Künstliche Intelligenz (KI) ist in aller Munde. Als vor rund 35 Jahren das erste Mal der Schachcomputer Deep Thought den Großmeister David Levy geschlagen hat, haben nur wenige geahnt, dass eines Tages „künstliches Denken“ möglich sein würde.
Die gegenwärtig existierenden KI-Systeme entwickeln sich fortlaufend weiter und verfügen über ständig zunehmende Fähigkeiten.
Rechtsanwalt Sendler: “Gerade hat das KI-Unternehmen Anthropic seinem Assistenten „Claude“ beigebracht, komplette Desktop-PCs in Unternehmen selbst zu bedienen. Der KI-Agent kann Dateien öffnen, im Browser klicken und Tools eigenständig starten, bearbeiten und sich eigenständig Informationen suchen. Hier erklärt die KI nicht mehr, wie ein Formular auszufüllen ist, sondern füllt es selbst aus; Arbeitskräfte werden unmittelbar ersetzt. Man mag gar nicht zu Ende denken, welche Auswirkungen diese Entwicklungen auf den Arbeitsmarkt haben werden.“
Die KI-Verordnung (AI Act): Ziele und risikobasierte Pflichten
Die KI-Verordnung (im Englischen AI Act) ist ein Europäisches Gesetz mit folgender Intention:
„Zweck dieser Verordnung ist es, das Funktionieren des Binnenmarkts zu verbessern und die Einführung einer auf den Menschen ausgerichteten und vertrauenswürdigen künstlichen Intelligenz (KI) zu fördern und gleichzeitig ein hohes Schutzniveau in Bezug auf Gesundheit, Sicherheit und die in der Charta (Anm.: Europäische Grundrechts-Charta) verankerten Grundrechte, einschließlich Demokratie, Rechtsstaatlichkeit und Umweltschutz, vor schädlichen Auswirkungen von KI‑Systemen in der Union zu gewährleisten und die Innovation zu unterstützen.“ Artikel 1 KI-VO
Anwalt Sendler: „Die KI-VO ist ein sogenanntes „risikobasiertes“ Regelwerk, d. h. die sich aus diesem Gesetz ergebenden Pflichten für Entwickler und Anwender von KI-Systemen richten sich im Wesentlichen danach, welche Risiken der Betrieb der Systeme für Anwender und Betroffene mit sich bringt.“
So gibt es allgemeine Pflichten für Anbieter und Betreiber von KI-Systemen zum Schutz der Verwender bzw. natürlichen Personen, nämlich insbesondere die Pflicht zur Kennzeichnung und Dokumentation, dass es sich bei dem jeweiligen System um Künstliche Intelligenz handelt.
Hochrisikosysteme und Datenschutz: Pflichten nach DSGVO
Besondere Regeln gelten für sogenannte „Hochrisikosysteme“, z.B. biometrische Fernidentifikationssysteme oder KI-Systeme des Betriebs kritischer digitaler Infrastruktur, die in der Straßenverkehrs- oder der Wasser-, Gas-, Wärme- oder Stromversorgung verwendet werden sollen. Für solche Systeme gibt es klare Regelungen bei der Zuordnung von Pflichten und der Haftung bei der Anwendung. Auch bestehen in diesem Zusammenhang strenge Schulungsvorschriften und Voraussetzungen für die Anwendung solcher Systeme, die sich in weiten Teilen außerdem aus der Datenschutzgrundverordnung (DSGVO) ableiten. Hierzu gehört beispielsweise die Datenschutz-Folgeabschätzung gemäß Art. 35 DSGVO. Eine solche sogenannte DSFA ist durchzuführen, wenn die Verarbeitung personenbezogener Daten durch das Hochrisiko System voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.
Rechtsanwalt Sendler: „Dies wird insbesondere angenommen beim Profiling, also der systematischen und umfassenden Bewertung persönliche Aspekte natürlicher Personen, die als Grundlage für Entscheidungen dient, also beispielsweise bei der Bewerbung um einen Arbeitsplatz oder für den Abschluss eines Kfz-Leasingvertrages (z.B. SCHUFA und Creditreform).“
Automatisierte Entscheidungen im Recruiting: Chancen und Graubereiche
In diesem Bereich spielt die KI eine wesentliche Rolle, indem sie Entscheidungen automatisiert vorbereitet, die gegenüber betroffenen Personen rechtliche Wirkungen entfalten (Art. 22 Abs. 1 DSGVO). So werden zunehmend im Recruiting-Bereich Personalentscheidungen nicht nur vorbereitet, sondern alleine durch KI-Einsatz getroffen.
Rechtsanwalt Sendler: „Hier handelt es sich um einen erheblichen Graubereich, denn der abgewiesene Bewerber oder die abgewiesene Bewerberin werden regelmäßig nicht beweisen können, dass die Entscheidung alleine durch KI-Einsatz getroffen worden ist; im Streitfall wird der Personaler – in der Regel als Zeuge und damit praktisch unwiderlegbar – behaupten, schlussendlich habe er, und nicht die eingesetzte KI, die Personalentscheidung getroffen.“
Aus diesem Grund ist es im Bewerbungsverfahren für die Unternehmen wichtig, die getroffenen Entscheidungen mit den jeweiligen Begründungen zu dokumentieren, um eventuell von abgewiesenen Bewerbern geltend gemachte Ansprüche nach dem Allgemeinen Gleichbehandlungsgesetz (AGG) abwehren zu können.
Compliance und Transparenz: Risiken minimieren beim KI-Einsatz
Aus Compliance-Gesichtspunkten ist es für den Einsatz von KI wichtig, dass die betreffenden Unternehmen unbedingt die Anforderungen beachten, die sich für den Einsatz von KI aus der DSGVO ergeben. Essentiell ist auch eine sorgfältige Anbieterauswahl durch Prüfung der Speicherverfahren, der Datenquellen und der Fehleranfälligkeit (BIAS-Faktoren). Außerdem ist größter Wert auf eine sorgfältige technische Dokumentation, auf Risikoanalysen und Auditberichte zu legen. Außerordentlich wichtig ist zudem die auf die konkrete KI-Verwendung ausgerichtete fachkundige Schulung der Mitarbeiterinnen und Mitarbeiter, die KI-Systeme im betrieblichen Alltag nutzen. Dasselbe gilt natürlich auch für solche Mitarbeitenden, die im Zusammenhang mit der Entwicklung von KI-Systemen tätig sind. Dies ist insbesondere zu beachten vor dem Hintergrund der strengen Regelungen der DSGVO für die Verwendung von personenbezogenen Daten im Zusammenhang mit dem Einsatz von Large Language Models (LLM).
Anwalt Sendler: „Nicht zu vergessen ist die Offenlegung von KI-Nutzung. Insbesondere im Bewerberverfahren sollte kommuniziert werden, wie KI-Entscheidungen nach welchen Kriterien und Gewichtungen getroffen werden; Entscheidungswege sollten offengelegt werden. So verhindert Transparenz spätere Auseinandersetzungen wegen behaupteter Diskriminierung. Zur Vermeidung sonst drohender erheblicher Haftungsrisiken sollte vor dem Einsatz von KI-Systemen juristischer und datenschutzrechtlicher Rat eingeholt werden.“
Kontaktieren Sie mich für eine umfassende Beratung zu KI, DSGVO und Compliance – ich unterstütze Sie praxisnah und kompetent.
FAQ: Häufig gestellte Fragen zur KI-Verordnung
Die KI-Verordnung ist ein europäisches Gesetz, das den Einsatz von künstlicher Intelligenz regelt und gleichzeitig Innovation fördert. Sie verfolgt einen risikobasierten Ansatz und schützt dabei Grundrechte sowie Gesundheit und Sicherheit.
Von der KI-Verordnung sind Anbieter von KI-Systemen betroffen und ebenso Betreiber, also Unternehmen, die solche Systeme einsetzen. Sie müssen bestimmte Pflichten erfüllen und zugleich Transparenz sowie Sicherheit gewährleisten.
Die KI-Verordnung tritt gestaffelt in Kraft und erste Regelungen gelten bereits seit 2024 in der EU. Sie müssen beachten, dass viele Pflichten schrittweise bis 2026 verbindlich werden und entsprechend umgesetzt werden müssen.
Sie müssen sich an die KI-Verordnung halten, wenn Sie KI-Systeme in der EU entwickeln oder einsetzen und diese Auswirkungen auf Personen in der EU haben. Dies gilt auch für Unternehmen außerhalb der EU und sobald deren Systeme im europäischen Markt genutzt werden.
Das EU-KI-Gesetz gilt für Unternehmen, Behörden und Organisationen und ebenso für Entwickler von KI-Systemen. Sie sind verpflichtet die Regeln einzuhalten und gleichzeitig Risiken für betroffene Personen zu minimieren.
Bestimmte KI-Anwendungen sind verboten, wenn sie Grundrechte verletzen oder Menschen manipulieren. Sie dürfen beispielsweise keine Systeme einsetzen, die unzulässige Überwachung ermöglichen und zugleich das Verhalten von Personen gezielt beeinflussen.
Für Hochrisiko-KI-Systeme gelten strenge Anforderungen und Sie müssen umfassende Dokumentationen sowie Risikoanalysen durchführen. Zusätzlich sind Schulungen erforderlich und Sie müssen datenschutzrechtliche Vorgaben wie die DSGVO einhalten.
Transparenz ist wichtig, weil Sie offenlegen müssen, wann und wie KI eingesetzt wird und welche Entscheidungen daraus entstehen. Sie vermeiden dadurch rechtliche Risiken und stärken gleichzeitig das Vertrauen von Betroffenen.
