EU AI Act: KI kann viel mehr als wir nutzen dürfen

Lukas Feiler, Rechtsanwalt und Leiter des Teams IP-/IT-Recht von Baker McKenzie in Wien, gehört zu den führenden Experten zum Thema EU AI Act und dazu, was es dabei zu beachten gilt.

Bevor Lukas Feiler als Doktor der Rechtswissenschaften an der Universität Wien promovierte, war er, unter anderem in New York, auch als Software-Entwickler und Systemadministrator tätig. Danach absolvierte er, neben einem Studienaufenthalt in Kalifornien, auch Zertifizierungen als Systems Security Certified Practitioner (SSCP) sowie als Certified Information Privacy Professional/Europe (CIPP/E). Er ist Autor des ersten österreichischen Kommentars zur Datenschutz-Grundverordnung und Lehrbeauftragte für „European and International Privacy Law“ an der Universität Wien. Kaum jemand kann so viel Wissen aus den Welten des Rechts und der Technologie so praxisnah zusammenführen wie der Spezialist für technologieorientierte Rechtsfälle der international renommierten Anwaltskanzlei Baker McKenzie in Wien.

Bezüglich der KI-Verordnung der EU, die seit 2. Februar in Geltung ist, ortet Feiler noch auf beiden Seiten einige Fragezeichen. Auf der einen Seite wird in der EU-Kommission noch darüber diskutiert, wie man die europäische Volkswirtschaft durch die Verordnung nicht überreguliert, und auf der anderen Seite beschäftigt man sich in vielen Unternehmen gerade mit der Frage, welche Maßnahmen der AI Act in der Praxis erforderlich macht. Bei deren Umsetzen berät er zahlreiche führende Unternehmen und zeigt auf, was es dabei zu beachten gilt. 

Herr Feiler, was sind konkret die KI-Kompetenzen, die es nun in Unternehmen verpflichtend aufzubauen gilt?

Seit 2. Februar dieses Jahres ist verpflichtend sicherzustellen, dass alle Mitarbeiterinnen und Mitarbeiter, gemessen an ihrer jeweiligen Rolle in einem unterschiedlichen Ausmaß, über die erforderliche KI-Kompetenz verfügen – und das bedeutet auch zu wissen: Unter welchen Voraussetzungen darf ich welche Systeme auf welche Weise einsetzen? Ein konkretes Beispiel: Wenn ich Microsoft Copilot beauftrage, ein PowerPoint Slide für die nächste Marketing-Präsentation zu liefern, ist das kein Problem. Wenn ich Copilot frage, welcher meiner Direct Reports auf meine E-Mails am langsamsten antwortet, ist das hingegen sehr wohl eines. Es reicht nicht, zu beurteilen, ob man mit einem bestimmten System grundsätzlich arbeiten darf oder nicht, sondern man muss den Mitarbeitenden die datenschutzrechtlichen und arbeitsrechtlichen Konsequenzen und Grenzen für die Verwendung von KI aufzeigen. Denn die Realität, die uns begegnet, ist, dass diese Systeme in der Regel viel mehr können als wir nutzen dürfen.

Was sind die größten Herausforderungen, die sich Unternehmen dabei stellen?

Handelt es sich beispielsweise um ein öffentlich betriebenes KI-System, das aus den eingegebenen Daten lernt? In diesem Fall darf ich es nicht mit vertraulichen oder personenbezogenen Daten füttern. Datenschutzrechtlich wäre dies unzulässig, weil ich keine entsprechende Rechtsgrundlage für die Übermittlung an den Anbieter des KI-Systems habe, der die Daten zu eigenen Zwecken verwendet. Geschäftsgeheimnisrechtlich wäre es fatal, weil dadurch der Schutz des Geschäftsgeheimnisses vernichtet würde – und zwar in dem Moment, in dem ich es aus freien Stücken einem Dritten offenlege. Und genau das ist bei einem öffentlichen KI-System, das aus meinen Eingaben lernt, der Fall.

Wie lässt sich das in der Praxis am besten sicherstellen?

Die meisten unserer Mandanten beginnen diese Herausforderung richtigerweise einmal auf organisatorischer Ebene zu erfassen: Wie schauen meine Prozesse aus und wie kann ich sicherstellen, dass im Unternehmen keine KI-Systeme eingesetzt werden, ohne dass sie geprüft wurden – in den meisten Fällen ist dabei die Rechtsabteilung in irgendeiner Form eingebunden. Hier tun sich Organisationen leichter, die bürokratisch organisiert sind, und in denen es reglementierte Beschaffungsprozesse gibt. Für andere Unternehmen, die sich bewusst unbürokratisch organisiert haben, bedeutet das ein massives Umdenken: Hier ist es nun nicht mehr möglich, jedes Online-Service, das nützlich wäre, einfach zu verwenden, ohne das intern abgeklärt zu haben.

Zu identifizieren, welche Tools ich verwende, ist die eine Sache, aber auch tatsächlich zu verstehen, ob diese AI-Act-konform arbeiten, klingt herausfordernd.

Wenn ich die Betriebsanleitung ignoriere und das System zum Beispiel zweckwidrig für einen Hochrisiko-Zweck verwende, rutsche ich – nach der ausdrücklichen Regelung der KI-Verordnung – aus der Betreiberrolle in die Rolle des Herstellers beziehungsweise Anbieters. Damit bin ich einer Fülle von Pflichten ausgesetzt, die ich je nach Risiko-Klassifikation des jeweiligen KI-Systems, unter Umständen gar nicht oder nur unter erheblichem Aufwand erfüllen kann.

Vor diesem Hintergrund haben die Schulungen eine entscheidende Bedeutung – wie sollte man diese sinnvoll und zugleich machbar anlegen?

Zum einen sollte man die Schulungen gezielt auf die im Unternehmen eingesetzten KI-Systeme ausrichten, um konkrete Dos & Don´ts aufzuzeigen. Umso wichtiger ist es, dass man solche Trainingsprogramme, etwa in einem 2-Pager, kompakt hält und – eventuell auf die einzelnen Geschäftsbereiche heruntergebrochen – in praktisch relevanter Art und Weise vermittelt. Ziel ist es nicht, das gesamte Personal zu Rechtsexperten zu machen, sondern die wesentlichen Dinge, auf die man im Umgang mit KI achten muss, zu vermitteln. Zum Beispiel, dass KI-Systeme grundsätzlich nicht für die Überwachung von Mitarbeiterinnen und Mitarbeitern eingesetzt werden dürfen, oder um deren Leistung zu beurteilen. Parallel dazu erarbeiten unsere Mandanten zumeist auch die entsprechenden internen Richtlinien – in Ergänzung zu bestehenden arbeitsrechtlichen Weisungen. Nicht zuletzt auch, um nachweisen zu können, alles Zumutbare unternommen zu haben, um die gesetzlichen Vorgaben zu erfüllen.

Eine Frage, die sich bei neuen Verordnungen stets stellt, ist die nach Kontrolle und nach Strafrahmen.

Wir wissen noch nicht mit Sicherheit, wer in Österreich die Vollzugszuständigkeit erhalten wird, aber für die meisten Branchen könnte das voraussichtlich die RTR, die Rundfunk und Telekom Regulierungs-GmbH, sein. Sie hat etwa 200 Mitarbeiter:innen und verfügt als einzige Behörde im Digitalisierungskontext – auch im Unterschied zur Datenschutzbehörde – bereits über Erfahrung mit Produktsicherheitsregulierung, nämlich im Rahmen der eIDAS-Verordnung zur elektronischen Signatur. Und sie übt bereits eine KI-Beratungs-Tätigkeit aus.

it&d business Redaktion