Close
Wonach suchen Sie?
Site search
21. Mai 2024 Teil 18: Die wichtigsten Compliance-Vorgaben für KI

Der Einsatz von künstlicher Intelligenz wirft zahlreiche Compliance-Fragen auf. Von Datenschutz, Urheberrecht und AI Act ist die Rede, aber auch weiteren Themen wie Nicht-Diskriminierung oder Erklärbarkeit. Wir haben die wichtigsten Punkte auf einem Blatt zusammengestellt für Teil 18 unserer KI-Blog-Serie.

Haben wir es in der Praxis mit einer technischen Disziplin wie die künstliche Intelligenz (KI) zu tun, die viele Einsatzmöglichkeiten bietet, sind auch die rechtlichen Fragen entsprechend zahlreich. Manchen verantwortlichen Stellen im Unternehmen fehlt daher etwas die Orientierung, worauf sie sich fokussieren sollten. Wir haben auf einem One-Pager 18 wichtige Fragen zusammengestellt (Deutsch, Englisch), die in unserem Rechtskreis gestellt werden sollten, um ein KI-Tool oder ein KI-Projekt hinsichtlich der Compliance inhaltlich zu beurteilen:

Diese Fragen gliedern sich in fünf Bereiche und zu den meisten Fragen haben wir weiterführendes Material publiziert:

  • Datenschutz: Das ist in der Praxis zweifellos wichtigste Bereich, der auch am meisten zu tun gibt in Sachen Compliance. Im Vordergrund steht hier nach unserer Erfahrung die Prüfung der Verträge mit den üblicherweise eingesetzten Providern. Hierzu haben wir in einem Blog-Beitrag Nr. 15 bereits eine Checkliste publiziert. In der Praxis geht es vor allem darum, einen Auftragsverarbeitungsvertrag gemäss den gesetzlichen Vorgaben abzuschliessen (nötigenfalls mit den Regelungen für den internationalen Datenaustausch), der zudem sicherstellt, dass die eigenen Daten vom Provider nicht auch noch für seine Zwecke genutzt werden. Unser Blog-Beitrag Nr. 2 hat die Angebote der drei wichtigsten Anbieter analysiert. An zweiter Stelle geht es um die Schaffung der nötigen Transparenz; auch hierzu haben wir in Blog-Beitrag Nr. 16 informiert und eine Mustererklärung verfasst. An dritter Stelle steht der verantwortungsvolle Umgang mit dem Output einer KI, der vor allem die kritische Prüfung auf Richtigkeit, Vollständigkeit und Angemessenheit im Hinblick auf den Zweck beinhaltet. Darauf sollte vor allem bei der internen Weisung und Schulung geachtet werden. Hierzu haben wir ein Mustervideo in Blog-Beitrag Nr. 1  in mehreren Sprachen publiziert sowie eine Musterweisung in Blog-Beitrag Nr. 3 zur Verfügung gestellt. Zum Thema Risikobeurteilung verweisen wir auf Blog-Beitrag Nr. 4 (wo wir auch ein kostenloses Tool für diesen Zweck vorstellen) und was die Sicherheit betrifft, haben wir KI-spezifische Risiken in Blog-Beitrag Nr. 6 erläutert. Wie sich Betroffenenrechte erfüllen lassen, werden wir noch in einem künftigen Blog erläutern; vielleicht hilft hier aber schon einmal unser Blog-Beitrag Nr. 17, in dem wir im Detail erklären, was eigentlich in einem grossen Sprachmodell steckt. Was automatisierte Einzelentscheide durch die KI betrifft, so werden wir uns damit auch noch vertieft auseinandersetzen; sie kommen in der Praxis noch eher selten vor, sind aber datenschutzrechtlich geregelt.
  • Vertragspflichten, Geheimhaltung: Hier stehen etwaige Geheimhaltungspflichten und Nutzungsbeschränkungen im Vordergrund. Viele Unternehmen unterzeichnen im B2B-Kontext heute Geheimhaltungsvereinbarungen, welche nicht nur die Weitergabe von Informationen der Kunden, Partner etc. einschränken oder gar untersagen, sondern auch deren Nutzung für andere Zwecke als die Vertragsabwicklung. Das kann beispielsweise einer Nutzung für den Aufbau von eigenen KI-Modellen entgegenstehen. Den Einsatz von KI, auch unter Beizug von Providern, wird ein NDA normalerweise nicht untersagen, sofern der Provider selbst einer angemessenen Vertraulichkeitspflicht unterliegt (was leider noch nicht selbstverständlich ist). Kommen jedoch klassische Amts- und Berufsgeheimnisdaten zum Einsatz (z.B. bei Banken, Spitälern, öffentliche Verwaltung, Anwälte), erfordert der Beizug eines Providers spezielle Vertragsbedingungen und Schutzvorkehrungen, die bei vielen KI-Providern noch eine Herausforderung darstellen (Unternehmen weichen daher auf etablierte Cloud-Lösungen wie etwa von Microsoft aus). Siehe dazu den oben erwähnten Blog-Beitrag Nr. 15 mit der Checkliste. Auch in Bezug auf Urheberrechte können Verträge Einschränkungen erhalten, was mit den Inhalten einer Vertragsgegenpartei gemacht werden kann (dazu sogleich).
  • Schutz von Inhalten Dritter: Hier geht es in aller Regel um Urheberrechte, und zu einem reduzierten Umfang um gewerbliche Schutzrechte und gesetzliche Bestimmungen, welche die Übernahme von fremden Inhalten selbst dann einschränken, wenn diese nicht urheberrechtlich geschützt sind. Hier muss einerseits darauf geachtet werden, dass KI-Tools und -Anwendungen nicht mit Inhalten gefüttert werden, für welche das Unternehmen nicht über die dafür nötigen Rechte verfügt oder das Gesetz die Verwendung auch ohne Zustimmung des Rechteinhabers erlaubt (wir sprechen hier von "Schrankenbestimmungen" des Urheberrechts; in den USA hat sich der Begriff "fair use" eingebürgert), und andererseits geht es darum, dass mit der KI keine Inhalte produziert werden, die Drittrechte verletzen. Hierfür gibt es bestimmte Strategien, wobei in aller Regel der gesunde Menschenverstand bereits viel hilft. Die Strategien haben wir in unserem Blog-Beitrag Nr. 14 behandelt, ebenfalls mit einer Checkliste und weiteren Ausführungen zum Urheberrecht.
  • EU AI Act: Die neue KI-Regulierung der EU ist noch vor ihrem Inkrafttreten schon in aller Munde und Unternehmen haben begonnen, sich auf sie vorzubereiten – nicht nur in der EU, da sie in bestimmten Fällen auch extraterritoriale Geltung beansprucht. Es ist dies keine generelle KI-Regulierung, wie immer wieder angenommen wird, sondern im Grunde eine Produkte-Sicherheitsregulierung. Hier wird in der Praxis der Hauptaufwand darin bestehen, bei jeder Anwendung (auch den bisherigen) zu prüfen, ob KI zum Einsatz kommt und ob sie vom AI Act überhaupt erfasst wird (KI ist im Wesentlichen jedes System, das seine Aufgabe nicht nur auf Basis eines fixen Programms erfüllt, sondern dies mindestens teilweise auf Basis eines "Trainings" tut). Die meisten Unternehmen werden jedenfalls zu vermeiden versuchen, in den Bereich von "Hoch-Risiko"-KI-Systemen gemäss AI Act zu gelangen, weil bei solchen vor allem Anbieter erhebliche Zusatzanforderungen erfüllen müssen. Bei nicht kritischen KI-Anwendungen sieht der AI Act vor allem Transparenzpflichten vor, die sich aber für die meisten Unternehmen recht einfach erfüllen lassen werden. Wir haben uns in unserem Blog-Beitrag Nr. 7 ausführlich zum AI Act und seinem Anwendungsbereich geäussert. Wir haben auch eine praktische Übersicht über die diversen Use-Cases erstellt, mit welcher jeder rasch prüfen kann, ob sein Use-Case kritisch oder gar verboten ist. Wer das elektronisch machen möchte, dem empfehlen wir den "AI Act Checker" in unserem elektronischen GenAI-Risiko-Beurteilungswerkzeug GAIRA, das kostenlos zur Verfügung steht. GAIRA inklusive AI Act Checker kann auch unternehmensintern im Rahmen der Compliance-Prüfung eingesetzt werden, wie das immer mehr Unternehmen tun. Pro memoria: Selbstverständlich gibt es neben dem AI Act der EU eine wachsende Zahl an Rechtsordnungen, in welchen separate KI-Gesetze erlassen werden, die KI entweder generell regulieren oder nur bestimmte Aspekte (wie z.B. KI-gestützte Entscheide oder den Persönlichkeitsschutz).
  • Andere Aspekte: Nebst den klassischen und rein rechtlichen Vorgaben gibt es auch eine Reihe weiterer Aspekte, die Unternehmen im Rahmen der Compliance typischerweise berücksichtigen wollen, wenn auch nicht immer alle, die wir auf unserem One-Pager aufgeführt haben. So kennt das Schweizer Recht zum Beispiel kein allgemeines Diskriminierungsverbot, aber viele Unternehmen haben sich zumindest die Vermeidung von diskriminierender KI zum Ziel gemacht – gewisse Regulatoren wie etwa die Schweizer Finanzmarktaufsichtsbehörde FINMA geben es den beaufsichtigten Instituten sogar faktisch als Pflicht vor (erste Überlegungen zu KI im Finanzmarktbereich haben wir in Blog-Beitrag Nr. 8 gemacht). Wir haben die wichtigsten dieser Punkte auf unserem One-Pager zusammengefasst. Auf gewisse dieser Punkte wie zum Beispiel das Konzept der "Erklärbarkeit" von Ergebnissen einer KI werden wir noch separat eingehen, da viele Mühe damit haben, sich darunter etwas konkretes vorzustellen (hier auch wieder unser Hinweis auf Blog-Beitrag Nr. 17 zur Frage, was in einem KI-Modell steckt). Zur Frage der Transparenz verweisen wir auf Blog-Beitrag Nr. 16. Weitere Punkte finden sich in unseren 11 Grundsätzen zum verantwortungsvollen Einsatz von KI, die wir in unserem Blog-Beitrag Nr. 3 behandelt haben.

KI-Governance decken wir mit diesem One-Pager hingegen bewusst nicht ab, mit Ausnahme des Hinweises auf angemessenes Testing, angemessene Überwachung und angemessenes Risiko-Management. Unternehmen müssen sich aber auch überlegen, mit welchen Mitteln sie sicherstellen wollen, dass die Compliance-Ziele (und weitere Ziele des Einsatzes von KI) erreicht werden können. Die Grundstrukturen einer KI-Governance haben wir in Blog-Beitrag Nr. 5 beschrieben. Mehr wird hier noch folgen.

Gerne stehen wir bei Fragen und Unterstützungsbedarf zur Verfügung.

David Rosenthal

Dieser Beitrag ist Teil einer Serie über den verantwortungsvollen Einsatz von KI im Unternehmen:

Wir unterstützen Sie bei allen Fragen zu Recht und Ethik beim Einsatz von künstlicher Intelligenz. Wir reden nicht nur über KI, sondern setzen sie auch selbst ein. Weitere Hilfsmittel und Publikationen von uns zum Thema finden Sie hier.

Autor