Recht Kurz

Dr. Marcus Georg Tischler & Tim Petermann
Since 04/2020 58 Episoden

Folge051: EU Digitalrecht – AI Act

08.08.2024 10 min

Zusammenfassung & Show Notes

In Folge 051 steigen Tischler und Petermann zusammen mit Dr. Hans Markus Wulf ein in die Welt des AI Act: Europas Pioniergesetzgebung, die Künstliche Intelligenz reguliert. Entdecken Sie, wie es Innovation fördert und gleichzeitig Bürgerrechte schützt. Bleiben Sie „RECHT kurz“ am Puls der Zeit.

Transkript

Moin und herzlich willkommen zurück zu Recht kurz. Moin Markus.
Marcus Tischler
00:00:24
Hi Tim, grüß dich.
Tim Petermann
00:00:25
Moin. Wir sind heute wieder nicht allein. Bei uns ist wieder unser lieber Kollege Dr. Hans-Markus Wulff, unser IT-Rechtsanwalt, der uns ja in der letzten Folge schon mal eine grobe Einordnung über die IT-Sicherheitsverordnung, die da aus Europa auf uns zukommen, gegeben hat. Und wir hatten damals gesagt, weil das Thema so umfassend ist, wir widmen uns jetzt in mehreren Spezialfolgen den einzelnen Aspekten.
Marcus Tischler
00:00:48
Ja, genau. Damals war die letzte Folge, ist jetzt noch nicht Ewigkeiten her. Heute wollen wir uns dann mal die künstliche Intelligenz anschauen.
Dr. Hans Markus Wulf
00:00:57
Sehr gut. Das Überthema ist EU-Digitalrecht. Da gibt es ja im Bereich AI, Informationssicherheit, Datenrecht und Online-Dienste. Und jetzt gucken wir uns den Teilbereich KI an.
Marcus Tischler
00:01:07
Dann mal los, mein Lieber.
Dr. Hans Markus Wulf
00:01:08
Und es ist tatsächlich so, die KI-Verordnung, die greift jetzt einfach für alle Unternehmen. Bei dem EU-Digitalrecht hast du ganz viele Verordnungen, die natürlich für einzelne Bereiche greifen, also Online-Dienste halt nur für solche, die eine Plattform haben, aber KI greift für alle. Und das ist jetzt auch brandaktuell, weil die KI-Verordnung, die ist tatsächlich jetzt eigentlich schon aktuell, wo wir hier aufnehmen, unterzeichnet, aber noch nicht veröffentlicht worden am Splatt. Das kommt jetzt im Juli und dann gilt eine Übergangsfrist von zwei Jahren. Das heißt, wir haben also jetzt für Unternehmen zwei Jahre Zeit, um die Verordnung umzusetzen. Was aber wichtig ist, die Verordnung hat eine Sonderregelung in Bezug auf verbotene KI, da komme ich gleich zu. Die gilt nur mit einer Übergangsfrist von sechs Monaten. Und das wiederum bedeutet, dass faktisch das Bußgeld bewährte Verbot zur Nutzung von verbotener KI schon Ende diesen Jahres greift. Also etwas, was tatsächlich 2024 noch umgesetzt werden muss.
Marcus Tischler
00:02:00
Bedeutet Handlungsbedarf.
Dr. Hans Markus Wulf
00:02:02
Und das Bußgeld für Zuwiderhandlung, was schätzt ihr? Höchstbetrag?
Tim Petermann
00:02:06
Höchstbetrag, Weiß nicht.
Marcus Tischler
00:02:09
500.000?
Tim Petermann
00:02:10
Werden da Gewinne abgeschöpft. 35 Millionen. 35 Millionen. Alles klar.
Dr. Hans Markus Wulf
00:02:14
Muss natürlich auch gucken, die großen Hyperscaler, die haben natürlich das Geld. Also das heißt, die verbotene KI ist ein ernstes Thema und ich würde sagen, wir steigen mal ein. Also Anwendungsbereich KI ist klar, alles was Künstliche Intelligenz ist, Künstliche Intelligenz abzugrenzen zur Software, bedeutet, ich schreibe nicht einen Code vor und der macht dann genau das, was ich gesagt habe, sondern bei KI ist, ich programmiere etwas, dann trainiere ich das Ganze mit Daten Und am Ende weiß der Programmierer eigentlich nicht mehr, warum die Software etwas nachher ausspuckt an Empfehlungen und Vorhersagen und so weiter, weil das alles sozusagen selbst generiert ist, autonom generiert. Das ist KI.
Tim Petermann
00:02:47
Ich finde das immer noch spooky.
Dr. Hans Markus Wulf
00:02:48
Das heißt, KI bedeutet sozusagen eine selbstlernende Software und die EU-Kommission hat sich jetzt überlegt, wie können wir das regulieren, denn wenn KI überall in der Welt eingesetzt wird, vielleicht sogar im militärischen Bereich, dann kann das ganz schnell in die Hose gehen, dann kann es ganz schnell zu Komplikationen gehen, die man nicht mehr zurücksetzen kann. Deswegen wurde jetzt gesagt, wir haben bei der KI, die wollen natürlich möglichst freien Lauf lassen für die Entwicklung, auch für die europäischen Unternehmen, dass die also frei entwickeln können, nicht so streng reguliert, aber schon klar die Gefahrenbereiche, die Risikobereiche, die wollen wir entsprechend regulieren. Und da wurde jetzt gesagt, okay, wir machen jetzt eine Dreiteilung beim KI. Wir haben einmal die verbotene KI, wir haben die Hochrisiko-KI und wir haben die normale KI. Und dann gibt es auch noch die KI-Modelle, die reguliert werden, das ist so ein bisschen Chat-GPT und Co. Und die verbotenen KI, da ist natürlich immer die Frage, die Mandanten fragen uns, was ist denn da nicht verboten, können wir das dann gar nicht einsetzen, was sind die typischen Formen, was ist verboten? Und da ist ein Beispiel, dass zum Beispiel Software, die als KI entwickelt wird und dafür da ist, Verhaltensmanipulationen durchzuführen, dass sowas zu verbieten ist, pauschal schon. Oder wenn ich eine Software entwickle, eine KI entwickle, die Schwächen ausnutzen soll, die sich gezielt auch an bestimmte Krankheitsformen und in den entsprechenden Patienten richtet, um die zu einer Entscheidung zu bewegen, die da möglicherweise nachteilig ist, die werden als verbotene KI qualifiziert und damit ist es eben gleich Bußgeldbewert, wenn das schon eingesetzt wird.
Tim Petermann
00:04:15
Also Bußgeld bewährt ist die Entwicklung schon dieser KI oder die Nutzung des Anbieters?
Dr. Hans Markus Wulf
00:04:21
Das anbieten tatsächlich und auch nutzen natürlich, wenn du als Unternehmen das nutzt. Dann gibt es noch andere Bereiche, Social Scoring zum Beispiel, wenn man über Videos aufbaut mit biometrischer Gesichtserkennung, anfängt dann Profile zu entwickeln und das zu nutzen, wie das in China passiert, gezielte Auslesung von Gesichtsbildern aus dem Internet, indem man dann eine Gesichtsdatenbank aufbaut. Also das ist eine Regelung, die sozusagen als Anlage zur KI-Verordnung auch umgesetzt wurde, Wo gesagt wurde, wir haben in Artikel 5 die verbotene KI und wir haben dann in Bezug auf Hochrisiko, haben wir dann in der Anlage eine Konkretisierung, die dann angepasst werden kann später. Das ist der Sinn und Zweck, dass nicht die KI-Verordnung jeweils geändert werden muss, sondern wenn neue Technologien kommen, dann hat die Kommission die Möglichkeit, entsprechend die Anlage einfach anzunehmen. Also verbotene KI ist der erste Teil, der zweite Teil ist die Hochrisiko-KI, also die Frage, wo ist der sensible Anwendungsbereich und da haben wir beispielsweise die Kritis-Bereiche, wenn wir sagen, wir haben also ein Wasserkraftwerk oder eine große Versicherung oder eine große Bank und setzen jetzt KI ein für die Prozesse, die für die Gesellschaft insgesamt wichtig sind, in dem Moment ist es Kritis-KI im Hochrisiko-Bereich und muss entsprechend reguliert werden. Ein Beispiel, was noch relevant ist, wenn das im Rahmen der Migration eingesetzt wird. Ich entscheide über einen Asylantrag mit einer KI automatisiert. Das ist Hochrisiko. Aber besonders relevant für unsere Mandanten ist der Bereich HR und Bildung. Denn in dem Bereich, wenn KI eingesetzt wird, haben wir automatisch das Hochrisikothema. Hochrisiko-KI bedeutet hochreguliert, also sehr, sehr hohe Anforderungen, Risikobewertung, menschliche Aufregung usw. Das heißt, die Unternehmen, die uns momentan konsultieren, sagen, wir wollen hier eine Software im HR- oder im Bildungsbereich einsetzen. Das ist ja Hochrisiko-KI. Was bedeutet das für uns? Wie setzen wir es um? Das heißt, wenn ich eine Software einsetze, um 1000 Bewerbungen auszuselektieren und die KI entscheidet dann, diese 10 werden rausgesucht und die werden dann vorgestellt und die werden eingeladen, dann ist das ein Hochrisikobereich. Nur zur Abgrenzung, das ist wichtig, diese ganze KI-Verordnung dreht sich eigentlich um den Hochrisikobereich und damit für Unternehmen realistischerweise Bildung und HR. Und dann gibt es noch die normale KI, die umgesetzt wird. Da geht es dann tatsächlich nur um Transparenzpflichten. Wenn ich also zum Beispiel Text generieren lasse auf meiner Webseite oder wenn ich ein Chatbot einsetze, dann muss ich vorher informieren, Achtung, wir haben hier KI im Einsatz. Und wenn die Unternehmen jetzt kommen und sagen, okay, wir haben jetzt im HR-Bereich eine Software, die benutzt KI-Algorithmen und ist sehr effektiv, was müssen wir denn jetzt tun? Dann ist immer die Frage, was sind denn die Umsetzungspflichten? Und da gibt es einen Artikel 26 und den muss sich dann jedes Unternehmen mal angucken. Da geht es dann um die Frage, welche technischen organisatorischen Maßnahmen wurden getroffen, damit man entsprechend die Gebrauchsanweisung der KI einsetzt. Haben wir jemanden abgestellt im Unternehmen, der diese Hochrisikosoftware entsprechend bewacht? Haben wir bei den Eingabedaten, die Trainingsdaten für die KI, haben wir darauf geachtet, dass Datencompliance existiert, dass wir die entsprechenden repräsentativen Daten auch verwendet haben oder sind da einzelne Datenbestände gar nicht berücksichtigt. Da müssen wir gucken, haben wir informiert, insbesondere die eigenen Mitarbeiter in Bezug auf die Nutzung der Hochrisiko-KI. Es muss alles protokolliert werden, die müssen auch rausgegeben werden, die Informationen an die Aufsichtsbehörden, die momentan natürlich auch schon sich vorbereiten. Ist übrigens jetzt gerade vor einer Woche entschieden worden, dass die Bundesnetzagentur die Aufsichtsbehörde sein wird in Deutschland für das Thema AI. Die Landesdatenschutzbehörden hatten sich beworben, Bundesdatenschutzbeauftragte auch, aber die sind es nachher nicht geworden. Also die Bundesnetzagentur richtet sich jetzt darauf ein, Aufsichtsbehörde zu werden. Und dann muss da noch eine Datenschutzfolgenabschätzung gemacht werden, wenn ein Unternehmen entscheidet, zum Beispiel im Bildungs- oder im HR-Bereich KI einzusetzen. Dann müssen sie entsprechend loslegen und sagen, okay, was hat das eigentlich für Auswirkungen auf Personenbezogene.
Tim Petermann
00:07:56
Kann ich, wenn ich als Unternehmen eine KI einsetzen will, die beschaffe ich mir irgendwie, die muss ich mir irgendwo einkaufen? Gibt es da eine Art CE-Kennzeichnung oder wie auch immer, dass mich als Unternehmen, die eben diese KI einsetzt, darauf verlassen kann, das ist System, so wie es angeboten wird, darf ich auch einsetzen?
Dr. Hans Markus Wulf
00:08:14
Ja, es gibt tatsächlich nachher, wenn man Anbieter ist von so einer KI, insbesondere Hochrisiko-KI, gibt es eine Möglichkeit tatsächlich dann zu sagen, wir haben hier die Anforderungen erfüllt und wir lassen das auch zertifizieren. Es gibt sogar einen eigenen Act, eine eigene Verordnung, Cyber Security Act, gibt es schon ein paar Jahre, der diese Zertifizierung nachher regelt, wo dann gesagt wird, okay, was gibt es für akkreditierte Unternehmen, die auch eine Zertifizierung durchführen können, die sagen, okay, wir haben das auf die KI-Verordnung geprüft. Das einmal vorweg, was müssen Unternehmen also machen vielleicht? Wir haben hier einen relativ kurzen Zeitraum natürlich, man kann zwei Tage darüber referieren.
Marcus Tischler
00:08:46
Ja, aber nicht mal recht kurz.
Dr. Hans Markus Wulf
00:08:47
Wir sind recht kurz hier, deswegen, also wenn ich gefragt werde von meinem Mann, was machen wir? Erstens checken, haben wir KI im Einsatz? Zweitens checken, haben wir welche Kategorie? Haben wir die verbotene Kategorie, haben wir Hochrisiko oder haben wir einfache Kategorie? Und wenn, dann gucken wir uns an, was haben wir jetzt für entsprechende Vorgaben, Gesetzesvorgaben, Gap-Analyse machen, was haben wir schon für Policies, was haben wir schon für Regelungen, welche nicht und dann tatsächlich ein, zwei Leute im Team einsetzen, um entsprechend die KI-Compliance umzusetzen. Es sollte auf jeden Fall eine KI-Richtlinie erstellt werden. Das ist sozusagen die Vorgehensweise, die wir dann auch begleiten bei dem Mandant.
Tim Petermann
00:09:20
Okay, wow. Also das war viel Input, allerdings, wie du schon sagtest, Markus, recht kurz. Wir wollen das hier mal abbinden. Welches Thema nehmen wir uns in zwei Wochen vor? Die NIS-2-Richtlinie.
Dr. Hans Markus Wulf
00:09:31
Die NIS-2-Richtlinie. Die muss jetzt im Oktober umgesetzt werden.
Tim Petermann
00:09:33
Ja, okay. Und vielleicht ergeben sich ja dann auch aus Zuschriften nochmal Fragen hierzu. Genau. Dann überlegen wir uns, ob wir hier einfach nochmal ansetzen. Ganz herzlichen Dank, Markus.
Marcus Tischler
00:09:43
Und bis zum nächsten Mal.
Tim Petermann
00:09:45
Ja, dir sowieso.
Marcus Tischler
00:09:45
Ciao.
Tim Petermann
00:09:46
Macht's gut. Tschüss.

2024 - Dr. Marcus Georg Tischler & Tim Petermann