Das KI-Recht

Durch Künstliche Intelligenz (KI) wurde die Wirtschaftswelt revolutioniert, die rasante Entwicklung wirft jedoch viele Rechtsfragen auf, die wir nun im KI-Recht klären. Der Einsatz von KI-Technologien auf dem Kapitalmarkt, in der Finanzdienstleistung und der Unternehmensführung erfordert für eine rechtssichere Anwendung einen klaren Rechtsrahmen.

Durch die Einführung der KI-Verordnung (KI-VO) der Europäischen Union, welche weltweit das erste umfassende KI-Gesetz ist, wurde für das KI-Recht eine rechtliche Grundlage geschaffen, welche die Chancen und Risiken des KI-Einsatzes reguliert. Doch das Verständnis und die Umsetzung des KI-Gesetzes in den Geschäftsalltag kann für Unternehmen eine Herausforderung darstellen.

Was ist Künstliche Intelligenz (KI)?

Als KI bezeichnet man eine Vielzahl technischer Methoden, die es Maschinen ermöglichen, Aufgaben zu erledigen, die grundsätzlich menschliche Intelligenz erfordern. Als Teilgebiet der Informatik basiert KI auf Algorithmen und dem maschinellen Lernen, wodurch intelligentes Verhalten und verschiedene Formen von Automatisierungen entwickelt werden, die neue Inhalte, wie Texte, Bilder oder Videos, erzeugt werden können. Hierbei werden Entscheidungsprozesse aus großen Datenmengen abgeleitet.

Trotz ihres Innovationspotentials birgt KI spezifische Risiken, insbesondere mangelnde Transparenz und Nachvollziehbarkeit, Diskriminierung aufgrund verzerrter Trainingsdaten, sogenannten Bias, und die Erstellung manipulativer Inhalte (Deepfakes), welche gesellschaftliche Prozesse und Finanzmärkte destabilisieren können.

Durch den Einsatz in unterschiedlichen Bereichen berührt KI auch verschiedene Rechtsgebiete, wie beispielsweise den Verbraucherschutz, das Urheberrecht oder das Datenschutzrecht. Zwar gibt es keinen rechtsfreien Raum für die Anwendung von KI, jedoch schafft die technologische Entwicklung neue Herausforderungen, die spezifische Regelungen erforderlich machen.

Das KI-Recht umfasst alle rechtlichen Regelungen, die die Entwicklung, das Inverkehrbringen und die Nutzung von KI-Technologien und KI-Systemen betreffen. Im Zentrum des KI-Rechts steht somit die Frage, wie der Umgang mit einer intelligenten Technologie, die weitgehend autonom arbeiten, sich anpassen und Entscheidungen treffen kann, zu erfolgen ist und welche Auswirkungen die Anwendung KI-gestützter Systeme in der Realität haben kann.

Die KI-Verordnung (KI-VO) im Überblick – welche Ziele verfolgt der europäische Gesetzgeber?

Durch die KI-VO (EU) 2024/1689, auch bekannt als Artificial Intelligence (AI) Act, wurde weltweit das erste umfassende und risikobasierte KI-Gesetz geschaffen, um die Entwicklung und Nutzung von KI zu regulieren. Die EU-Mitgliedsstaaten verabschiedeten am 21. Mai 2024 die KI-VO, sie trat offiziell am 1. August 2024 in Kraft. Nach Artikel 113 KI-VO werden die meisten Regelungen nach einer zweijährigen Übergangsfrist anwendbar sein.

Das KI-Gesetz verfolgt im Wesentlichen drei Ziele: Zum einen soll die Entwicklung vertrauenswürdiger KI in Europa gefördert werden. Zum anderen gilt es, die Risiken für Verbraucher und Unternehmen zu minimieren, indem klare, risikobasierte Regeln für KI-Entwickler und -Anbieter festgelegt werden. Dabei wird besonderes Augenmerk auf die Gewährleistung von Sicherheit und den Schutz der Grundrechte gelegt.

Was fällt in den Anwendungsbereich der KI-VO?

Für den Anwendungsbereich der KI-VO gilt das Marktortprinzip: Die KI-VO ist auf alle KI-gestützten Systeme anzuwenden, die innerhalb der EU oder des Europäischen Wirtschaftsraums (EWR) in den Verkehr gebracht oder angewendet werden. Hierbei kommt es nicht darauf an, ob die Anbieter der KI-Systeme in der EU ansässig sind oder ihre Niederlassung in einem Drittland haben. Somit gilt die KI-VO für auch für Akteure außerhalb der EU, sofern ihre KI-Systeme innerhalb der EU genutzt werden und dessen Nutzung Auswirkungen auf EU-Bürger hat.

Die Kategorisierung der KI-Systeme nach Risikopotenzial

Als die Europäische Kommission im April 2021 das erste europäische KI-Gesetz vorschlug, forderte das Europäische Parlament, dass KI-Systeme transparent, sicher und diskriminierungsfrei gestaltet werden und stets einer menschlichen Kontrolle unterliegen sollen. Die KI-VO basiert auf einem risikobasierten Ansatz. Das bedeutet, dass KI-Systeme je nach ihrem potenziellen Risiko für die Gesellschaft in verschiedene Kategorien eingeteilt werden. 

Die KI-VO definiert hierbei vier Risikostufen, die sich nach ihrer potenziellen Auswirkung auf die Gesundheit, Sicherheit und Grundrechte der Bürger auswirken können.

Die erste Kategorie umfasst KI-Anwendungen mit unannehmbarem Risiko, welche in der EU grundsätzlich verboten sind. Dazu gehören unter anderem Systeme zur biometrischen Echtzeitüberwachung, wie Gesichtserkennung im öffentlichen Raum, Anwendungen zur sozialen Bewertung von Personen (Social Scoring) oder Systeme, die das Verhalten von Personen, insbesondere vulnerablen Gruppen wie Kindern, manipulativ beeinflussen.

In der zweiten Kategorie, in der ein hohes Risiko von KI-Systemen ausgehen kann, befinden sich Anwendungen, deren Einsatz erhebliche Auswirkungen auf grundlegende Bereiche des gesellschaftlichen Lebens hat. Hierzu zählen KI-Systeme, die in sensiblen Produkten verwendet werden, wie Fahrzeuge, Luftfahrttechnologie oder medizinische Geräte.

Darüber hinaus zählen hierzu KI-Systeme, die in sensiblen Bereichen eingesetzt werden, etwa im Bildungswesen, im Finanzsektor zur Kreditwürdigkeitsprüfung sowie bei Strafverfolgung oder Grenzkontrollen. Diese Systeme unterliegen umfassenden Compliance- und Dokumentationspflichten, um sicherzustellen, dass sie den strengen Anforderungen an Transparenz, Datenschutz, Qualität der Trainingsdaten und menschliche Aufsicht genügen. Zudem müssen sie vor ihrem Einsatz und kontinuierlich während ihrer gesamten Betriebszeit überprüft und bewertet werden.

Die dritte Kategorie bilden KI-Systeme mit begrenztem Risiko. Hiervon sind solche Anwendungen erfasst, für die weniger strenge Vorgaben gelten, jedoch verpflichtende Transparenzanforderungen bestehen. So müssen Nutzer etwa darauf hingewiesen werden, dass sie mit einer KI interagieren oder dass Inhalte, mit denen sie konfrontiert werden, durch KI erzeugt wurden. Ein typisches Beispiel hierfür sind Chatbots oder generative KI-Systeme.

Die vierte und letzte Kategorie bilden KI-Systeme mit minimalem Risiko. Diese Anwendungen, beispielsweise automatische Übersetzungssysteme, sind von regulatorischen Anforderungen weitgehend ausgenommen und unterliegen keiner besonderen Überwachung, da von ihnen nur geringfügige oder gar keine Risiken ausgehen.

Wie wird KI im Finanzsektor angewendet und welche Herausforderungen gibt es?

Die Finanzbranche ist eines der zentralen Anwendungsgebiete von KI-Anwendungen, in denen intensiv KI-Technologien eingesetzt werden. Automatisierte Anlageberatung durch Robo-Advisors oder Börsenentscheidungen durch algorithmische Handelssysteme sind keine Seltenheit mehr. Diese Anwendungen stehen im Fokus regulatorischer Anforderungen, insbesondere im Kontext zur Richtlinie 2014/65/EU über Märkte für Finanzinstrumente, auch bekannt als MiFID II.

Obwohl die MiFID II-Richtlinie keine spezifischen Regelungen für den Einsatz von KI enthält, fordert die Europäische Wertpapier- und Marktaufsichtsbehörde (ESMA) klare Vorgaben in Bezug auf Datenqualität, Transparenz und Haftung. Zu den Herausforderungen zählen insbesondere die Frage der Haftung bei fehlerhaften, KI-gestützten Anlageempfehlungen und die Intransparenz von KI-Entscheidungen, die oft nicht nachvollziehbar sind.

Ein weiteres Risiko stellen KI-generierte Deepfakes dar, die potenziell massive Marktverwerfungen auslösen können. Ein Beispiel hierfür ist ein gefälschtes Bild einer Explosion am Pentagon, das 2023 zu erheblichen Schwankungen an den Finanzmärkten führte. Um solchen Risiken vorzubeugen, sieht die KI-Verordnung eine Kennzeichnungspflicht für KI-generierte Inhalte vor. Dies soll verhindern, dass Deepfakes und andere manipulative Inhalte den Kapitalmarkt destabilisieren und den Marktmissbrauch fördern.

Wie wirkt sich der KI-Einsatz auf das Gesellschaftsrecht aus?

Die Nutzung von KI im gesellschaftsrechtlichen Kontext wirft insbesondere Fragen zur Vorstandshaftung und der Erfüllung gesetzlicher Sorgfaltspflichten auf.

Werden im Unternehmen KI-Systeme bei der Compliance-Prüfung, Risikobewertungen und der Entscheidungsfindung eingesetzt, erscheint es fraglich, ob und wie Vorstände und Aufsichtsräte handeln müssen, denn klar ist, dass das deutsche Aktienrecht fordert, dass sie ihre Entscheidungen sorgfältig und auf Grundlage eines angemessenen Informationsflusses zu treffen haben. In diesem Rahmen stellt sich die Frage, ob Entscheidungen, die auf KI-Technologie beruhen, ihren gesetzlichen Sorgfaltspflichten standhalten.

Für die Klärung dieser Frage unterscheidet man zwischen zwei Entscheidungstypen: Typ-1-Entscheidungen, bei denen KI in allgemeinen Unternehmensprozessen zum Einsatz kommt, und Typ-2-Entscheidungen, bei denen KI in strategische Entscheidungen auf Vorstandsebene integriert wird. 

Betrifft die Nutzung von KI-Systemen das Urheberrecht und den Datenschutz?

Inhalte, die durch den Einsatz von KI generiert worden sind, betreffen insbesondere sensible Bereich im Urheberrecht und Datenschutzrecht. Bevor KI-gestützte Systeme einsatzbereit für die Anwendung sind, müssen diese mit großen Datenmengen trainiert werden. Im Zuge dieses KI-Trainings werden durch Algorithmen die Informationen und Zusammenhänge erkannt und analysiert, die letztlich zum Einsatz von KI-Anwendungen führt. Zwar werden grundsätzlich öffentlich zugängliche Quellen für dieses Training benutzt, doch oftmals befinden sich hier auch personenbezogene Daten und andere sensible Inhalte, aber auch urheberrechtlich geschützte Werke.

Nach § 44b Absatz 1 und 2 Urheberrechtsgesetz (UrhG) ist es zwar grundsätzlich erlaubt, automatisierte Analysen von digitalen und digitalisierten Werken zur Vervielfältigung  von rechtmäßig zugänglichen Werken zu nutzen (Text und Data Mining), doch nur unter gewissen Bedingungen. Demnach kann der Rechtsinhaber die Nutzung durch seinen Nutzungsvorbehalt einschränken. Um für Transparenz zu sorgen und das Urheberrecht nicht zu umgehen, verpflichtet die KI-VO daher die Anbieter zur Offenlegung, welche Daten für das KI-Training verwendet worden sind und ob Inhalte, die urheberrechtlich geschützt sind, in das Training einbezogen wurden.

Im Datenschutzrecht steht die Einhaltung der Regelungen der  Datenschutz-Grundverordnung (DSGVO) im Fokus. Im Rahmen des KI-Trainings werden häufig personenbezogene Daten verarbeitet, sodass für jede Verarbeitungsphase eine klare Rechtsgrundlage bestehen muss. Setzt ein Unternehmen KI-Systeme ein und betrifft der Einsatz besonders sensible Entscheidungen, wie medizinische Diagnosen, Kreditvergabe oder Personalauswahl, so ist es dazu verpflichtet, vor Einsatz der KI-Anwendung genau zu überprüfen, ob mit dem Einsatz Risiken für die Rechte und Freiheiten der Betroffenen einhergehen. Ist dies der Fall, schreibt die DSGVO eine Datenschutz-Folgeabschätzung vor, um künftig möglichen Gefahren für die Privatsphäre frühzeitig erkennen und verhindern zu können.

Zusätzlich verlangt die DSGVO, dass automatisierte Entscheidungen für betroffene Personen nachvollziehbar erklärt werden können. Somit reicht es nicht, dass eine KI ein Ergebnis präsentiert, vielmehr sind die Unternehmen dazu verpflichtet, verständlich zu machen, wie es zu diesem Ergebnis kam.

SBS LEGAL - Anwalt für KI-Recht

Wir sind der richtige Ansprechpartner für eine praxisnahe und kompetente Rechtsberarung bezüglich der KI-Nutzung in Ihrem Unternehmen. Nutzen Sie bereits KI-Systeme in Ihrem Unternehmen oder planen Sie die Nutzung in naher Zukunft? Haben Sie Fragen zur Risikokategorisierung, Transparenz oder Datenschutz oder benötigen Sie eine sichere Unterstützung bei der vertraglichen Absicherung Ihrer KI-Projekte?

Wir sind Ihre Experten im KI-Recht!

Dienstleistung, Finanzsektor oder Gesundheitswesen - unser spezialisiertes Team im KI-Recht hilft Ihnen kompetent bei Ihren Fragen zum Einsatz von KI-Technologie. Wir begleiten das Ki-Recht seit seiner Geburtsstunde und haben von Anbeginn die Entwicklungen in diesem Rechtsgebiet begleitet. Wir helfen Ihnen bei der rechtskonformen Umsetzung von technischen Schutzmaßnahmen und der Prüfung Ihrer Prozesse im Lichte der KI-VO.

Ob Start-Up oder etabliertes Unternehmen, unser erfahrenes Team steht Ihnen mit fundierter Expertise zur Seite, um Ihre KI-Nutzung sicher und zukunftsfähig aufzustellen.

Kontaktieren Sie uns – wir freuen uns auf Ihre Anfrage und beraten Sie kompetent, individuell und zukunftsorientiert.

Der Erstkontakt zu SBS LEGAL ist kostenlos.

Der Erstkontakt zu SBS LEGAL ist immer kostenlos!