Künstliche Intelligenz (KI) ist da und nicht mehr aufzuhalten. Um wettbewerbsfähig zu bleiben, müssen sich Unternehmen und Behörden mit ihr befassen. Doch dem Nutzen, der durch künstliche Intelligenz entstehen kann, stehen komplexe rechtliche Anforderungen gegenüber. Dieser Beitrag zeigt die Eckpfeiler der rechtlichen Anforderungen – und soll Mut machen.

2023 war das Jahr der generativen KI. ChatGPT löste eine Welle der Begeisterung für die Möglichkeiten und den Einsatz von Large Language Models (LLM) aus. Nur zwei Monate nach der Veröffentlichung hatte ChatGPT mehr als 100 Millionen Nutzer:innen. Seitdem kommen täglich neue KI-Anwendungen – sei es zur Erstellung von Bildern, zur Audioerkennung oder zur Spracheingabe – auf den Markt.

Unternehmen stehen seitdem zwangsläufig vor der Frage, ob und wie sie ihre eigenen Produkte durch KI ergänzen können oder wie Unternehmensprozesse mittels KI verbessert werden können. Neben den klassischen Anwendungsbereichen – Marketing, Support und Vertrieb – gibt es unternehmensweit Einsatzfelder für KI.

Einen konkreten Anwendungsbereich haben KI-Systeme in der Sprach- und Textverarbeitung. Eine KI kann unter anderem autonome Übersetzungen vornehmen und automatisierte Antworten auf Kundenanfragen generieren.

In der Medizin hilft KI durch Bild- und Objekterkennung bei der Diagnostik, in der Gebäudesicherheit beim Erkennen verdächtiger Aktivitäten, in der Automobilindustrie sind Assistenzsysteme und autonomes Fahren von großer Bedeutung. Branchenübergreifend werden KI-Systeme in der Qualitätskontrolle und Fehlererkennung eingesetzt.

Unschlagbarer Vorteil von KI ist, dass die Automatisierung Prozesse massiv beschleunigt und deutlich günstiger macht. Durch KI steht die Automatisierung erstmals nahezu jedem Unternehmen offen – aber damit steigen auch die Compliance-Vorgaben. Wichtige Schlagworte sind dabei: Datenschutz, Haftung, Befangenheit, geistiges Eigentum und natürlich die KI-Verordnung, der EU-AI-Act.

Wie bei jeder anderen Datenverarbeitung auch, müssen bei dem Einsatz von KI die Bestimmungen der DSGVO gewahrt werden. In diesem Zusammenhang gibt es einige rechtliche Hürden zu nehmen; bei umfassender Beratung sind sie jedoch keine Showstopper. Diese Anforderungen lassen sich gut in den Griff bekommen. Vor dem Einsatz von KI müssen Unternehmen prüfen, wie sie die KI möglichst datensparsam nutzen, die Betroffenenrechte umsetzen sowie gegebenenfalls eine Datenschutzfolgenabschätzung durchführen.

Die Haftung beim Einsatz von KI-Systemen wird künftig auch die Gerichte beschäftigen. Grund dafür sind zwei Neuheiten im Zusammenhang mit der KI-Regulierung. So wird zum einen der Schutz durch das Produkthaftungsgesetz auf KI-Systeme erweitert. Zum anderen arbeitet die EU an einer KI-Haftungsrichtlinie. Sie wird insbesondere die Beweislast bei Schadensersatzansprüchen gegen Anbieter von KI-Systemen zugunsten der Geschädigten regeln.

KI-Systeme können aufgrund einer Voreingenommenheit (im Englischen „bias“) ungeeignete Ergebnisse liefern. Das kann auf unzureichende Trainingsdaten zurückzuführen sein. In der Praxis werden voreingenommene Ergebnisse der KI riskant, wenn der User das Ergebnis der KI als bare Münze nimmt und nicht hinterfragt. Beide Aspekte müssen daher bei der Einführung von KI berücksichtigt werden: Die Trainingsdaten müssen sorgfältig ausgewählt und die Ergebnisse der KI weiterhin von einem Menschen überprüft werden.

Auch auf dem Gebiet des geistigen Eigentums kann es gerade beim Einsatz von generativer KI zu Hindernissen kommen. So ist es derzeit beispielsweise möglich, urheberrechtlich geschützte Inhalte durch ChatGPT wiedergeben zu lassen. Peinlich und teuer kann das werden, wenn so der Werbetext der Konkurrenz auf unbemerkte Art und Weise kopiert wird. Auch hier muss im Ergebnis der Mensch noch einmal die Ergebnisse der Maschine kontrollieren.

Die KI-Verordnung der EU ist der neuste Wurf zur Regulierung von KI. Sie wurde am 21. Mai 2024 vom Rat der Europäischen Union gebilligt und wird zeitnah in Kraft treten. Für einige der Pflichten wird es jedoch Umsetzungszeiträume geben. Nach China ist die EU der zweite große Rechtskreis, der eine umfassende KI-Regulierung hat.

Die KI-Verordnung sieht einen risikobasierten Ansatz vor. KI-Systeme werden durch ein komplexes Geflecht aus Anlagen und Verweisungen in verschiedene Risikokategorien eingeordnet: Für die Praxis besonders relevant ist die Einordnung als Hochrisiko-KI sowie die Einordnung als sogenannte General-Purpose-AI (mit und ohne systemischem Risiko).

An die jeweilige Einordnung werden verschiedene Pflichten geknüpft. KI-Systeme in Medizinprodukten oder zur biometrischen Identifizierung können eine Hochrisiko-KI sein – das bedeutet hohe technische Anforderungen, umfangreiche Transparenzpflichten und hohe Anforderungen an die verwendeten Trainingsdaten.

Doch auch KI-Systeme ohne Hochrisiko-KI – das können KI-gestützte Empfehlungssysteme oder Spamfilter sein – müssen gewisse Pflichten nach der KI-Verordnung erfüllen. In der Praxis aufwendiger kann bei diesen Systemen die Erfüllung der datenschutzrechtlichen Vorgaben sein. Anspruchsvoll ist etwa die Gewährleistung der Transparenz: KI-Systeme stellen sich meist als Blackbox dar – trotzdem muss den Anwendern erläutert werden, was mit den personenbezogenen Daten passiert.

Nach der KI-Verordnung gibt es auch KI-Systeme, die ganz verboten sind: Das betrifft Technologien mit einem inakzeptablen Risiko, etwa aufgrund eines Social Scorings oder Teile von biometrischer Videoüberwachung und Verhaltensbeeinflussung.

Bereits die Risikoklassifizierung von KI-Systemen erfordert eine genaue Prüfung, technisches Verständnis und juristischen Sachverstand. Umso aufwendiger wird die exakte Bestimmung der bestehenden rechtlichen Pflichten – sei es aus der KI-Verordnung oder anderen Rechtsgebieten (Datenschutzrecht, Urheberrecht, IT-Recht etc.). Als Faustformel gilt: je höher das Risiko, desto höher die rechtlichen Anforderungen.

Die KI-Verordnung kommt mit großen Schritten und wird diverse Herausforderungen mit sich bringen. Diese sind jedoch gut beherrschbar und es können bereits heute Maßnahmen getroffen werden, um einen erfolgreichen Einsatz von KI vorzubereiten.

Unternehmen, die über den Einsatz von KI nachdenken, sollten von Anfang an die rechtlichen Auswirkungen berücksichtigen. Nicht zuletzt, da die KI-Verordnung – vergleichbar mit der DSGVO – Bußgelder von bis zu 35 Millionen Euro oder sieben Prozent des weltweiten Jahresumsatzes vorsieht. Ein frühzeitiges Handeln kann ein Umsetzungschaos – wie zum Start der DSGVO – vermeiden.