Mit der Verabschiedung des EU AI Act stehen heimische Unternehmen unter zeitlichem Druck. Betroffen sind alle Unternehmen, die selbstentwickelte KI oder Lösungen von Drittanbietern verwenden. Sie sollten noch in diesem Jahr sicherstellen, keine verbotenen KI-Systeme zu nutzen und KI-Kompetenz vorweisen. Die Liste der „To-dos“ reicht von Datenschutz über Urheberrecht, Haftungsfragen und Cybersicherheit bis hin zur AI-Act-Compliance.
Rechtliches Rahmenwerk für KI
KI-Expertin und Rechtsanwältin Alexandra Ciarnau und Axel Anderl, Managing Partner, Leiter der IT/IP/Datenschutzgruppe sowie der Digital Industries Group bei DORDA, sehen im AI-Act einen ersten wichtigen Schritt zur Schaffung rechtlicher Rahmenbedingungen für KI.
„Wir legen Unternehmen ans Herz, sich am besten sofort mit dem aktuellen europäischen Regelwerk zu beschäftigen und die Umsetzung in die Wege zu leiten. Die gestaffelten Fristen erlauben keine Verzögerungen und die Geldstrafen sind mit bis zu 35 Millionen Euro sehr hoch. Damit stellt das Thema für Unternehmen keine Fleißaufgabe dar, sondern ist aus rechtlicher Sicht Pflicht“, erörtert Axel Anderl.
Einzelne Teile des AI-Act könnten noch dieses Jahr abgestuft anwendbar werden:
Insidern zufolge wird die Verordnung noch im Juni im Amtsblatt veröffentlicht, wodurch die Umsetzungsfristen von 6, 12, 24 und 36 Monaten je Themenkreis zu laufen beginnen. Bis Dezember müssen Organisationen daher zum Beispiel sicherstellen, dass sie keine verbotenen KI-Systeme nutzen und die KI-Kompetenz vorweisen. Das setzt eine zeitnahe Etablierung einer KI-Governance und eine Bestandsanalyse voraus.
Die EU teilt KI-Anwendungen in vier Risikoklassen ein:
1. Verbotene KI-Systeme, die in der EU nicht genutzt werden dürfen. Das umfasst beispielsweise Emotionserkennung am Arbeitsplatz, die Analyse der Stimmen von Mitarbeiter:innen in Callcentern, um deren Gefühlszustände während der Interaktion mit Kund:innen zu analysieren.
2. Hochrisiko-KI, die nur unter Einhaltung strenger Auflagen betrieben werden dürfen. Dazu zählen selbstfahrende Autos, medizinische oder juristische Anwendungen, aber auch automatisierte Kreditvergabe außerhalb der Finanzbetrugserkennung.
3. General Purpose AI sowie
4. bestimmte KI-Systeme, die primär Transparenzvorgaben genügen müssen. Sie werden aktuell primär zur Interaktion mit Personen eingesetzt und es besteht hier großes Aufklärungsinteresse.
KI-Regeln in der Konzeptionsphase bedenken
„Noch bevor ein/e Programmierer:in den ersten Code für eine KI schreibt, ist der AI-Act zu berücksichtigen. Das Unternehmen muss bereits bei der Konzeption, der Entwicklung und dem Testen von KI-Systemen an Legal Compliance denken und nicht erst bei der Markteinführung. Derzeit befinden sich österreichische Unternehmen Großteils in der Konzeptionsphase. Daher besteht eine große Nachfrage nach Rechtsexpertise in diesem Bereich“, bekräftigt Alexandra Ciarnau.
Die Regelungen des AI-Acts gelten auch für Unternehmen, die KI von außerhalb der EU beziehen. Die rechtliche Verantwortung für die Anwendung liegt nicht nur bei den KI-Hersteller:innen, sondern auch bei den Anwender:innen.
KI berührt alle Rechtsgebiete
Viele österreichische Branchen sind direkt vom AI-Act betroffen. Darunter Banken, Versicherungen, Forschung, Industrie, Medien, Verlage, Medizin und Mobilität (z.B. Automobilzulieferer). Bisher wurde KI vor allem aus datenschutzrechtlicher Perspektive beurteilt. Durch die europäische Gesetzgebung ist KI als Querschnittsmaterie noch deutlicher geworden. Es können kontextbezogen unterschiedliche Materien betroffen sein, wie etwa bei Chatbots typischerweise urheberrechtliche Fragen oder der Umgang mit Betriebs- und Geschäftsgeheimnissen.
Ein sehr sensibles Thema ist die der Haftung. Mit der voranschreitenden technischen Entwicklung stellt sich beispielsweise die Frage, wie ein/e Kläger:in einen durch KI verursachten Schaden nachweisen kann, wenn sie doch keinen Einblick in die KI hat? Hersteller, Importeure, Fulfillment Provider, Händler und Anbieter/Betreiber sollen zukünftig in Schadenersatzprozessen unter bestimmten Voraussetzungen zur Offenlegung von Nachweisen verpflichtet werden. Das sehen die geplante KI-Haftungsrichtlinie und Produkthaftungsnovelle vor.
Weiters wird die Produkthaftung durch die Ausweitung der Produktdefinition auf reine Software ausgeweitet. Das vergrößert die Haftungsrisiken beim KI-Einsatz, die aufgrund der fragmentierten Regelungen ohnehin schon parallele Konsequenzen mit sich bringen können, insbesondere DSGVO-Bußgelder oder Ansprüche von Urhebern bei Urheberrechtsverletzungen. Das sind beispielsweise klassische Risiken bei der Nutzung von ChatGPT & Co.
