Smart Manufacturing Rechtsrahmen für KI: Paragraphenjungel oder intelligent gelöst?

Ein Gastbeitrag von Joana Becker & Dr. Andreas Splittgerber*

Viele Unternehmen wollen in künstliche Intelligenz investieren, fürchten sich aber vor einem möglichen Paragraphenjungel. Wie gut die rechtlichen Rahmenbedingungen für den Einsatz von KI wirklich sind und welche Regelwerke Unternehmen beachten sollten.

Anbieter zum Thema

Die DSGVO ist auch bei der Datenverarbeitung durch KI zuständig. Unternehmen könnten das umgehen, indem sie die Daten anonymisieren.
Die DSGVO ist auch bei der Datenverarbeitung durch KI zuständig. Unternehmen könnten das umgehen, indem sie die Daten anonymisieren.
(Bild: gemeinfrei // Unsplash)

Der Einsatz künstlicher Intelligenz (KI) ist mittlerweile für den Erfolg vieler Unternehmen unerlässlich. Insbesondere in der Industrie eröffnen KI-Systeme völlig neue Möglichkeiten, denn sie helfen, Produktionsprozesse zu verbessern, Maschinenausfälle zu verringern oder intelligentere Dienstleistungen zu entwickeln. Welche Gesetze gelten hier eigentlich? Mit dem Ziel, Unternehmen größtmögliche Innovationsschritte zu ermöglichen und gleichzeitig das Risikopotenzial von KI weitest möglich zu minimieren, beschäftigen sich Juristen und Gesetzgeber in Deutschland und der ganzen Welt fortlaufend. Zum Teil kommen bereits existierende Gesetze zu Anwendung (z. B. die Datenschutzgrundverordnung oder das Urheberrecht), zum Teil werden neue Regularien in diesem Bereich geschaffen (z.B. die EU-KI-Verordnung).

KI – eine Definition der EU-Kommission

Eine abschließende und allgemein anerkannte Definition, durch die sich KI greifen lassen würde, existiert bislang nicht. Der Begriff Künstliche Intelligenz wird vielmehr in unterschiedlichen Kontexten und zur Beschreibung unterschiedlicher Technologien verwendet. Die Europäische Kommission definiert KI in ihrem Vorschlag für eine neue KI-Verordnung als „eine Software, die mit einer oder mehreren der in Anhang (der Verordnung) aufgeführten Techniken und Konzepte entwickelt worden ist und im Hinblick auf eine Reihe von Zielen, die vom Menschen festgelegt werden, Ergebnisse wie Inhalte, Vorhersagen, Empfehlungen oder Entscheidungen hervorbringen kann, die das Umfeld beeinflussen, mit dem sie interagieren“.

Bei deutschen Industrieunternehmen findet KI überwiegend zu Zwecken der der Optimierung von Produktions- und Fertigungsprozessen, der Steigerung von Produktivität und Qualität, der Predicitve Maintenance, sowie der Reduktion von Kosten Einsatz.

KI und der Gesetzesjungel

Während inzwischen Unternehmen aller Branchen große Bereitschaft zeigen, in KI-Systeme als wichtige Zukunftstechnologie zu investieren, sehen viele Unternehmen insbesondere rechtliche Unsicherheiten als eine Bremse in der Entwicklung rund um KI im eigenen Unternehmen. Für den Einsatz von KI-Systemen gibt es derzeit zwar noch keinen eigenständigen rechtlichen Rahmen, es besteht jedoch bereits ein breites Regelungswerk auf nationaler sowie auch internationaler Ebene, das Unternehmen beim Einsatz von KI zu beachten haben. Hierzu gehören zum Beispiel auch das Vertragsrecht bei Kooperationsverträgen, das Urheberrecht und Patentrecht bei der Nutzung von KI, das Datenschutzrecht und die geplante KI-Verordnung (2021/0106 (COD).

Die EU-KI-Verordnung – ein neues Rechtsgebiet

Der Vorschlag der EU Kommission für eine KI-Verordnung aus dem April 2021 ist Teil der Bestrebung, einen einheitlichen Regelungsrahmen auf europäischer Ebene zu schaffen. Sie wird flankiert von der geplanten neuen EU-Maschinenverordnung (2021/0105 (COD)), bei der es um die Gesamtsicherheit (nicht nur bezogen auf KI) des gesamten Endprodukts geht. Die KI-Verordnung und die neue EU-Maschinenverordnung sollten zeitgleich in Kraft treten – was wohl erst in 2023 oder später realisierbar ist.

Die KI-Verordnung adressiert sowohl Entwickler als auch Nutzer von KI, die diese in ihrem beruflichen Umfeld verwenden. Sie versucht den Einsatz vertrauensvoller KI in der EU zu stärken, indem sie diese in verschiedene Risiko-Kategorien einstuft und gewisse KI-Systeme untersagt, um den Schutz von EU-Grundrechten zu gewährleisten. KI Systeme mit geringem Risiko, wie Chatbots oder Spamfilter, unterliegen außer einzelnen Transparenzpflichten keinerlei regulatorischer Vorgaben, sodass die Verordnung in ihrem Kern Hochrisiko-KI betrifft.

Ein hohes Risiko beim Einsatz von KI-Systemen ergibt sich gemäß der KI-Verordnung aus den zu erwartenden negativen Auswirkungen auf die europäischen Grundrechte. Diese werden beispielsweise beim Einsatz von KI im Bereich von kritischen Infrastrukturen (z.B. im Verkehr), bei Sicherheitskomponenten von Produkten oder der Beschäftigung beziehungsweis im Personalmanagement befürchtet. Dementsprechend haben Anbieter und Nutzer vor und während der Marktzulassung umfassende Pflichten zu berücksichtigen, wie die Konformitätsbewertung, Risikomanagement, Wahrung der menschlichen Aufsicht über das System, technische Dokumentation, Genauigkeit, Robustheit und Cybersicherheit und das Qualitätsmanagement.

Jetzt Newsletter abonnieren

Verpassen Sie nicht unsere besten Inhalte

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Ferner obliegt dem Anbieter und Nutzer auch die laufende Beobachtung sowie die Meldung von schweren Vorfällen und die Durchführung entsprechender Abhilfemaßnahmen. Bei einem schweren Verstoß gegen Vorgaben dieser Verordnung drohen Unternehmen hohe Bußgelder von bis zu 20 Millionen Euro oder 6 Prozent des weltweiten Jahresumsatzes.

Datenschutz auch bei KI beachten

Beim Einsatz von KI sollten Unternehmen stets auch datenschutzrechtliche Risiken und Anforderungen im Blick haben. Sobald KI Daten verarbeitet, welche die Identifizierung einer natürlichen Person ermöglichen, unterfallen diese Tätigkeiten der EU Datenschutz-Grundverordnung (DSGVO), welche in Deutschland durch das Bundesdatenschutzgesetz (BDSG) ergänzt wird. Entscheidend ist hier die technische Umsetzung der KI, denn Entscheidungen mit rechtlicher oder grundrechtsbeeinträchtigender Wirkung dürfen nicht allein einer Maschine überlassen werden. Es gelten außerdem die allgemeinen Grundsätze der DSGVO, wie der Grundsatz der Datenminimierung. Personenbezogene Daten dürfen demzufolge ausschließlich für einen angemessenen und erheblichen Zweck sowie in dem dafür erforderlichen erheblichen Maße verarbeitet werden. Diese Grundsätze sind von dem Verantwortlichen durch Technikgestaltung (Privacy by Design) und datenschutzfreundliche Voreinstellungen (Privacy by Default) umzusetzen.

Anonyme Daten fallen nicht unter DSGVO und BDSG

Unabhängig davon, welche genaue technische Gestaltung hinter der KI steckt, kann ein Compliance Aufwand aus datenschutzrechtlicher Sicht durch die Pseudonymisierung personenbezogener Daten entsprechend verringert werden. Idealerweise sollte zur Vermeidung des Unterfallens unter den Anwendungsbereich der DSGVO oder des BDSGs sogar eine Anonymisierung der relevanten personenbezogenen Daten vor der Verarbeitung durch die KI erfolgen.

In Fälle, in denen der Anwendungsbereich der DSGVO weiterhin eröffnet ist, sollten Unternehmen jedenfalls ein nachhaltiges Datenschutzkonzept etablieren. Dazu gehört auch die Durchführung einer Datenschutzfolgeabschätzung sowie die Beachtung der zentralen Prinzipien der DSGVO: Transparenz, Zweckbindung und Verantwortlichkeit bei der Datenverarbeitung.

Zum Zweck der kontinuierlichen Sicherstellung einer rechtlichen Compliance, ist es für Unternehmen sinnvoll, neben ihrem Datenschutzbeauftragten auch einen KI-Beauftragten zu benennen, der als zentraler Ansprechpartner für den KI-Einsatz agiert.

Im Umgang mit KI sollten Unternehmen:

  • Eine Anonymisierung prüfen, um DSGVO und BDSG zu vermeiden
  • Ein nachhaltiges Datenschutzkonzept enwickeln
  • Die Folgen des nötigen Datenschutzes abschätzen
  • Zentrale Prinzipien wie Transparenz, Zweckbindung und Verantwortlichkeit beachten
  • Einen KI-Beauftragten benennen

Fazit: Der Rechtsrahmen ist vielversprechend

Die gute Nachricht für Unternehmen ist also: Es existieren zwar derzeit noch verschiedene, uneinheitliche Regularien für den Einsatz von KI, doch können diese mit einem entsprechenden Konzept und der Heranziehung rechtlicher Beratung gut umgesetzt werden, sodass Unternehmen den technischen Fortschritt in Zukunft noch besser für sich nutzen können. Es ist erfreulich, dass Ziel des EU-Gesetzgebers die Förderung der Innovation in der EU ist. Gleichzeitig wird aber auch und zurecht der Menschenwürde großes Gewicht beigemessen. Im Ergebnis sehen wir derzeit einen Rechtsrahmen, der zwar noch nicht final ist, aber vielversprechende Tendenzen zeigt. Es sieht so aus als könnten sich Unternehmen auf einen intelligenten Rechtsrahmen freuen und müssen den Paragraphenjungel nicht fürchten.

* Joana Becker & Dr. Andreas Splittgerber arbeiten als Rechtsanwälte im Bereich Tech und Data bei der Rechtsanwaltskanzlei Reed Smith LLP in München.

(ID:48177053)