KI-Recht

AI Act: „GPT-4 kann Hochrisiko sein“

Alexandra Ciarnau und Axel Anderl: Ob GPT-4 und Co zu Hochrisiko-KI-Anwendungen werden, kommt auf den Use-Case an. © DORDA
Alexandra Ciarnau und Axel Anderl: Ob GPT-4 und Co zu Hochrisiko-KI-Anwendungen werden, kommt auf den Use-Case an. © DORDA
Startup Interviewer: Gib uns dein erstes AI Interview Startup Interviewer: Gib uns dein erstes AI Interview

Geht es um künstliche Intelligenz und den AI-Act der EU, ist „DORDA Rechtsanwälte” voll im Bilde und stellt Interessierten sogar einen AI Act Walk-Through auf ihrer Website zur Verfügung. Trending Topics hat die beiden Rechtsanwält:innen Alexandra Ciarnau und Axel Anderl zum Interview gebeten und mit ihnen über den AI-Act der EU, Risikostufen für KI-Systeme, Kennzeichnungspflichten und Strafgebühren für Verstöße gegen das neue KI-Recht gesprochen. Auch ging es darum, ob Unternehmen eine:n AI-Officer brauchen. Die beiden Anwält:innen sind auf IT-, IP- und Datenschutzrecht spezialisiert, Ciarnau ist außerdem Board Member bei Women in AI Austria.

Trending Topics: Der AI-Act wurde beschlossen und steht schon vor der Tür und wird in mehreren Etappen schlagend. Was gilt ab wann?

Am 21. Mai wurde die EU-KI-Verordnung im Rat der Europäischen Union verabschiedet. Die KI-Verordnung tritt 20 Tage nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft – diese steht unmittelbar bevor. Damit beginnen die Umsetzungsfristen von 6, 12, 24 und 36 Monaten je Themenkreis zu laufen. Nach sechs Monaten treten die Regelungen zu verbotenen KI-Systemen und AI-Literacy in Kraft. Nach 12 Monaten folgen die Regelungen der KI-Modelle mit allgemeinem Verwendungszweck (GPAI), Strafen, Notifizierungsstellen und Governance, nach 24 Monaten die Regelungen bestimmter Hochrisiko-KI und nach 36 Monaten die Regelungen für weitere Hochrisiko-KI.

Wo sehen Sie generell die größten Herausforderungen für Unternehmen in Bezug auf den AI-Act?

Der AI-Act greift bereits vor Beginn jeglicher Programmierungsarbeit: Die Regelungen müssen bereits in der Konzeptionsphase beachtet werden, bevor der erste Code geschrieben wird. Dadurch verlängern sich die Projektlaufzeiten. Da die Pflichten aus dem AI-Act nun Schritt für Schritt schlagend werden, müssen sie bei neuen Use-Cases schon jetzt antizipiert werden. Eine rückwirkende Berücksichtigung aller Vorgaben und Dokumentationspflichten wird schlicht nicht möglich sein. Zudem ist eine Bestandsanalyse erforderlich, um bereits eingesetzte KI zu identifizieren und nach dem AI-Act zu klassifizieren. Unternehmen müssen sich bewusst machen, dass sie als Betreiber der KI die rechtliche Verantwortung für die Anwendung tragen und letztlich auch dafür haften.

Es wird verbotene AI-Anwendungen geben. Welche sind aus Ihrer Sicht verboten, die auf den ersten Blick vielleicht gar nicht so wirken?

Definitiv verboten sind Dinge wie Emotionserkennung am Arbeitsplatz. Zum Beispiel das Tracking und Auswerten der emotionalen Stimmung von MitarbeiterInnen über Video-Chat-Aufzeichnungen auf Basis ihrer Biometrik.

Es wird auch Risikostufen geben. Welche AIs sind dann als Hochrisiko eingestuft?

Und vor allem: Was muss man erfüllen, um sie trotzdem einsetzen zu können? Hochrisiko-KIs dürfen nur unter Einhaltung strenger Auflagen betrieben werden. Dazu zählen selbstfahrende Autos, KI-gestützte Sicherheitskomponenten in Medizinprodukten oder zulässige (nicht per se verbotene) biometrische Identifizierungen, aber auch automatisierte Kreditbewertung außerhalb der Finanzbetrugserkennung.

Es kommen Kennzeichnungspflichten. Wann muss gekennzeichnet werden? 

Oft sind Werke wie Bilder, Videos oder Texte ja eine Mischung aus AI-generiertem Inhalt und User-Inhalt. Anbieter von KI-Systemen, die synthetische Audio-, Bild-, Video- oder Textinhalte erzeugen, müssen die Ausgaben kennzeichnen. Das ist insbesondere beim Einsatz von General Purpose AI relevant. Die User müssen erkennen können, dass die Inhalte künstlich erzeugt oder manipuliert wurden. Greift der User anschließend manuell ein, ist es eine Einzelfallentscheidung, ab wann der synthetische Charakter verblasst und das Ergebnis ausschließlich von einem Menschen stammt. Im Zweifel sollte die Kennzeichnung erfolgen.

Ganz konkret gefragt: Firmen, die etwa GPT-4 von OpenAI oder Gemini von Google via API nutzen – fallen die unter Hochrisiko oder gar Verbote?

Das hängt vom Use-Case ab, also vom konkreten Kontext. Wenn ich GPT-4 für die Sichtung und Entscheidung von Bewerbungen nutze, kann es eine Hochrisiko-Anwendung sein. Verwende ich diese Tools aber nur als Inspirationsquelle für meine Marketingtexte, ist das weder hochriskant noch verboten.

NXAI: Linzer AI-Startup legt neues Modell für Computer Vision vor

Firmen, die etwa Llama 3 in der offenen Version von Meta einsetzen – wie werden diese reguliert? Gelten sie dann selbst als Betreiber/Anbieter des AI-Modells?

Wenn diese Firmen die Anwendung für eigene Zwecke und in eigener Verantwortung betreiben, sind sie Betreiber. Sie können aber auch zum Anbieter des AI-Modells werden, wenn sie es in ihre eigenen Systeme integrieren und am Markt an Dritte anbieten.

Brauchen Firmen einen eigenen AI Officer?

Sie brauchen Personal, das die erforderlichen KI-Kompetenzen aufweist. Das ist nicht nur eine Person, sondern jeder Mitarbeiter, der KI nutzt. Freilich macht es aber Sinn, dass jemand – eine Person oder Abteilung – den Lead hat, strukturiert vorgeht und alle Experten mit an Bord holt. Das kann durchaus auch ein „AI-Officer“ sein.

Microsoft oder Google bieten den Kunden ihrer AI-Anwendungen „Copyright Shields“ an, um sie vor etwaigen Problemen mit dem Urheberrecht (Stichwort Trainingsdaten) zu schützen. Reicht das, oder muss man sich zusätzlich schützen?

Es ist definitiv ein guter Schritt. Die Idee des „Copyright Shields”; ist die Übernahme von Kosten im Falle von Urheberrechtsstreitigkeiten, damit sich die User sorgenfreier kreativ verwirklichen können. Jeder User haftet nämlich persönlich für eine gesetzte Urheberrechtsverletzung. Dieses Konstrukt hilft bei möglichen Schadenersatz- und Lizenzforderungen von Urhebern, wenn das Limit nicht ausgeschöpft ist. Dieses Auffangnetz hilft nur bei Enterprise-Lösungen oder für Entwicklerplattformen. Es bietet aber keinen Schutz gegen sonstige Konsequenzen wie strafrechtliche Folgen.

Die Nichteinhaltung kann österreichische Unternehmen bis zu 35 Millionen Euro oder sieben Prozent ihres Jahresumsatzes an Strafe kosten. Woran bemisst sich die Strafe?

Die Höhe der Geldbuße wird im Einzelfall festgelegt. Es sind die konkreten Umstände relevant, wie Art, Schwere und Dauer des Verstoßes, die Häufigkeit des gleichen Verstoßes, die Größe des Unternehmens, der Verschuldungsgrad (Vorsatz oder Fahrlässigkeit), welche Schadensminderungsmaßnahmen bereits gesetzt wurden, etc. Die umsatzbezogene Geldbuße richtet sich bei Konzernen, die eine wirtschaftliche Einheit bilden, nach dem Konzernjahresumsatz. Dabei werden die Zahlen aus dem vorangegangenen Geschäftsjahr herangezogen. Das kann durchaus auch die 35 Millionen Euro übersteigen.

Der AI Act wird oft und gerne als Überregulierung kritisiert, der Europa im Wettrennen gegen die USA und China ausbremst? Zeigt sich das in der Praxis – bremst die Regulierung die Umsetzung aus?

Das ist nicht nur eine Frage der rechtlichen Rahmenbedingungen, sondern auch des Mindset. Wir nehmen durchaus wahr, dass Unternehmen in den USA sich schneller für KI-Systeme entscheiden. Das mag durchaus auch an den geringeren Compliance-Anforderungen liegen. Wir glauben aber nicht, dass die AI-Regulierung Unternehmen langfristig ausbremst. Am europäischen Markt tun sich spannenderweise primär hochregulierte Industrien, wie etwa Banken, Versicherungen oder Pharma-Unternehmen, leichter mit der AI-Act-Umsetzung. Sie können bereits auf ihre sonstigen Governance-Strukturen und Security- Anforderungen aufsetzen. Während andere Branchen, unabhängig von ihrer Unternehmensgröße, diese Strukturen, wie etwa das Risk-Management, erst aufbauen müssen. Unabhängig davon ist es aber sinnvoller, ein gemeinsames internationales Verständnis von erforderlicher Produktregulierung zu finden. Das würde den Wettbewerb fairer gestalten und auch in Europa beleben. Der AI-Act ist aber generell weniger eingreifend und regulierend als die DSGVO. Er gibt generelle Spielregeln und Rahmen vor, die auch global recht konsensfähig sein könnten.

Unternehmen rechnen durch AI mit Effizienz- und Produktivitätssteigerungen. Woran kann man das letztendlich wirklich messen?

Um den Nutzen messen zu können, sind vorab Key Performance Indicators (KPI) festzulegen. Unternehmen müssen daher überlegen, ob sie z.B. Zeit einsparen, Umsätze direkt erhöhen oder Fehlerquoten durch KI minimieren wollen. Diese Faktoren sind als KPI zu qualifizieren und die Ergebnisse der automatisierten Abwicklung den Standardprozessen gegenüberzustellen. Je präziser Zeit, Wert und Standard einer Tätigkeit feststehen, desto verlässlicher ist der Vergleich.

DORDA Rechtsanwälte zählt zu den führenden Anwaltskanzleien für Wirtschaftsrecht in Österreich mit Sitz in Wien. Das Familienunternehmen besteht seit drei Anwaltsgenerationen und berät seit 45 Jahren. Neben österreichischen Unternehmen zählen international tätige Konzerne sowie auch Start-ups zu den Klient:innen. 

Meta: 11 Beschwerden wegen Nutzung persönlicher Daten für AI

Werbung
Werbung

Specials unserer Partner

Die besten Artikel in unserem Netzwerk

Deep Dives

#glaubandich CHALLENGE Hochformat.

#glaubandich CHALLENGE 2025

Österreichs größter Startup-Wettbewerb - 13 Top-Investoren mit an Bord
© Wiener Börse

IPO Spotlight

powered by Wiener Börse

Austrian Startup Investment Tracker

Die Finanzierungsrunden 2024

Trending Topics Tech Talk

Der Podcast mit smarten Köpfen für smarte Köpfe

2 Minuten 2 Millionen | Staffel 11

Die Startups - die Investoren - die Deals - die Hintergründe

The Top 101

Die besten Startups & Scale-ups Österreichs im großen Voting

BOLD Community

Podcast-Gespräche mit den BOLD Minds

IPO Success Stories

Der Weg an die Wiener Börse

Weiterlesen