Baris Cem Batur, Rechtsanwalt bei der AWADO Rechtsanwaltsgesellschaft mbH mit Beratungsschwerpunkt im Datenschutz- und IT-Recht sowie dem Recht der neuen Technologien
Das Inkrafttreten des neuen europäischen Rechts zur Regulierung der Technologie der Künstlichen Intelligenz steht unmittelbar bevor (nachfolgend: KI-Verordnung). Bereits vor der Europawahl im Juni 2024 wird die formelle Bestätigung des Entwurfes durch das Europäische Parlament und die Veröffentlichung im Gesetzesblatt erwartet. Die meisten Bestimmungen werden nach einer zweijährigen Umsetzungsfrist gelten. Wobei einige Ausnahmen von diesem Grundsatz bestehen, sodass sechs bzw. zwölf Monate nach Inkrafttreten der KI‑Verordnung bereits Verbotsnormen sowie konkrete Rechte und Pflichten gelten werden.
Der Verordnungsentwurf verfolgt einen risikobasierten Ansatz und reiht sich mithin als „Risikominimierungsgesetz“ in die EU-Regulatorik im Bereich der Digitalisierung nahtlos ein. Verfolgt zum Beispiel die Datenschutz‑Grundverordnung noch einen technikneutralen Ansatz der Regulierung, so ist die KI‑Verordnung eine technikfokussierte Regulierung. Daher gilt es, diese Technologie und ihre Funktionsweise zu verstehen und rechtssicher zu definieren.
Die Definition gelingt dem Verordnungsgeber allerdings nur bedingt.
Als KI-Systeme sollen maschinengestützte Systeme gelten, die so ausgestaltet sind, dass sie mit einem unterschiedlichen Grad an Autonomie operieren können, nach ihrer Inbetriebnahme anpassungsfähig sind und aus den erhaltenen Eingaben, Empfehlungen oder Entscheidungen hervorbringen, die physische oder virtuelle Umgebungen beeinflussen können.
Die Definition bedient sich mehrerer weiterer Begriffe, die nicht in der KI-Verordnung definiert, sondern vielmehr vorausgesetzt werden. Dies birgt eine kaum zu begrüßende Rechtsunsicherheit. Jedenfalls sollen sogenannte Systeme des „Machine Learning“ und „Deep Learning“ als KI‑Systeme im Sinne der KI-Verordnung gelten. Mithin ist mit hinreichender Wahrscheinlichkeit davon auszugehen, dass die generativen KI‑Sprachmodelle (sog. Large Language Models) „ChatGPT“ und „Copilot“ der US-amerikanischen Softwareunternehmen Open AI bzw. Microsoft als solche zu fassen sind.
Im Rahmen des Verordnungsentwurfs ist vorgesehen, dass sowohl KI-Systemanbieter, die ihr KI-System in der Europäischen Union anbieten oder betreiben, als auch KI-Anwender in der Europäischen Union, d. h. sowohl natürliche als auch juristische Personen, die ein KI-System in eigener Verantwortung verwenden, mit Rechten und Pflichten versehen werden.
Gemäß dem risikobasierten Ansatz der KI-Verordnung werden Risikostufen mit verschiedenen Pflichtenkatalogen definiert. Dabei handelt es sich um sogenannte verbotene KI-Systeme, Hochrisiko-KI-Systeme, KI-Systeme mit Transparenzanforderungen aufgrund der Interaktion mit natürlichen Personen sowie sonstige KI-Systeme. Die Bandbreite des Pflichtenkataloges ist breit angelegt, und zwar vom Verbot bis hin zur einfachen Informations- und Transparenzpflicht.
Abseits der Risikostufen bestimmt die KI-Verordnung auch für „KI für allgemeine Zwecke“ (engl. „General Purpose AI“) aufgrund ihrer Funktion und des Nutzens in der KI-Wertschöpfungskette besondere Rechte und Pflichten (ChatGPT und Copilot werden höchstwahrscheinlich unter diese Bestimmungen fallen). Diese bewegen sich insbesondere im Bereich des Risikomanagements durch zu implementierende technische und organisatorische Maßnahmen sowie der Dokumentation zu Prüfungszwecken.
Nicht zu vergessen ist der umfangreiche Sanktionskatalog der KI-Verordnung, der unter anderem auch Bußgelder für Rechtsverletzungen vorsieht, die sogar den in der Datenschutz‑Grundverordnung vorgesehenen Rahmen übersteigen.
Zu empfehlen ist daher, bereits jetzt eine Bestandsaufnahme von KI-Systemen in der Bank durchzuführen sowie eine KI-Governance anhand von zu definierenden Leitlinien zu implementieren.
Hierzu könnte die Schaffung von Verbindlichkeiten durch die Bestellung eines KI-Beauftragten/einer KI-Beauftragten sich als zweckmäßig erweisen; die KI-Verordnung sieht allerdings eine solche Pflicht nicht vor.
Des Weiteren sind regelmäßige Audits und Schulungen der Mitarbeiterinnen und Mitarbeiter zu empfehlen, die eines technischen und rechtlichen Know‑hows in diesem spannenden Themenkomplex bedürfen. Hierzu sollten in der Bank zunächst Know-how-Träger und Interessierte ausfindig gemacht und aber auch der Arbeitsmarkt sondiert werden.
PRAXISTIPPS
- Die KI-Verordnung wird eine umfangreiche Regulatorik für KI-Systemanbieter und KI-Anwender mit sich bringen, sodass es bereits zum jetzigen Zeitpunkt angezeigt ist, eine Bestandsaufnahme bezüglich der verwendeten KI-Systeme vorzunehmen.
- Sofern KI-Systeme in der Bank eingesetzt werden, so bedarf es der Definition von neuen Anforderungen und der Herbeiführung von neuen Maßnahmen und Standards betreffend den Datenschutz, Urheberschutz oder auch dem Schutz von Geschäftsgeheimnissen.
- Im Fokus der Banken sollten regelmäßig die Risikominimierungsmaßnahmen und damit eine angemessene KI-Governance stehen.
Beitragsnummer: 22588