Aus Angst und Panik vor Bußgeldern haben Unternehmen die DSGVO oft überreguliert umgesetzt. Mit Implementierung des EU Artificial Intelligence (AI) Acts kann die Rechtsabteilung einen Mehrwert bieten, der über die Vermeidung von Bußgeldern hinausgeht: Indem sie einen weiteren Push gibt, um das Datenmanagement zu optimieren, was wiederum Innovationen ermöglicht. Denn KI hat großen Hunger auf Daten und schlaue Geräte tauschen auch im Internet der Dinge oft Informationen mit Personenbezug aus. Philipp Müller-Peltzer ist Partner der auf Technologiethemen spezialisierten Kanzlei Schürmann Rosenthal Dreyer (SRD) in Berlin. Er ist überzeugt: „Inhouse-Juristen übernehmen eine Schlüsselrolle, damit der EU AI Act den Wandel hin zur Datenökonomie und mehr Agilität in Unternehmen nicht ausbremst.“
One-Stop-Shop-Ansatz statt neuer Strukturen
Dr. Hans Peter Wiesemann, Leiter der Practice Group Digital Law bei BSH Hausgeräte, nennt als eines der größten Risiken vor diesem Hintergrund: „Unnötig neue Strukturen zu schaffen, anstatt vorhandene Prozesse in der Produktentwicklung und im Data Management zu nutzen.“ Um beispielsweise zusätzliche lähmende Freigabeprozesse zu verhindern, kommt es darauf an, Data und AI Governance eng zu verzahnen, rät auch Müller-Peltzer: „Notwendig ist ein One-Stop-Shop-Ansatz. Das heißt: Die Implementierung von KI-Compliance muss in die bestehenden Prozesse zur Datennutzung und Data Governance nahtlos eingebunden werden.“ Viele Prozesse, die durch den AI Act notwendig werden, können auf dem bestehenden Datenmanagement aufsetzen, etwa die Risikobewertung eines KI-Systems oder die Dokumentation. Auch Datenschutzfolgenabschätzungen lassen sich um KI-spezifische Betrachtungen erweitern. Siemens Healthineers profitiert insofern von der Umsetzung der Medizinprodukteverordnung, sagt General Counsel Dagmar Mundani: „So können wir beim AI Act auf bestehende Prozesse zurückgreifen, was beispielsweise Qualitätsmanagement, Konformitätsbewertungen und Produktbeobachtung angeht.“
Vorhandenes Fachwissen abgreifen
Um eine Kultur der gemeinsamen Datennutzung im Unternehmen zu fördern und firmeninterne Datensilos aufzubrechen, reicht es nicht, wenn ein Bereich den Hut aufhat. Stattdessen müssen unternehmensübergreifend Verantwortliche benannt werden. Und vorhandenes Fachwissen muss optimal für die Anforderungen des AI Acts genutzt werden. So trägt bei Zalando nicht nur die Rechtsabteilung Verantwortung für die Umsetzung neuer Regulierung, berichtet General Counsel und Corporate Secretary Dr. Lena Wallenhorst: „Es gibt für diese Projekte in der Regel einen Co-Executive Sponsor aus dem Bereich, der am meisten betroffen ist, oder in dem das größte Wissen vorhanden ist.“ Auch Übung mache den Meister, da Zalando in den letzten Jahren viel Regulierung umzusetzen hatte, unter anderem den Digital Services Act (DSA): „Es gibt strategische Mehrjahres-Pläne auf Gruppenebene und operative Jahrespläne“, berichtet Wallenhorst. „Damit stellen wir sicher, dass beispielsweise auch die Tech-Ressorts Kapazitäten für neue Regulierung wie den AI Act einplanen.“
Bei Siemens Healthineers sind ebenfalls verschiedene Verantwortliche benannt, um den Überblick über KI-Systeme im gesamten Unternehmen zu behalten, sagt General Counsel Dagmar Mundani: „Der Bereich Quality Management trägt die Verantwortung für KI in den Produkten für Kunden und IT für die intern genutzten Systeme. Aber man muss immer mitdenken: Wo kann noch KI drin sein, etwa in der Fertigung, die durch diese Zuständigkeiten nicht ohne weiteres erfasst wird?“
Für die Klagen vieler Unternehmen ob der unklaren Rechtsbegriffe im AI Act hat Müller-Peltzer von der Technologiekanzlei SRD Verständnis. Er sagt aber er auch: „Durch interdisziplinären Austausch kann man die Unklarheiten beseitigen und Akzeptanz für die neuen Regelungen schaffen, um zu verhindern, dass der Einsatz von KI durch die komplexe Rechtslage ins Stocken gerät.“ Das zentrale Werkzeug hierfür sei der Multi-Stakeholder-Dialog, um die Verständigung zwischen den verschiedenen Fachbereichen zu fördern. Den Zalando-Juristen hilft beispielsweise, dass sie die Organisation schon vor der finalen Fassung und Verabschiedung neuer Regulierung mit Legal Playbooks aufschlauen: Wer ist oder kann wie betroffen sein? Da HR- und Tech-Bereich ein KI-System womöglich unterschiedlich definieren, tragen Legal Playbooks dazu bei, eine einheitliche Sprache im Unternehmen zu finden. Denn bislang liegen weder Leitlinien der Kommission noch technische Standards der Normungsgremien oder Entscheidungen des Europäischen Gerichtshofs zu spezifischen Anwendungsfällen vor.
Juristen müssen prozessorientiert beraten
Als juristische Moderatoren zwischen verschiedenen Fachbereichen müssen Syndizi die internen Strukturen, Design- und Entwicklungsprozesse verstehen: Wer ist jeweils zuständig? Und welche Schnittstellen sind notwendig, um die Compliance-Vorgaben effektiv umzusetzen. Ebenso wichtig ist Know-how zu relevanten Fachbegriffen und deren Bedeutungen: etwa Halluzinationen oder Bias eines Datensets, der potenziell zu diskriminierenden Ergebnissen eines KI-Systems führen kann. Dasselbe gilt für Konzepte wie Overfitting und Underfitting von maschinell lernenden Systemen, da diese stark beeinflussen, wie leistungsfähig und genau KI-Modelle Daten auswerten. SRD-Partner Müller-Peltzer ist überzeugt: Um diese technische Kompetenz zu entwickeln, ist der Dialog mit Data Scientists, Ingenieuren und Produktmanagern unverzichtbar. „Beim Einsatz von bestimmten KI-Systemen werden Juristen nicht in der Lage sein, das Zustandekommen der Ergebnisse in allen Details nachzuvollziehen.“ Was sie aber müssen: Belegen, dass das Unternehmen an der richtigen Stelle die richtigen Fragen gestellt und Maßnahmen ergriffen hat – etwa um Designanforderungen für Anbieter von Hochrisiko-KI zu erfüllen und Risiken bestmöglich zu verringern.
Inwieweit Unternehmen unter den neuen Regeln ächzen werden, hängt auch von der Handhabe durch die Behörden ab. „Was an Überregulierung im AI Act steckt, wird hoffentlich bei der Durchsetzung durch die Aufsichtsbehörden ausgeglichen“, so Dr. Inka Knappertsbusch, Counsel bei CMS in Köln. Bei Siemens Healthineers wünscht man sich laut Mundani: „Harmonisierte Handreichungen durch das Europäische Gremium für KI und die Aufsichtsbehörden, wie die vielen unbestimmten Rechtsbegriffe in der Praxis auszulegen sind. Und vor allem: ein Maßhalten bei etwaigen Sanktionen.“
Als heißer Kandidat für die Marktüberwachung hierzulande gilt die Bundesnetzagentur. Sie ist bereits die zentrale Koordinationsstelle für digitale Dienste und überwacht, ob diese sich an die Regeln des DSA halten. Da es für Entwicklung und Einsatz von KI aber in der Regel personenbezogene Daten braucht, spiele zudem die Datenschutzaufsicht eine wesentliche Rolle, sagt Müller-Peltzer: „Auch hier sind klare Leitlinien und Anwendungshilfen für Unternehmen wichtig mit konkreten Lösungsansätzen anstatt strikter Auslegung, die dann womöglich noch zwischen Berlin und den Bundesländern variiert.“ Vor allem aber komme es jetzt darauf an, die aufgeregte Diskussion um den AI Act auf eine produktive Ebene zu heben – im praxisorientierten Dialog mit den Aufsichtsbehörden.
Vom Verhinderer zum Change Agent – Der EU AI Act fördert auf vielfältige Weise den Rollenwandel der Rechtsabteilung:
- Die neuen KI-Regeln aus Brüssel lassen mehr Gestaltungsspielraum für die Umsetzung als die DSGVO.
- Unsicherheit hemmt Innovation. Mit Implementierung des AI Acts bauen Juristen Leitplanken auf rechtlichem und technischem Neuland.
- Sowohl die interne AI Governance als auch gesetzeskonforme Produkte mit KI erfordern ein tiefes Verständnis für technische Abläufe und Prozesse – im Unternehmen, aber auch im Zusammenspiel mit Zulieferern. Syndizi müssen die Perspektive der Fachbereiche einnehmen, um Prozesse im Sinne einer Compliance by Design so zu strukturieren, dass sie gesetzeskonformes Verhalten sicherstellen.
- Das erweiterte Skillset verleiht eine neue Wahrnehmung bei den Business-Partnern. Der Mehrwert von Legal besteht nicht allein darin, Bußgeldern und Risiken zu vermeiden, sondern die Juristen tragen zum Erfolg eines Geschäftsmodells bei, indem sie verstehen: Wie verbessert KI die Produkte unseres Unternehmens? Welche Faktoren sind mit Blick auf das Vertrauen der Kunden entscheidend? Und wie lässt sich das rechtskonform umsetzen?
Illustration: Stock Spectrum / stock.adobe.com / KI-generiert
