32 01 | 2022 folio und
32 01 | 2022 folio und die Kapitalstruktur insbesondere von Investmentbanken zu optimieren. KI und der Gesetzesdschungel Während inzwischen Unternehmen aller Branchen große Bereitschaft zeigen, in den Einsatz von KI-Systemen als wichtigste Zukunftstechnologie zu investieren, sehen viele Firmen insbesondere rechtliche Unsicherheiten als eine Bremse in der Entwicklung rund um KI im eigenen Haus. Für die Anwendung von KI-Modellen gibt es derzeit zwar noch keinen eigenständigen rechtlichen Rahmen, es existiert jedoch bereits ein breites Regelungswerk auf nationaler sowie auch internationaler Ebene, das Unternehmen zu beachten haben. Hierzu gehören unter anderem das Vertragsrecht bei Kooperationsverträgen, das Urheberrecht und Patentrecht bei der Nutzung von KI, das Datenschutzrecht sowie die geplante KI-Verordnung (2021/0106 (COD). Mit Blick auf das Risikomanagement sind außerdem die Mindestanforderungen an das Risikomanagement (MaRisk) für den Banken- und Finanzdienstleistungssektor sowie die durch die BaFin veröffentlichten Positionspapiere für den Einsatz von KI zu beachten. Die EU-KI-Verordnung – ein neues Rechtsgebiet Der Vorschlag der EU-Kommission für eine KI-Verordnung aus dem April 2021 ist Teil der Bestrebung, einen einheitlichen Regelungsrahmen auf europäischer Ebene zu schaffen. Diese Verordnung, die wohl erst im Jahr 2023 oder sogar noch später in Kraft treten wird, verfolgt einen sektorübergreifenden, risikobasierten Ansatz für die Regulierung der Technologie. Die KI-Verordnung adressiert sowohl Entwickler als auch Nutzer von KI, die diese in ihrem beruflichen Umfeld verwenden. Sie versucht, den Einsatz vertrauensvoller KI in der EU zu stärken, indem sie diese in verschiedene Risikokategorien einstuft und gewisse KI-Systeme untersagt, um den Schutz von EU-Grundrechten zu gewährleisten. KI-Systeme mit geringem Risiko, wie etwa Chatbots oder Spamfilter, unterliegen außer einzelnen Transparenzpflichten keinerlei regulatorischen Vorgaben, sodass die Verordnung in ihrem Kern Hochrisiko-KI betrifft. Ein hohes Risiko beim Einsatz von KI-Systemen ergibt sich gemäß der KI-Verordnung aus den zu erwartenden negativen Auswirkungen auf die europäischen Grundrechte. Diese negativen Konsequenzen werden beispielsweise beim Gebrauch von KI im Bereich von kritischen Infrastrukturen (z. B.im Verkehr), bei Sicherheitskomponenten von Produkten oder etwa bei der Beschäftigung bzw. beim Personalmanagement befürchtet. Dementsprechend haben Anbieter und Nutzer vor und während der Marktzulassung umfassende Pflichten zu berücksichtigen, wie zum Beispiel die Konformitätsbewertung, Risikomanagement, Wahrung der menschlichen Aufsicht über das System, technische Dokumentation, Genauigkeit, Robustheit und Cyber-Sicherheit sowie das Qualitätsmanagement. Ferner obliegen dem Anbieter und Nutzer auch die laufende Beobachtung sowie die Meldung von schweren Vorfällen sowie die Durchführung entsprechender Abhilfemaßnahmen. Bei einem schweren Verstoß gegen Vorgaben dieser Verordnung drohen Unternehmen hohe Bußgelder von bis zu 20 Mio. € oder 6 Prozent des weltweiten Jahresumsatzes. Datenschutz auch bei KI beachten Beim Einsatz von KI sollten Unternehmen der Finanzbranche stets auch datenschutzrechtliche Risiken und Anforderungen im Blick haben. Sobald KI solche Daten verarbeitet, die die Identifizierung einer natürlichen Person ermöglichen, fallen diese Tätigkeiten unter die EU-Datenschutzgrundverordnung, die in Deutschland durch das Bundesdatenschutzgesetz (BDSG) ergänzt wird. Entscheidend ist hier die technische Umsetzung der KI, denn Entscheidungen mit rechtlicher oder grundrechtsbeeinträchtigender Wirkung dürfen nicht allein einer Maschine überlassen werden. Es gelten außerdem die allgemeinen Grundsätze der DSGVO, etwa der Grundsatz der Datenminimierung. Personenbezogene Daten dürfen demzufolge ausschließlich für einen angemessenen und erheblichen Zweck sowie in dem dafür erforderlichen erheblichen Maße verarbeitet werden.
01 | 2022 33 Diese Grundsätze sind von dem Verantwortlichen mit Technikgestaltung (Privacy by Design) und mit datenschutzfreundlichen Voreinstellungen (Privacy by Default) umzusetzen. Unabhängig davon, welche technische Gestaltung hinter der KI genau steckt, kann ein Compliance-Aufwand aus datenschutzrechtlicher Sicht durch die Pseudonymisierung personenbezogener Daten entsprechend verringert werden. Idealerweise sollte zur Vermeidung des Unterfallens unter den Anwendungsbereich der DSGVO oder des BDSGs sogar eine Anonymisierung der relevanten personenbezogenen Daten vor der Verarbeitung durch die KI erfolgen. In Fällen, in denen der Anwendungsbereich der DSGVO weiterhin eröffnet ist, sollten Unternehmen jedenfalls ein nachhaltiges Datenschutzkonzept etablieren. Dazu gehören auch die Durchführung einer Datenschutzfolgeabschätzung sowie die Beachtung der zentralen Prinzipien der DSGVO: Transparenz, Zweckbindung und Verantwortlichkeit bei der Datenverarbeitung. Zum Zweck der kontinuierlichen Sicherstellung einer rechtlichen Compliance ist es für Unternehmen sinnvoll, neben ihrem Datenschutzbeauftragten auch einen KI-Beauftragten zu benennen, der als zentraler Ansprechpartner für den KI- Einsatz agiert. Fazit Die gute Nachricht für Unternehmen: Es existieren derzeit zwar noch verschiedene, uneinheitliche Regularien für den Gebrauch von KI, doch können diese mit einem entsprechenden Konzept und der Heranziehung rechtlicher Beratung gut umgesetzt werden, sodass Unternehmen den technischen Fortschritt in Zukunft noch besser für sich nutzen können. Es ist erfreulich, dass das Ziel des EU-Gesetzgebers die Förderung der Innovation in der EU ist. Gleichzeitig wird aber auch zu Recht der Menschenwürde großes Gewicht beigemessen. Im Ergebnis sehen wir derzeit einen Rechtsrahmen, der zwar noch nicht final, jedoch immerhin vielversprechend ist. Es sieht so aus, als könnten sich Unternehmen auf einen intelligenten Rechtsrahmen freuen und nicht ein Paragraphendschungel drohen. Autoren Christian Leuthner ist Partner und Rechtsanwalt im Bereich Tech und Data bei der internationalen Rechtsanwaltskanzlei Reed Smith. Joana Becker ist in derselben Kanzlei als Rechtsanwältin ebenfalls im Sektor Tech und Data tätig.
