Risikobasierter Ansatz des KI-VO-E
Die KI VO legt eine Reihe von Pflichten und Regelungen fest, die bei der Nutzung von KI zu beachten sind. Erfasst sind nicht nur „Anbieter“ (also Hersteller bzw. Entwickler) von KI-Systemen, sondern auch Unternehmen, die – bewusst oder unbewusst – bspw. Software mit KI-Elementen einsetzen. Außerdem werden Importeure, die KI-Systeme aus dem Ausland in den europäischen Markt einführen oder die Systeme betreiben, vom Anwendungsbereich erfasst.
Der Entwurf der KI-VO verfolgt einen risikobasierten Ansatz: Je höher die Risiken sind, die von KI-Systemen für die Grundrechte der betroffenen Rechtsgüter ausgehen, desto strenger sind die regulatorischen Anforderungen. Der KI VO-E sieht vier Risikostufen vor. Verboten sind lediglich KI-Praktiken mit unannehmbaren Risiko. Verboten sind damit etwa KI-Systeme zur Klassifizierung der Vertrauenswürdigkeit von Menschen (Socialkredit-Scoring-Systeme). Hochrisiko-Systeme, KI-Systeme mit beschränktem und minimalem Risiko sind hingegen im Grundsatz nach dem KI VO-E erlaubt. Je nach Höhe des Risikos sind jedoch unterschiedliche Anforderungen einzuhalten. Beim Einsatz von KI-Systemen mit beschränktem Risiko sind etwa Transparenzpflichten umzusetzen. Gemeint sind etwa Chatbots, die den Anschein erwecken, dass eine menschliche Kommunikation stattfindet. Vor Beginn der Kommunikation wäre nach dem KI VO-E über den Einsatz des Chatbots aufzuklären, damit die menschlichen Nutzer nicht irrig annehmen, mit einem Menschen zu interagieren. Für KI-Systeme mit minimalem Risiko ist sogar diese Kennzeichnung freigestellt.
Für Verstöße sieht der KI-VO-E gravierende Sanktionen vor, die sogar den Bußgeldrahmen der Datenschutzgrundverordnung übersteigen. Es drohen Untersagungsverfügungen sowie Bußgelder von bis zu 30 Millionen Euro oder 6 Prozent des gesamten weltweiten Jahresumsatzes, je nachdem welcher Betrag höher ist. Flankierend plant die EU auch eigenständige gesetzlich Vorgaben zur Haftung bei Schäden, die durch KI verursacht werden – es drohen weitgehende Pflichten zur Offenlegung der Algorithmen, um die Ursache von Schädigungen nachvollziehen zu können.
Bedeutung für die digitale Rechtsabteilung
In Anbetracht steigender Herausforderungen (etwa durch Arbeitsbelastung, Anfragenzunahme, und Komplexität juristischer Arbeit) besteht auch für Rechtsabteilungen die Notwendigkeit zu effizienter Prozessabwicklung und Knowledge Management. Es gibt bereits eine Reihe von Legal Tech Tools, die in Kanzleien und Rechtsabteilungen zum Einsatz kommen, etwa Lawlift zur Dokumentenautomation, Bryter zur Erstellung von Automatisierungsanwendungen für Entscheidungsprozesse, Luminance für KI-gestützte Überprüfung von Dokumenten sowie eBrevia für die Vertragsanalyse. Als Collaboration Tools haben sich bspw. Litera und HighQ bewährt. Viele Kanzleien und Rechtsabteilungen nutzen auch iManage oder Legisway Enterprise zur Dokumentenablage und zum Knowledge Management. Teilweise kommt auch schon ChatGPT zum Einsatz. Die zuvor beschriebenen Anforderungen der KI-VO-E werden zukünftig auch hier gelten.
Maßnahmenpaket
Unternehmen und Rechtsabteilungen sollten beim Einsatz von KI-Systemen aktuell einen risikobasierten Ansatz wählen, um Chancen und Risiken dieser neuen Technologie in einem ausgewogenen Maß nutzen zu können. Gleichzeitig kann damit der kommenden KI-VO-E vorgegriffen werden. Folgende Maßnahmen erscheinen abstrakt sinnvoll:
- Identifizierung von KI-Systemen: Es sollten Verzeichnisse über aktuell im Unternehmen verwendete oder geplante KI-Systeme erstellt werden, die Voraussetzung für die Einführung eines unternehmensinternen Systems zur Risikoklassifizierung sind.
- Transparenz und Dokumentation: Der Einsatz von KI-Systemen (Zweck, verwendete Daten, generierter Output, Verantwortliche) muss nachvollziehbar dokumentiert werden.
- Risikobewertung: Vor dem Einsatz von KI-Systemen muss eine umfassende Risikobewertung (etwa zu Datenschutz, IT-Sicherheit, Geschäftsgeheimnissen und ethische Überlegungen) durchgeführt werden, um mögliche negative Auswirkungen zu identifizieren und risikomindernde Gegenmaßnahmen zu ergreifen.
- Menschliche Aufsicht: Es muss sichergestellt werden, dass KI-Systeme nicht autonom und unkontrolliert agieren, sondern von qualifizierten Fachkräften überwacht werden.
- Verantwortlichkeit und Compliance: Unternehmen sind dafür verantwortlich, dass KI-Systeme in Übereinstimmung mit geltenden Gesetzen und Vorschriften eingesetzt werden.
Überlegungen zu ChatGPT
Offen ist in Anbetracht der variablen Nutzungsmöglichkeiten von Generative Pre Trained (GPT) Modellen, wie diese zukünftig reguliert werden. Zusätzlich gilt es weitere Gesichtspunkte zu berücksichtigen, wie etwa die Vertraulichkeit der eigenen Daten und der Mandatsinformationen beim Einsatz von ChatGPT. Denn zumindest ohne weitere Anpassungen übermittelt ChatGPT die über Prompts eingegebenen Daten an OpenAI; dies lässt sich jedoch über eine Anpassung von ChatGPT oder eigene Large Language Models (LLMs) verhindern. Die Drogeriemarktkette DM nutzt übrigens hierfür bereits eine eigens angepasste Version von ChatGPT („dmGPT“), die keine Daten an OpenAI übermittelt. Für alle Nutzer von KI ist zudem die Überprüfung der KI-generierten Inhalte oberste Pflicht. Denn KI-Systeme „halluzinieren“ manchmal! Man darf sich also nicht blind auf die KI verlassen.
