforderungen mit sich bringt. Die Einhaltung der DSGVO und anderer datenschutzrechtlicher Bestimmungen ist unerlässlich. 

5. Vermeidung von KI-induzierter Diskriminierung

KI-Systeme können unbeabsichtigt diskriminierende Entscheidungen treffen, wenn sie mit voreingenommenen Daten trainiert wurden. Die Vermeidung solcher Diskriminierungen ist nicht nur ethisch geboten, sondern auch rechtlich verpflichtend. 

Jetzt Angebot anfordern!

Handlungsempfehlung: Unternehmensinterne KI-Richtlinie

Bis zur Anwendbarkeit der meisten Normen in zwei Jahre, sollten Unternehmen die Zeit nutzen, um möglichst viel aus den Möglichkeiten der KI-Transformation herauszuholen, aber dabei stets compliant zu bleiben.

Ein besonders wichtiges Instrument für das Management von KI-Compliance ist eine unternehmensinterne KI-Richtlinie. Mit einer KI-Richtlinie können Unternehmen eine belastbare Governance-Struktur etablieren und Standards und Strategien für den Einsatz von KI-Systemen festlegen. Somit schafft eine KI-Richtlinie Klarheit und Erwartbarkeit für die Belegschaft und ermutigt Mitarbeiter, innovative Projekte mit Hilfe von KI-Technologie zu verfolgen. Gleichzeitig schützt eine gut gestaltete und erfolgreich implementierte Richtlinie vor den vielfältigen Risiken, die durch den Einsatz von KI in den Bereichen Informationsschutz, Urheberrecht, Datenschutz, Produktsicherheit etc. auftreten können.

Eine KI-Richtlinie muss daher immer mehrere Ziele verfolgen. Dazu gehört insbesondere, die Mitarbeiter zum Einsatz von KI-Systemen zu ermutigen und Innovation im Unternehmen zu fördern. Gleichzeitig müssen die rechtlichen Vorgaben aus KI-VO, DSGVO etc. eingehalten, der Schutz von Betriebsgeheimnissen und weiteren vertraulichen und sensiblen Information des Unternehmens sichergestellt, und der Schutz der Rechtsgüter Dritter (Datenschutz, immaterielle Güter wie Urheberecht und Patente, Auskunftsansprüche) garantiert werden. Da sich hier regelmäßig Spannungsfelder ergeben, muss eine KI-Richtlinie klar definieren, nach welchem Leitbild und Prinzipien KI-Systeme im Unternehmen entwickelt und eingesetzt werden dürfen.

Auf der operativen Ebene muss ein KI-Richtlinie im Unternehmen Klarheit über eingesetzte Systeme, damit verfolgte Zwecke und die damit verbundenen Abhängigkeiten und Beziehungen herstellen sowie Abläufe, Verantwortlichkeiten, Aufgaben und Rollen klarstellen. Für einen erfolgreichen Einsatz muss die KI-Richtlinie Bewusstsein für Risiken und Chancen schaffen und dabei nicht nur diese Risiken eindämmen, sondern auch vermeiden, dass Mitarbeiter aus übergroßer Vorsicht auf den Einsatz von KI-Systemen verzichten. Daher muss die notwendige Wissensvermittlung (KI-Kompetenz) eine Zielstellung der KI-Richtlinie sein. Ergänzt werden muss dies durch zusätzliche Schulungen der Beschäftigten. Gleichzeitig muss die Richtlinie ermöglichen, dass die notwendige Transparenz sowohl intern also auch gegenüber externen Betroffenen wie Kunden, Geschäftspartnern oder Bewerbern gegeben ist.

Um diese Ziele zu erreichen, sollte eine KI-Richtlinie zumindest das Folgende regeln:

Das Thema Haftung wird selbstverständlich auch eine wichtige Rolle spielen. Hierzu wird der KI-VO bald eine EU-KI-Haftungsrichtlinie an die Seite gestellt werden. Für diese Richtlinie existiert bisher ein Entwurf der EU-Kommission. Sobald die EU-KI-Haftungsrichtlinie in deutsches Recht umgesetzt wurde, sollte die bisherige interne KI-Governance-Struktur noch einmal überprüft werden.

KI-Systeme werden bereits jetzt umfangreich in allen Unternehmen genutzt und entwickelt. Compliance-Verantwortliche sollten also keine Zeit verlieren, denn bereits heute muss dabei geltendes Recht eingehalten werden.

KI-Compliance als Wettbewerbsvorteil

KI-Compliance ist mehr als nur die Erfüllung rechtlicher Anforderungen. Ein proaktiver und ganzheitlicher Ansatz zur KI-Compliance kann zu einem echten Wettbewerbsvorteil werden. Er schafft Vertrauen bei Kunden, Mitarbeitern und Geschäftspartnern, minimiert rechtliche und finanzielle Risiken und ermöglicht es Ihrem Unternehmen, die Potenziale von KI voll auszuschöpfen.

Two Towers Consulting steht Ihnen als erfahrener Partner zur Seite, um Ihre KI-Anwendungen rechtssicher und ethisch einwandfrei zu gestalten. Unsere Kombination aus technischem Verständnis und rechtlicher Expertise im KI-Bereich ermöglicht es uns, maßgeschneiderte Lösungen zu entwickeln, die Ihr Unternehmen für die Herausforderungen der KI-Ära rüsten.

Lassen Sie uns gemeinsam Ihre KI-Compliance-Strategie entwickeln und umsetzen. Kontaktieren Sie uns für ein kostenloses Erstgespräch, in dem wir Ihre spezifischen KI-Compliance-Herausforderungen analysieren und erste Lösungsansätze skizzieren. 

Praktische Tipps für Ihre KI-Compliance

Um Ihnen den Einstieg in eine effektive KI-Compliance zu erleichtern, haben wir einige praktische Tipps zusammengestellt:

1. Führen Sie regelmäßige KI-Risikobewertungen durch

Etablieren Sie einen Prozess zur regelmäßigen Überprüfung und Bewertung der Risiken Ihrer KI-Systeme. Nutzen Sie dafür eine strukturierte Checkliste, die alle relevanten rechtlichen und ethischen Aspekte abdeckt.

2. Dokumentieren Sie KI-Entscheidungsprozesse

Implementieren Sie ein System zur lückenlosen Dokumentation aller KI-gestützten Entscheidungsprozesse. Dies erhöht nicht nur die Transparenz, sondern erleichtert auch die Nachvollziehbarkeit im Falle von Überprüfungen oder Streitigkeiten.

3. Etablieren Sie ein KI-Ethik-Board

Ein internes KI-Ethik-Board kann bei der Bewertung ethischer Fragen im Zusammenhang mit KI-Anwendungen unterstützen und zur Entwicklung unternehmensweiter Richtlinien für den ethischen Einsatz von KI beitragen.

4. Schulen Sie Ihre Mitarbeiter

Regelmäßige Schulungen zum Thema KI-Compliance sensibilisieren Ihre Mitarbeiter für potenzielle Risiken und befähigen sie, compliant mit KI-Systemen zu arbeiten.

5. Bleiben Sie auf dem Laufenden

Die rechtlichen Rahmenbedingungen für KI entwickeln sich ständig weiter. Stellen Sie sicher, dass Ihr Unternehmen über Veränderungen informiert bleibt und Ihre Compliance-Strategie entsprechend anpasst.

Jetzt Angebot anfordern!

Unsere KI-Beratungsleistungen

Künstliche Intelligenz transformiert Unternehmen und Anwendungen grundlegend. Viele Organisationen berücksichtigen bereits ethische Aspekte bei KI-Projekten – eine gute Basis für die Umsetzung rechtlicher Vorgaben.

Die EU-KI-Verordnung setzt nun weltweit Maßstäbe mit verbindlichen Regeln für Entwickler und Anwender. Zusätzlich sind weitere Gesetze wie die DSGVO zu beachten. Jedes Unternehmen muss sich mit diesen Anforderungen auseinandersetzen.

Wir unterstützen Sie dabei, diese Vorgaben pragmatisch und effizient in Ihre Abläufe zu integrieren. Unsere Experten aus Recht und Compliance helfen Ihnen, regulatorische Risiken zu minimieren und gleichzeitig Ihr Kerngeschäft nicht zu beeinträchtigen.

Unser Leistungsspektrum umfasst:

Mit unserem ganzheitlichen Ansatz bleiben Sie bei KI-Projekten rechtlich auf der sicheren Seite, ohne Ihre Organisation zu überlasten. Mehr Informationen finden Sie hier.

Wir beraten Sie gern. Sprechen Sie uns an. Ihnen gefallen unsere Entscheidungsbäume und Sie wollen keine relevanten Entwicklungen im Bereich der KI-Regulierung verpassen? Abonnieren Sie unseren Newsletter, um in Sachen KI und Datenschutz stets auf dem aktuellen Stand zu bleiben.

Häufig gestellte Fragen

KI-Compliance bezeichnet die Einhaltung rechtlicher und ethischer Standards beim Einsatz von KI-Technologien in Unternehmen. Dies umfasst Aspekte wie Datenschutz, Nicht-Diskriminierung, Transparenz und Verantwortlichkeit bei KI-gestützten Entscheidungen.

Zu den wichtigsten Regelwerken zählen die EU-Verordnung über Künstliche Intelligenz, die DSGVO, das AGG sowie branchenspezifische Regulierungen. Die genauen Anforderungen hängen vom Einsatzbereich und der Art der KI-Anwendung ab.

Wichtig sind regelmäßige Überprüfungen der Trainingsdaten und Ergebnisse auf Voreingenommenheit, die Implementierung von Fairness-Metriken und die Diversifizierung der Entwicklungsteams. Unsere Experten unterstützen Sie bei der Entwicklung geeigneter Strategien.

KI-Systeme sollten umfassend dokumentiert werden, einschließlich der verwendeten Daten, Algorithmen, Trainingsmethoden und Entscheidungsprozesse. Dies dient der Transparenz und erleichtert mögliche behördliche Überprüfungen.

Wir empfehlen, mindestens jährlich eine umfassende KI-Risikobewertung durchzuführen. Bei signifikanten Änderungen am System oder relevanten rechtlichen Entwicklungen sollten zusätzliche Bewertungen erfolgen.

Ein KI-Ethik-Board ist ein internes Gremium, das ethische Fragen im Zusammenhang mit KI-Anwendungen bewertet und Richtlinien entwickelt. Für Unternehmen mit umfangreichen oder sensiblen KI-Anwendungen kann ein solches Board sehr sinnvoll sein.

Die Strafen können je nach Verstoß und anwendbarem Recht erheblich variieren. Sie reichen von Bußgeldern über Schadensersatzforderungen bis hin zu Reputationsschäden und behördlichen Auflagen.

Regelmäßige Schulungen, klare Richtlinien und eine offene Kommunikationskultur sind entscheidend.

Eine proaktive Strategie minimiert rechtliche und finanzielle Risiken, schafft Vertrauen bei Stakeholdern, erleichtert behördliche Prüfungen und kann zu einem Wettbewerbsvorteil werden.