Folge051: EU Digitalrecht – AI Act
08.08.2024 10 min
Zusammenfassung & Show Notes
In Folge 051 steigen Tischler und Petermann zusammen mit Dr. Hans Markus Wulf ein in die Welt des AI Act: Europas Pioniergesetzgebung, die Künstliche Intelligenz reguliert. Entdecken Sie, wie es Innovation fördert und gleichzeitig Bürgerrechte schützt. Bleiben Sie „RECHT kurz“ am Puls der Zeit.
Transkript
Moin und herzlich willkommen zurück zu Recht kurz. Moin Markus.
Hi Tim, grüß dich.
Moin. Wir sind heute wieder nicht allein. Bei uns ist wieder unser lieber Kollege Dr.
Hans-Markus Wulff, unser IT-Rechtsanwalt, der uns ja in der letzten Folge schon
mal eine grobe Einordnung über die IT-Sicherheitsverordnung,
die da aus Europa auf uns zukommen, gegeben hat.
Und wir hatten damals gesagt, weil das Thema so umfassend ist,
wir widmen uns jetzt in mehreren Spezialfolgen den einzelnen Aspekten.
Ja, genau. Damals war die letzte Folge, ist jetzt noch nicht Ewigkeiten her.
Heute wollen wir uns dann mal die künstliche Intelligenz anschauen.
Sehr gut. Das Überthema ist EU-Digitalrecht. Da gibt es ja im Bereich AI,
Informationssicherheit, Datenrecht und Online-Dienste.
Und jetzt gucken wir uns den Teilbereich KI an.
Dann mal los, mein Lieber.
Und es ist tatsächlich so, die KI-Verordnung, die greift jetzt einfach für alle Unternehmen.
Bei dem EU-Digitalrecht hast du ganz viele Verordnungen, die natürlich für einzelne
Bereiche greifen, also Online-Dienste halt nur für solche, die eine Plattform
haben, aber KI greift für alle.
Und das ist jetzt auch brandaktuell, weil die KI-Verordnung,
die ist tatsächlich jetzt eigentlich schon aktuell, wo wir hier aufnehmen,
unterzeichnet, aber noch nicht veröffentlicht worden am Splatt.
Das kommt jetzt im Juli und dann gilt eine Übergangsfrist von zwei Jahren.
Das heißt, wir haben also jetzt für Unternehmen zwei Jahre Zeit,
um die Verordnung umzusetzen.
Was aber wichtig ist, die Verordnung hat eine Sonderregelung in Bezug auf verbotene
KI, da komme ich gleich zu.
Die gilt nur mit einer Übergangsfrist von sechs Monaten. Und das wiederum bedeutet,
dass faktisch das Bußgeld bewährte Verbot zur Nutzung von verbotener KI schon
Ende diesen Jahres greift.
Also etwas, was tatsächlich 2024 noch umgesetzt werden muss.
Bedeutet Handlungsbedarf.
Und das Bußgeld für Zuwiderhandlung, was schätzt ihr? Höchstbetrag?
Höchstbetrag,
Weiß nicht.
500.000?
Werden da Gewinne abgeschöpft. 35 Millionen. 35 Millionen. Alles klar.
Muss natürlich auch gucken, die großen Hyperscaler, die haben natürlich das
Geld. Also das heißt, die verbotene
KI ist ein ernstes Thema und ich würde sagen, wir steigen mal ein.
Also Anwendungsbereich KI ist klar, alles was Künstliche Intelligenz ist,
Künstliche Intelligenz abzugrenzen zur Software, bedeutet, ich schreibe nicht
einen Code vor und der macht dann genau das, was ich gesagt habe,
sondern bei KI ist, ich programmiere etwas, dann trainiere ich das Ganze mit
Daten Und am Ende weiß der Programmierer eigentlich nicht mehr,
warum die Software etwas nachher ausspuckt an Empfehlungen und Vorhersagen und
so weiter, weil das alles sozusagen selbst generiert ist, autonom generiert. Das ist KI.
Ich finde das immer noch spooky.
Das heißt, KI bedeutet sozusagen eine selbstlernende Software und die EU-Kommission
hat sich jetzt überlegt, wie können wir das regulieren, denn wenn KI überall
in der Welt eingesetzt wird, vielleicht sogar im militärischen Bereich,
dann kann das ganz schnell in die Hose gehen, dann kann es ganz schnell zu Komplikationen
gehen, die man nicht mehr zurücksetzen kann.
Deswegen wurde jetzt gesagt, wir haben bei der KI,
die wollen natürlich möglichst freien Lauf lassen für die Entwicklung,
auch für die europäischen Unternehmen, dass die also frei entwickeln können,
nicht so streng reguliert, aber schon klar die Gefahrenbereiche,
die Risikobereiche, die wollen wir entsprechend regulieren.
Und da wurde jetzt gesagt, okay, wir machen jetzt eine Dreiteilung beim KI.
Wir haben einmal die verbotene KI, wir haben die Hochrisiko-KI und wir haben die normale KI.
Und dann gibt es auch noch die KI-Modelle, die reguliert werden,
das ist so ein bisschen Chat-GPT und Co.
Und die verbotenen KI, da ist natürlich immer die Frage, die Mandanten fragen
uns, was ist denn da nicht verboten, können wir das dann gar nicht einsetzen,
was sind die typischen Formen, was ist verboten?
Und da ist ein Beispiel, dass zum Beispiel Software, die als KI entwickelt wird
und dafür da ist, Verhaltensmanipulationen durchzuführen, dass sowas zu verbieten ist, pauschal schon.
Oder wenn ich eine Software entwickle, eine KI entwickle, die Schwächen ausnutzen soll,
die sich gezielt auch an bestimmte Krankheitsformen und in den entsprechenden
Patienten richtet, um die zu einer Entscheidung zu bewegen, die da möglicherweise
nachteilig ist, die werden als verbotene KI qualifiziert und damit ist es eben
gleich Bußgeldbewert, wenn das schon eingesetzt wird.
Also Bußgeld bewährt ist die Entwicklung schon dieser KI oder die Nutzung des Anbieters?
Das anbieten tatsächlich und auch nutzen natürlich, wenn du als Unternehmen das nutzt.
Dann gibt es noch andere Bereiche, Social Scoring zum Beispiel,
wenn man über Videos aufbaut mit biometrischer Gesichtserkennung,
anfängt dann Profile zu entwickeln und das zu nutzen, wie das in China passiert,
gezielte Auslesung von Gesichtsbildern aus dem Internet, indem man dann eine
Gesichtsdatenbank aufbaut.
Also das ist eine Regelung, die sozusagen als Anlage zur KI-Verordnung auch
umgesetzt wurde, Wo gesagt wurde, wir haben in Artikel 5 die verbotene KI und
wir haben dann in Bezug auf Hochrisiko, haben wir dann in der Anlage eine Konkretisierung,
die dann angepasst werden kann später.
Das ist der Sinn und Zweck, dass nicht die KI-Verordnung jeweils geändert werden
muss, sondern wenn neue Technologien kommen, dann hat die Kommission die Möglichkeit,
entsprechend die Anlage einfach anzunehmen.
Also verbotene KI ist der erste Teil, der zweite Teil ist die Hochrisiko-KI,
also die Frage, wo ist der sensible Anwendungsbereich und da haben wir beispielsweise
die Kritis-Bereiche, wenn wir sagen,
wir haben also ein Wasserkraftwerk oder eine große Versicherung oder eine große
Bank und setzen jetzt KI ein für die Prozesse, die für die Gesellschaft insgesamt wichtig sind,
in dem Moment ist es Kritis-KI im Hochrisiko-Bereich und muss entsprechend reguliert werden.
Ein Beispiel, was noch relevant ist, wenn das im Rahmen der Migration eingesetzt wird.
Ich entscheide über einen Asylantrag mit einer KI automatisiert.
Das ist Hochrisiko. Aber besonders relevant für unsere Mandanten ist der Bereich HR und Bildung.
Denn in dem Bereich, wenn KI eingesetzt wird, haben wir automatisch das Hochrisikothema.
Hochrisiko-KI bedeutet hochreguliert, also sehr, sehr hohe Anforderungen,
Risikobewertung, menschliche Aufregung usw. Das heißt, die Unternehmen,
die uns momentan konsultieren, sagen, wir wollen hier eine Software im HR- oder
im Bildungsbereich einsetzen.
Das ist ja Hochrisiko-KI. Was bedeutet das für uns? Wie setzen wir es um?
Das heißt, wenn ich eine Software einsetze, um 1000 Bewerbungen auszuselektieren
und die KI entscheidet dann, diese 10 werden rausgesucht und die werden dann
vorgestellt und die werden eingeladen, dann ist das ein Hochrisikobereich.
Nur zur Abgrenzung, das ist wichtig, diese ganze KI-Verordnung dreht sich eigentlich
um den Hochrisikobereich und damit für Unternehmen realistischerweise Bildung und HR.
Und dann gibt es noch die normale KI, die umgesetzt wird.
Da geht es dann tatsächlich nur um Transparenzpflichten. Wenn ich also zum Beispiel
Text generieren lasse auf meiner Webseite oder wenn ich ein Chatbot einsetze,
dann muss ich vorher informieren, Achtung, wir haben hier KI im Einsatz.
Und wenn die Unternehmen jetzt kommen und sagen, okay, wir haben jetzt im HR-Bereich
eine Software, die benutzt KI-Algorithmen und ist sehr effektiv,
was müssen wir denn jetzt tun?
Dann ist immer die Frage, was sind denn die Umsetzungspflichten?
Und da gibt es einen Artikel 26 und den muss sich dann jedes Unternehmen mal angucken.
Da geht es dann um die Frage, welche technischen organisatorischen Maßnahmen
wurden getroffen, damit man entsprechend die Gebrauchsanweisung der KI einsetzt.
Haben wir jemanden abgestellt im Unternehmen, der diese Hochrisikosoftware entsprechend bewacht?
Haben wir bei den Eingabedaten, die Trainingsdaten für die KI,
haben wir darauf geachtet, dass Datencompliance existiert, dass wir die entsprechenden
repräsentativen Daten auch verwendet haben oder sind da einzelne Datenbestände
gar nicht berücksichtigt.
Da müssen wir gucken, haben wir informiert, insbesondere die eigenen Mitarbeiter
in Bezug auf die Nutzung der Hochrisiko-KI.
Es muss alles protokolliert werden, die müssen auch rausgegeben werden,
die Informationen an die Aufsichtsbehörden, die momentan natürlich auch schon
sich vorbereiten. Ist übrigens jetzt gerade vor einer Woche entschieden worden,
dass die Bundesnetzagentur die Aufsichtsbehörde sein wird in Deutschland für das Thema AI.
Die Landesdatenschutzbehörden hatten sich beworben, Bundesdatenschutzbeauftragte
auch, aber die sind es nachher nicht geworden.
Also die Bundesnetzagentur richtet sich jetzt darauf ein, Aufsichtsbehörde zu werden.
Und dann muss da noch eine Datenschutzfolgenabschätzung gemacht werden,
wenn ein Unternehmen entscheidet, zum Beispiel im Bildungs- oder im HR-Bereich
KI einzusetzen. Dann müssen sie entsprechend loslegen und sagen,
okay, was hat das eigentlich für Auswirkungen auf Personenbezogene.
Kann ich, wenn ich als Unternehmen eine KI einsetzen will, die beschaffe ich
mir irgendwie, die muss ich mir irgendwo einkaufen?
Gibt es da eine Art CE-Kennzeichnung oder wie auch immer, dass mich als Unternehmen,
die eben diese KI einsetzt, darauf verlassen kann, das ist System,
so wie es angeboten wird, darf ich auch einsetzen?
Ja, es gibt tatsächlich nachher, wenn man Anbieter ist von so einer KI,
insbesondere Hochrisiko-KI, gibt es eine Möglichkeit tatsächlich dann zu sagen,
wir haben hier die Anforderungen erfüllt und wir lassen das auch zertifizieren.
Es gibt sogar einen eigenen Act, eine eigene Verordnung, Cyber Security Act,
gibt es schon ein paar Jahre, der diese Zertifizierung nachher regelt,
wo dann gesagt wird, okay, was gibt es für akkreditierte Unternehmen,
die auch eine Zertifizierung durchführen können, die sagen, okay,
wir haben das auf die KI-Verordnung geprüft.
Das einmal vorweg, was müssen Unternehmen also machen vielleicht?
Wir haben hier einen relativ kurzen Zeitraum natürlich, man kann zwei Tage darüber referieren.
Ja, aber nicht mal recht kurz.
Wir sind recht kurz hier, deswegen, also wenn ich gefragt werde von meinem Mann, was machen wir?
Erstens checken, haben wir KI im Einsatz? Zweitens checken, haben wir welche Kategorie?
Haben wir die verbotene Kategorie, haben wir Hochrisiko oder haben wir einfache Kategorie?
Und wenn, dann gucken wir uns an, was haben wir jetzt für entsprechende Vorgaben,
Gesetzesvorgaben, Gap-Analyse machen, was haben wir schon für Policies,
was haben wir schon für Regelungen, welche nicht und dann tatsächlich ein,
zwei Leute im Team einsetzen, um entsprechend die KI-Compliance umzusetzen.
Es sollte auf jeden Fall eine KI-Richtlinie erstellt werden.
Das ist sozusagen die Vorgehensweise, die wir dann auch begleiten bei dem Mandant.
Okay, wow. Also das war viel Input, allerdings, wie du schon sagtest,
Markus, recht kurz. Wir wollen das hier mal abbinden.
Welches Thema nehmen wir uns in zwei Wochen vor? Die NIS-2-Richtlinie.
Die NIS-2-Richtlinie. Die muss jetzt im Oktober umgesetzt werden.
Ja, okay. Und vielleicht ergeben sich ja dann auch aus Zuschriften nochmal Fragen hierzu.
Genau. Dann überlegen wir uns, ob wir hier einfach nochmal ansetzen.
Ganz herzlichen Dank, Markus.
Und bis zum nächsten Mal.
Ja, dir sowieso.
Ciao.
Macht's gut. Tschüss.
Marcus Tischler
00:00:24
Tim Petermann
00:00:25
Marcus Tischler
00:00:48
Dr. Hans Markus Wulf
00:00:57
Marcus Tischler
00:01:07
Dr. Hans Markus Wulf
00:01:08
Marcus Tischler
00:02:00
Dr. Hans Markus Wulf
00:02:02
Tim Petermann
00:02:06
Marcus Tischler
00:02:09
Tim Petermann
00:02:10
Dr. Hans Markus Wulf
00:02:14
Tim Petermann
00:02:47
Dr. Hans Markus Wulf
00:02:48
Tim Petermann
00:04:15
Dr. Hans Markus Wulf
00:04:21
Tim Petermann
00:07:56
Dr. Hans Markus Wulf
00:08:14
Marcus Tischler
00:08:46
Dr. Hans Markus Wulf
00:08:47
Tim Petermann
00:09:20
Dr. Hans Markus Wulf
00:09:31
Tim Petermann
00:09:33
Marcus Tischler
00:09:43
Tim Petermann
00:09:45
Marcus Tischler
00:09:45
Tim Petermann
00:09:46