GenAI Governance: Regeln und Regulatorik und die richtigen Regeln im Unternehmen

1. Bedeutung einer wirksamen KI-Governance

Um generative künstliche Intelligenz (GenAI) rechtssicher und ethisch vertretbar einzusetzen und wirksame Risikostrategien zu implementieren, sollten die Rahmenbedingungen, Regeln und Standards für die Forschung, Entwicklung und Anwendung von KI im Unternehmen im Rahmen einer KI Governance festgelegt werden. Diese sollte eng mit der Unternehmensstrategie abgestimmt sein. Wichtig ist zudem eine solide Data Governance, die für adäquate und gepflegte Datensätze sorgt. Darüber hinaus kann diese dazu dienen, die Konformität mit bestehenden Gesetzen nachzuweisen.

Wir unterstützen Sie bei der Entwicklung geeigneter Prozesse und der Erstellung konkreter Handlungsanweisungen, damit Ihre Richtlinien rechtssicher und an die spezifischen Anforderungen Ihres Unternehmens angepasst sind.

2. Risikoanalyse

Vor der Implementierung von GenAI sollten Unternehmen sich ein klares Bild von den Auswirkungen machen, die GenAI auf Ihre Kundenbeziehungen, Mitarbeiter und Arbeitsplätze, Produktdienstleistungen und Technologie haben wird. Zukünftig dürften für Unternehmen folgende Aspekte von herausgehobener Bedeutung sein: das Risiko einer Verletzung bzw. der Schutz geistigen Eigentums, der Schutz personenbezogener Daten und die Angemessenheit und Durchsetzbarkeit vertraglicher Vereinbarungen für den Erwerb und die Implementierung von GenAI.

Um ein verhältnismäßiges und wirksames Paket unternehmensinterner Vorschriften für GenAI einzuführen, sollte ein klar definierter risikobasierter Ansatz verfolgt werden. Dieser Ansatz sollte auf die Risiken abgestimmt werden, die von der geplanten GenAI ausgehen können. Insbesondere das KI-Gesetz sieht eine Zuordnung von KI-Systemen (und voraussichtlich auch GenAI als Komponenten von KI-Systemen) nach Risikoklassen in Abhängigkeit von deren Zweckbestimmung, wonach diese entweder verboten sind, als Hochrisiko-KI spezielle Anforderungen erfüllen müssen oder sich als einfaches KI-System an allgemeinen Gesetzen wie der DSGVO messen lassen. Für GenAI-Systeme, die sich keiner Risikoklasse zuordnen lassen, gelten zumindest besondere Transparenzpflichten und Anforderungen für den Entwicklungsprozess. Auch die den KI-Systemen zugrundeliegenden Algorithmen – bei verschiedenen möglichen Einsatzzwecken GPAI-Modelle genannt – werden durch das KI-Gesetz reguliert, indem es etwa Pflichten zur technischen Dokumentation gibt. Es soll somit entlang der gesamten KI-Wertschöpfungskette keine verantwortungsfreien Räume geben.

Das Risikomanagementsystem sollte aus einem kontinuierlichen, iterativen Prozess bestehen, der während des gesamten Lebenszyklus eines KI-Systems mit hohem Risiko geplant und durchgeführt wird. Dieser Prozess sollte darauf abzielen, die relevanten Risiken von Systemen der künstlichen Intelligenz für Gesundheit, Sicherheit und Grundrechte zu ermitteln und zu mindern. Folgende Bereiche sollten dabei unter anderem berücksichtigt werden:

• Governance (z.B. Umsetzung spezifischer AI-Governance-Strukturen, Richtlinien zu KI und Data Governance)
• Resilienz und IT-Sicherheit
• Produkte und Marktpräsenz (z.B. Kennzeichnungspflichten bei KI-Produkten)
• ESG (z.B. Lieferketten-Risikomanagement, KI-bezogenes Audit von Dritten)
• Kommunikation (z.B. Kommunikation mit Behörden, Schulungen von Mitarbeitern)

Wir beraten Sie gerne, wie Sie schon jetzt durch rechtzeitige und richtig platzierte Maßnahmen das Risiko mindern und Compliance stärken können.

3. Umfangreicher KI-Pflichtenkatalog

Die KI-Verordnung enthält einen umfangreichen Pflichtenkatalog für die Herstellung und Nutzung von KI-Systemen. Unternehmensverantwortliche trifft daher nicht nur die Aufgabe, klare Verantwortlichkeiten zuzuweisen, sondern auch bestimmte, rechtlich nicht-bindende ethische Grundsätze in Bezug auf menschliches Handeln und Aufsicht, technische Robustheit und Sicherheit, Datenschutz und Datenverwaltung, Transparenz sowie Vielfalt, Nichtdiskriminierung und Fairness als auch gesellschaftliches und ökologisches Wohlergehen und Verantwortlichkeit bei der Entwicklung und Anwendung von KI-Modellen und -Systemen einzuhalten.

Das KI-Gesetz ist von dem Gedanken getragen, dass Künstliche Intelligenz eine auf den Menschen ausgerichtete Technologie ist, die als Werkzeug letztendlich dazu dienen soll, das menschliche Wohlbefinden zu steigern. Im Einklang mit diesem kohärenten, vertrauenswürdigen und menschenzentrierten Ansatz schützt das KI-Gesetz explizit Menschenrechte, beispielsweise in Bezug auf den Schutz personenbezogener Daten oder die Berücksichtigung vorgenannter ethischer Prinzipien.

Transparenzanforderungen verpflichten auf die Möglichkeit einer angemessenen Rückverfolgbarkeit und Erklärbarkeit von KI-Systemen, wobei den mit ihnen interagierenden Menschen bewusst gemacht werden soll, dass sie mit einem KI-System kommunizieren oder interagieren, und die Anwender ordnungsgemäß über die Fähigkeiten und Grenzen dieses KI-Systems und die betroffenen Personen über ihre Rechte informiert werden.

Schließlich sind Dokumentations- und Rechenschaftspflichten zu beachten, beispielsweise in Bezug auf den Input in KI-Systeme, um eine korrekte Datennutzung im Falle rechtlicher Auseinandersetzungen nachweisen zu können oder wenn KI-Modelle die Grundlage für eine Reihe nachgelagerter Systeme bilden, wenn dem nachgelagerten Anbieter Informationen und Unterlagen wie eine technische Dokumentation bereitzustellen sind.

Zusammenspiel unterschiedlichster gesetzlicher und regulatorischer Anforderungen

Unternehmen haben es bei dem Einsatz von KI also mit einem facettenreichen Bündel von parallel geltenden rechtlichen Regularien zu tun. Daraus lassen sich zahlreiche Handlungsempfehlungen ableiten, die unter anderem folgende Problemfelder berücksichtigen sollten:

• Datenschutz, Robustheit und Cybersicherheit
• IP Recht
• Kartell- und Wettbewerbsrecht
• Arbeitsrecht und Antidiskriminierungs-/Gleichbehandlungsrecht
• Verbraucherrecht und Lauterkeitsrecht
• Menschenrechte und ESG-Regulierung
• Sektorspezifische Regelungen
• Vertragsverletzung und Produkthaftung

Dies setzt die kontinuierliche Beobachtung der technologischen und rechtlichen Entwicklungen voraus. Insbesondere sollten Führungskräfte in der Rechtsabteilung die Entwicklung der Technologie selbst sowie die sich ändernden Gesetze und Vorschriften genau im Auge behalten.