Foto von Ilya Lukichev

Künstliche Intelligenz (KI) ist als Sinnbild für die nächste Stufe der Digitalisierung in aller Munde. Nach der bloßen digitalen Umstellung der Arbeitsumgebung und der Automatisierung von Arbeitsschritten stellt künstliche Intelligenz – also das selbst lernende und sich entwickelnde Programm – den nächsten Evolutionsschritt dar. Doch was bedeutet KI aus rechtlicher Sicht?

Heutige Herausforderungen: Technologieneutralität und vorausgesetzte natürliche Intelligenz

Der rechtliche Umgang mit künstlicher Intelligenz ist aus zwei Gründen herausfordernd. Erstens, weil die meisten Rechtsnormen technologieneutral sind, sich also gleichermaßen auf jede Art von Technik anwenden lassen, was KI oft nicht gerecht wird. Zweitens, weil viele rechtliche Vorgaben eine menschliche Interaktion (also statt künstlicher eine natürliche Intelligenz) schlicht voraussetzen.

Datenschutzrechtliche Grundlage für selbstlernende Systeme

Das geläufigste Beispiel für eine technologieneutrale Regulierung ist die DSGVO. Datenschutzrechtlich ergibt sich ein KI-immanentes Problem: KI basiert auf einem Lernprozess eines Programms bei der Datenverarbeitung, sie benötigt also Daten als Futter (Trainingsdaten). Wenn es sich bei diesem Lernmaterial um personenbezogene Daten handelt, bedarf es nach dem Grundsatz der Rechtmäßigkeit in Art. 6 DSGVO einer Rechtsgrundlage. Diese Rechtsgrundlage wiederum ist an einen Zweck gebunden. So mag die Verarbeitung von Kundendaten beispielsweise zur Durchführung eines Vertrages erforderlich sein. Die Nutzung der Daten als Lernmaterial für KI wäre dann nicht abgedeckt. Wer KI entwickeln will, muss sich also frühzeitig um eine Rechtsgrundlage für eben diesen Zweck bemühen, etwa indem er die Einwilligung hierzu einholt. SaaS-Unternehmen, die Daten häufig als Auftragsverarbeiter verarbeiten, sind durch Zweckbindung und Weisungsgebundenheit besonders eingeschränkt. Wichtig ist hier eine weitsichtige Vertragsgestaltung.

Diskriminierungsverbote nach dem AGG als Beispiel

Die zweite rechtliche Schwierigkeit liegt in der Ausrichtung der Rechtsordnung auf menschliches Handeln. Ein Beispiel für diese Problematik stellen KI-basierte Tools zur Auswahl von Kandidaten im HR-Recruiting-Prozess dar (Screening). Der Gesetzgeber hat mit dem AGG klare Regeln geschaffen, dass Menschen nicht aus Gründen wie der Rasse, Religion, Alter oder Behinderung benachteiligt werden dürfen (§ 1 AGG). Auch wenn KI keine diskriminierende Absicht hat, darf es bei einer Vorauswahl von Kandidaten dennoch nicht zu einer entsprechenden Diskriminierung kommen (§§ 6, 7 AGG). Eine solche Diskriminierung würde sich fortsetzen, bis es am Ende des Auswahlprozesses (durch Menschen) zu einer justiziablen Benachteiligung kommt (Beweislastumkehr!). KI im HR-Bereich muss also so programmiert werden, dass sie Diskriminierungsgründe vernachlässigt und im Lernprozess nicht die falschen (benachteiligenden) Schlüsse zieht. Die Herausforderung liegt hier aber im Detail. Denn der Gesetzgeber erlaubt bisweilen Ausnahmen vom Diskriminierungsverbot, wenn ein legitimer Grund vorliegt (§§ 8 ff. AGG). Ob eine KI dies beurteilen kann, lässt sich nicht nur technisch, sondern auch rechtsethisch bezweifeln. Erforderlich ist hier eine menschliche Kontrolle.

Urheberrecht an selbsterlernten Programmen als Beispiel

Ein weiteres Beispiel einer rechtlichen Ausrichtung auf menschliches Verhalten ist das Urheberrecht. Urheberrechte entstehen durch schöpferische Kraft der Inhaber eines Urheberpersönlichkeitsrechts. Das kann nur ein Mensch sein. Ein menschlicher Entwickler kann also ein KI-fähiges Computerprogramm entwickeln und wird zum Urheber (§§ 7, 69 a UrhG). Was aber, wenn eine bestehende KI selbst ein Programm entstehen lässt? Echte KI kam hier bislang kaum zum Tragen, in der Rechtspraxis beschränkte sich das Problem bisher auf menschlich programmierte Software-Generatoren, deren Entstehungsparameter menschlich festgelegt wurden. Eine vollständig DURCH KI entwickelte Software wäre dagegen urheberrechtlich nicht geschützt. Wichtig wäre beim Umgang mit einem solchen Softwareprodukt dann umso mehr eine vertragliche Regelung der Verwertung und der Nutzungsrechte.

Die EU-KI-Verordnung

Dass die bisherige Gesetzgebung nur unzulänglich auf KI eingestellt ist, hat auch die EU erkannt. Im April 2021 wurde von der EU-Kommission ein Vorschlag für eine KI-Verordnung („AI Act“) (abrufbar auf der Seite des EU-Rechtsportals) vorgelegt, der aktuell mit den Mitgliedsstaaten diskutiert wird. Die KI-Verordnung soll einen ersten Rechtsrahmen bieten, um KI-spezifischen Gefahren mit Blick auf Grundrechte, Sicherheit und Privatsphäre gerecht zu werden. Wie umfassend die Herausforderungen sind, die sich im Zusammenhang mit KI stellen, zeigen die vielfältigen Ansätze der Verordnung:

• Erstmalige (wenn auch umstrittene) Legaldefinition des Begriffs KI
• Verbote für den Einsatz von KI in bestimmten sensiblen Bereichen (z.B. in der Überwachung öffentlichen Raums) sowie Diskriminierungsverbote
• Vornahme einer Risikobewertung und Klassifizierung von Hochrisiko-KI-Systemen
• Besondere Vorgaben für Unternehmen im Umgang mit Hochrisiko-KI-Systemen
• Aufbau eines KI-Registers für Hochrisiko-KI-Systeme
• Transparenzpflichten gegenüber Verbrauchern und Nutzern, wenn es zur Anwendung von KI kommt
• Umfangreicher Bußgeld-Katalog für Verstöße gegen Unternehmen (der Höchstrahmen liegt bei 30 Millionen Euro oder 6 % des weltweiten Jahresumsatzes)
• Förderung der Innovation für KI, insbesondere durch die Bereitstellung von Reallaboren in geschützter Umgebung (mit Sonderregelungen für Start-ups).

Im Mittelpunkt der Verordnung steht also eine Klassifizierung von KI-Technologien nach Risikostufen. Unternehmen, die risikobehaftete Innovation entwickeln, müssen sich auf umfangreiche Compliance-Anforderungen einstellen. Zu nennen sind hierbei vor allem

• das Einführen eines Risikomanagementsystems,
• technische Dokumentationen, Aufzeichnungspflichten und Aufbewahrungspflichten,
• Transparenzpflichten,
• das Sicherstellen menschlicher Aufsicht,
• die Gewährleistung technischer Sicherheit,
• das Durchführen eines Qualitätsmanagementsystem und von Korrekturmaßnahmen,
• das Durchführen einer Konformitätsbewertung,
• Pflichten zur Auskunft und Zusammenarbeit mit Aufsichtsbehörden.

Auch für andere als Hochrisiko-KI-Systeme bestehen indes Vorgaben, etwa die Transparenzpflicht für den Einsatz von KI gegenüber Verbrauchern (z.B. durch Chatbots).

Für Innovationstechnologien lohnt sich eine frühzeitige Risikobewertung geplanter KI. Digitale Produkt-Compliance ist um ein Kapitel reicher geworden.

Sie haben Fragen oder möchten sich mit mir zu dem Thema austauschen? Dann schreiben Sie mir, ich freue mich auf Ihre Nachricht!

→ christian.herles@baer.legal