Die KI-Verordnung kommt. Die rechtskonforme Nutzung von KI-Systemen wird zur Compliance-Anforderung!
Anwendungen von Künstlicher Intelligenz gelangen zunehmend in vielschichtiger Weise zum Einsatz. Durch den Zugriff auf Daten ermöglichen KI-Methoden z. B. Sprachverarbeitung, Musterkennungen und Prognosen. Exemplarisch sind etwa im Gesundheitssektor KI-Systeme zu nennen, die sich von der medizinischen Diagnostik, der Wahl medizinischer Therapien, die effizientere Gestaltung von Arbeitsabläufen im Krankenhausalltag bis hin zur Berechnung individueller Komplikationsrisiken bei Operationen erstrecken. Ein wesentlicher Treiber ist die Kombination aus Big Data und KI, indem ein KI-basiertes System immense Datenmengen kombiniert, Zusammenhänge aus tausenden von vorangegangenen Fällen ableitet und in kürzester Zeit diese Daten analysiert. Auf diese Weise kann etwa eine datengetriebene Entscheidungsunterstützung durch den Einsatz von KI, etwa auch im Hinblick auf die Entscheidungsfindung durch Geschäftsführung und Vorstand, erfolgen.
In rechtlicher Hinsicht sind dabei u.a. datenschutzrechtliche und arbeitsrechtliche Vorgaben sowie insbesondere zukünftig die „Verordnung des Europäischen Parlaments und des Rates zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz“ (KI-VO) zu beachten. Der Gesetzesentwurf, der voraussichtlich bis Ende des Jahres bzw. Anfang kommenden Jahres in Kraft treten wird, normiert einen umfassenden Rechtsrahmen für den Einsatz von KI-Systemen innerhalb der EU und ist von hoher praktischer Bedeutung für sämtliche Unternehmen.
Wesentliche Aspekte des Entwurfs der KI-VO sind:
- Gesetzliche (weite) Definition des Begriffs „KI-System“;
- Risikobasierter Ansatz mit Verpflichtungen für Hersteller, Betreiber und Nutzer in Abhängigkeit zum jeweiligen Risiko des KI-Systems;
- Die Risikostufen reichen von inakzeptablen, verbotenen KI-Systemen, über KI-Systeme mit hohem Risiko bis hin zu solchen mit geringem Risiko;
- Regelungen zur Rechtsdurchsetzung und Aufsicht über die Einhaltung der KI-VO sowie ein Bußgeldkatalog mit unterschiedlichen Sanktionsstufen.
Praxishinweis:
Für die Praxis bedeutet dies, dass Unternehmen sich frühzeitig mit den rechtlichen Rahmenbedingungen für einen rechtskonformen Einsatz von KI-Systemen befassen sollten. Es gilt, die – im Hinblick auf die lange Umsetzungsdauer negativen – Erfahrungen aus der Einführung der Datenschutzanforderungen der DSGVO nicht zu wiederholen. Denn auch die Umsetzung der KI-VO dürfte vielschichtige Anforderungen für Unternehmen mit sich bringen, wie etwa die strategische Entscheidung, wer im Unternehmen für die Einhaltung der KI-Governance zuständig sein soll. Es sind Prozesse zur Auswahl und Qualität von KI-Systemen, Risikoklassifizierung, Dokumentation, Einhaltung von Informations- und Transparenzpflichten sowie Überwachung der Einhaltung rechtlicher und ethischer Rahmenbedingungen zu etablieren. Hierfür bedarf es des Aufbaus geeigneter Governance-Strukturen, um ein Risikomanagement-System zu etablieren und sicherzustellen, dass z. B. über den gesamten Lebenszyklus des KI-Systems eine Risikobewertung durchgeführt und Maßnahmen zur Risikobekämpfung ergriffen werden können.