Sicherer Umgang mit KI im Unternehmensalltag

Sicherer Umgang mit künstlicher Intelligenz im Unternehmensalltag 

Was darf Ki im Unternehmen?

Einleitung

Wir haben in unserem ersten Artikel bereit einen kurzen Überblick darüber gegeben, was genau eigentlich unter Künstliche Intelligenzen (KI) verstanden wird und haben in diesem Rahmen die Verordnung zur Regulierung von KI den sogenannten Artificial Intelligence Act (AI Act) beleuchtet. 

Im Nachfolgenden möchten wir noch tiefer ins Detail gehen und Darstellen wie man KI im Unternehmen einsetzten kann. 

Künstliche Intelligenzen sind heute aus dem Unternehmensalltag nicht mehr wegzudenken. Sie ermöglichen Innovation, Effizienz und könnten europäischen Unternehmen einen Wettbewerbsvorteil verschaffen. Mit dem AI Act soll ein Regelwerk für den sicheren Umgang mit Künstlichen Intelligenzen in der Europäischen Union festgelegt werden (dazu haben wir bereits in unserem ersten Artikel Stellung genommen.). Adressaten dieses Gesetzes sind nicht nur die Entwickler von KI, sondern auch Unternehmen, die KI nutzen. Welche laut Lars Klingholz, Leiter Künstliche Intelligenz beim Digitalverband Bitcom, ein Großteil der europäischen Unternehmen sein. Der Verband begrüßt jedoch den AI Act und sieht ihn als Möglichkeit nachhaltig KI einzusetzen. 

Wie kann man Künstliche Intelligenzen im Unternehmen nutzen? 

Ob in Form eines Chatbot im Bereich des Kundenservice, zur Auswertung von Kundenbewertungen, in Gestalt von Robotern in der Fabrikation oder gar Tools zur Zusammenfassung von Kundengesprächen, die Einsatzmöglichkeiten von KI in Unternehmen sind vielfältig. 

KI ist in der Lage, ganze Aufgabenbereiche selbständig zu übernehmen und kann dabei helfen, neue Produkte und Dienstleistungen zu entwickeln, Vertriebswege zu optimieren und die Produktionsleistung zu steigern. Das Europäische Parlament hofft, dass dies zu einer positiven Entwicklung in Sektoren führen wird, die bereits in der Europäischen Union etabliert sind, wie Maschinenbau, Landwirtschaft, Gesundheitswesen oder auch Mode. 

Im Bereich Human Resources kann KI beispielsweise bei der Einstellung neuer Mitarbeiter:innen unterstützen, indem sie das gesamte Verfahren der Stellenausschreibung, der Durchführung des Bewerbungsgesprächs und der Auswahl der Teilnehmenden übernimmt. Einzig die Entscheidung, welcher Kandidat eingestellt wird, muss dann nur noch der Arbeitgebende treffen, da automatisierte Einzelentscheidungen nach Art. 22 DS-GVO verboten sind. 

Das Thema Videoüberwachung, insbesondere im Unternehmenskontext ist hingegen heikel und nicht selten mit Stolperfallen für den Arbeitgeber verbunden. Während bei Berufen mit hohem Berufsrisiko, beispielsweise bei der Polizei, KI zur Wahrung des persönlichen Schutzes verwendet wird, ist KI in anderen Bereichen in der Lage die Erstellung von Leistungs- und Bewegungsprofile der Mitarbeitenden zu ermöglichen. Dies stellt jedoch regelmäßig einen nicht notwendigen Eingriff in die Rechte und Freiheiten der Mitarbeitenden dar und soll daher künftig durch das neue Beschäftigtendatenschutzgesetz besser geregelt werden. 

Bei der Nutzung von KI am Arbeitsplatz kann sich auch ein Konflikt mit der Informationspflicht des Arbeitsgebers gegenüber den Arbeitnehmenden ergeben. Neben der Information darüber, dass mit KI gearbeitet wird, ist auch die Offenlegung des Aufbaus und die Funktionsweise des Algorithmus der KI nötig. Oftmals arbeiten Unternehmen jedoch mit KI-Anwendungen anderer Unternehmen, deren Algorithmus ein Geschäftsgeheimnis ist und haben daher selbst keine Kenntnis über die konkrete Funktionsweise der KI. Hieraus kann sich dann ein Informationsdefizit des Arbeitgebers gegenüber den Arbeitnehmenden ergeben. 

Künstliche Intelligenzen sind imstande, zahlreiche Aufgaben übernehmen. Wie sieht es mit den Arbeitsplätzen aus? 

Bei vielen Arbeitnehmenden besteht nach wie vor die Sorge aufgrund von KI ihren Arbeitsplatz zu verlieren. Künstliche Intelligenzen sind stetig in der Entwicklung und erweitern daher täglich ihr Wissen und ihre Fähigkeiten. Während einige Ökonomen dies für Berufe mit routinierten Tätigkeiten vorhersagen, sehen andere das Problem eher bei den fehlenden Investitionen in die Entwicklung von KI, insbesondere in Deutschland. Durch diesen Marktanteilverlust würden viel mehr Arbeitsplätze verloren gehen und nicht etwa durch die Übernahme von Tätigkeiten durch KI. Während in den USA allein im Jahr 2022 47,4 Mrd. US-Dollar in die Entwicklung Künstlicher Intelligenzen investiert wurde, gefolgt von China mit 13,4 Mrd. US-Dollar, waren es in Deutschland hingegen nur 2,4 Mrd. US-Dollar. Allerdings investierte auch kein anderer EU-Staat mehr.  

Welche konkreten Probleme ergeben sich beim Einsatz von KI im Unternehmensalltag? 

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) kritisiert in einer Stellungnahme den Einsatz von generativer KI-Anwendungen durch Arbeitnehmende am Arbeitsplatz. Gerade durch die Integration generativer KI in alltäglich genutzte Anwendungen wie Textverarbeitungsprogrammen oder auch Suchmaschinen ist die Hürde für die Nutzung denkbar gering. Arbeitnehmende müssen sich dessen bewusst sein, dass sie auch hier die datenschutzrechtlichen Grundsätze beachten und insbesondere eine Rechtsgrundlage für die Verarbeitung haben müssen. Dabei sind insbesondere Arbeitgeber in der Pflicht, entsprechend zu schulen und ihre Beschäftigten für die Problematik zu sensibilisieren. Die Verwendung solcher Systeme führt zudem häufig zu einem Konflikt mit dem datenschutzrechtlichen Transparenzgebot. Es ist häufig kaum oder gar nicht zu erkennen aus welchem Datenpool die KI ihr Wissen bezieht. 

Ein Fall aus den USA zeigt, dass das Wissen der KI auch veraltet oder vielmehr noch die herausgegebenen Informationen falsch sein kann. Ein Anwalt aus den USA hatte mithilfe des Chatbots ChatGPT nach Präzedenzfällen im Zusammenhang mit Verjährungen gesucht. ChatGPT hatte ihm daraufhin falsche Fälle präsentiert. Die KI war in der Lage mithilfe ihres Wissens ganze Fallakten zu erfinden, welche wiederum Verweise auf weitere erfundene Gerichtsurteile enthielten. Das Gericht sah darin einen Täuschungsversuch, welcher gravierende Folgen für den Rechtsanwalt haben könnte.  

Kompliziert wird es also vor allem bei der Frage der Haftung. Ob Fehler auf Anwender- oder Programmfehler zurückzuführen sind, kann gegebenenfalls schwierig zu beweisen sein. Auch bei der Generierung von Bildern stellt sich die Frage, wem dieses gehört. Dem Unternehmen, dass die KI eingesetzt hat, dem Mitarbeiter, der die Daten in das System eingespeist hat oder doch dem Entwickler? 

Fazit und Ausblick 

KI im Unternehmen? Ja oder nein? 

Ob der Einsatz von KI-Anwendungen sinnvoll ist, hängt von dem Tätigkeitsbereich ab. Innerhalb der Produktion stellt die Verwendung von KI eher kein Problem dar. Auch für Recherchearbeiten oder im Bewerbungsverfahren kann KI eine Erleichterung darstellen, jedoch sollten die ausgegebenen Informationen anschließend kontrolliert werden.  

Bei der Bewertung des Einsatzes von KI muss jedoch klar differenziert werden, ob gerade personenbezogene Daten verwendet werden und basierend darauf abgewogen werden, ob eine Nutzung nicht mit einem zu hohen Risiko verbunden ist. Grundsätzlich können Künstliche Intelligenzen für Unternehmen ein großer Gewinn sein, die Anwendung ist jedoch mit Vorsicht zu genießen.  

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!
KONTAKT AUFNEHMEN

Regulierungen von Künstlicher Intelligenz – Was plant die EU?

Regulierung von Künstlicher Intelligenz - Was plant die EU?

Neue EU-Verordnung zur Regulierung von künstlicher intelligenz

Die Rechtslage bezüglich Künstlicher Intelligenz (KI) ist momentan noch undurchsichtig. Daher hat das EU-Parlament nach dem Vorschlag vom April 2021 nun eine Verordnung zur Regulierung von KI, den sogenannten Artificial Intelligence Act (AI Act), verabschiedet.  Ziel der Verordnung ist es, einheitliche Anforderungen für die Nutzung von KI-Anwendungen zu schaffen, die das Potential von künstlicher Intelligenz ausschöpfen und gleichzeitig den Schutz von Daten des Einzelnen gewährleisten. 

Doch was genau ist Künstliche Intelligenz und wie funktioniert sie? 

Unter dem Begriff “Künstlicher Intelligenz” versteht das Europäische Parlament die Fähigkeit einer Maschine, menschliche Fähigkeiten wie logisches Denken, Lernen, Planen und Kreativität zu imitieren. Sie kann z.B. aus früheren Handlungen lernen und so selbstständig ihr Verhalten anpassen. Gängige Beispiele für KI-Systeme sind persönliche digitale Assistenten auf Smartphone, Online-Shopping, Web-Suche und autonome Autos.  

Die konkreten Funktionsweisen sind jedoch unterschiedlich. Der Chatbot ChatGPT des Betreibers OpenAI beispielsweise beruht auf der Sprach-KI GPT-3, die zuerst gelernt hat, wie Sprache im Internet funktioniert. ChatGPT lernt neue Informationen sowohl unüberwacht und selbstständig als auch überwacht mithilfe von menschlichem Feedback. Grundsätzlich nutzt die KI maschinelles Lernen, um künstliche neuronale Netze zu bilden, die dem menschlichen Nervensystem ähneln. 

Welche Regulierungen von Künstlicher Intelligenz wird es geben? 

Mit dem AI Act hat die EU-Kommission ein Gesetz über Künstliche Intelligenz veröffentlicht. Er enthält konkrete Vorschläge zur Reglung im Umgang mit KI in der Forschung und Wirtschaft. 

Im Rahmen des AI Act erfolgt eine Einteilung der Anwendungen in die folgenden vier Risikoklassen: minimales, geringes, hohes und unannehmbares Risiko.  

Bei der letztgenannten Kategorie erfolgt ein Verbot ihrer Anwendung. KI, die die Sicherheit von Menschen gefährdet, z. B. Social Scoring-Systeme oder eine automatische Erkennung von Emotionen, werden als solche bezeichnet.  

Risikoreiche Anwendungen sollen mithilfe von Maßnahmen zur Risikominimierung reguliert werden, wie etwa der Einführung eines Risikomanagementsystems, der Veröffentlichung detaillierter Zusammenfassungen von Daten, die zu Trainingszwecken verwendet wurden und externen Audits. Für risikoärmer KI-Systeme sind bislang wenige bis gar keine Regulierungen geplant. 

Kritik an den Regulierungen 

Alleine die Einteilung in Risikoklassen scheint jedoch schon problematisch zu sein. Bei Multifunktions-KI (sog. generative KI), wie ChatGPT, fehlt es an der Zweckbestimmung, welche gerade das Maß an Regulierung bestimmen soll. Kritisch wird insbesondere gesehen, dass obwohl generative KI seit 2021 bereits existieren, die EU die weiten Anwendungsmöglichkeiten nicht bedacht habe. Es gibt Hinweise darauf, dass geplant ist, solche als Hochrisiko KI einzustufen, was bedeutet, dass diese von hohen Regulierungen betroffen sein könnten. 

Allerdings gibt es auch einige Stimmen, die das Ausmaß der geplanten Regulierungen kritisch sehen. Während sie einerseits in den niedrigen Risikoklassen als nicht weitreichend genug empfunden werden, wird besonders im Wirtschaftssektor angemerkt, dass eine solche Überregulierung europäischen Anbietern im internationalen Konkurrenzkampf schadet und zur Abwanderung in Regionen mit weniger Regulierungen für KI, führt. Vor allem kleinere Unternehmen und Startups würden durch die Umsetzung vor finanzielle Herausforderungen gestellt. 

Was bedeutet das für die Zukunft von Künstlicher Intelligenz in Europa?

In vielen EU-Staaten wurden die Stimmen gerade in Bezug auf generative KI lauter, und einige haben bereits Untersuchungen wegen datenschutzrechtlicher Bedenken eingeleitet. In Italien beispielsweise war der Chatbot gesperrt, bis der Betreiber eine Altersverifizierung und die Möglichkeit einführte, gegen der Datennutzung zu widersprechen. OpenAI Gründer Sam Altman sieht zwar die Notwendigkeit einer Regulierung von KI, hat jedoch bereits angekündigt, sich aus Europa zurückzuziehen, wenn die Regelungen des AI Acts in der Form umgesetzt werden sollten. 

Der AI Act muss nun in einem Trilog zwischen der EU-Kommission und den Mitgliedsstaaten abgestimmt werden, bevor er voraussichtlich im Jahr 2026 in Kraft treten könnte. Ob der Spagat zwischen Regulierung zum Schutz persönlicher Daten vor Missbrauch und technischem Fortschritt gelingen wird, bleibt abzuwarten. 

Wir zeigen Ihnen im zweiten Teil des Artikels die konkreten Einsatzmöglichkeiten von KI und deren Voraussetzungen im Unternehmen. 

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!
KONTAKT AUFNEHMEN

Der European Data Governance Act

Der European Data Governance Act 

Neue Regelungen Zur Vereinfachung des Datenaustasches und der Datenverwendung

Einleitung

Der Data-Governance-Act („DGA“) ist eine Verordnung der Europäischen Union (Verordnung (EU) 2022/686), welche am 3. Juli 2022 veröffentlicht wurde und nun dieses Jahr am 24. September in Kraft tritt. Es handelt sich um eine Verordnung zur Datenverwaltung, die eine bessere gemeinsame Nutzung von Daten zwischen den Mitgliedstaaten der EU ermöglichen soll. Als Verordnung gilt der DGA unmittelbar in allen Europäischen Mitgliedstaaten und bedarf keiner Umsetzung durch nationales Recht.

Der DGA gilt als wichtiger Eckpfeiler der europäischen Datenstrategie. In dem folgenden Beitrag soll der DGA mit seinen Inhalten und Zielen vorgestellt und die Anwendung in der Praxis erläutert werden.

Wozu ist eine solche Verordnung notwendig und welches Ziel verfolgt sie?

Daten spielen in der heutigen digitalisierten Welt eine herausragende Rolle: gerade bei aktuellen Themen wie der Bewältigung der Klimakrise, der Mobilitätswende, der digitalen Vernetzung oder der Digitalisierung der Verwaltung spielt die Verfügbarkeit und der Austausch von Daten eine zentrale Rolle. In nahezu jedem Wirtschaftssektor ist die Verwendung und der Austausch von personenbezogenen und nicht personenbezogenen Daten von zentraler Bedeutung. Gerade dies soll durch den DGA realisiert und erleichtert werden.

Derzeit gestaltet sich ein funktionierender und effizienter Datenaustausch innerhalb der EU aufgrund vieler Faktoren schwierig. Durch ein fehlendes einheitliches System mangelt es beispielsweise bei Unternehmen an Vertrauen in einen sicheren Datenaustausch, die Frage der Datenweiterleitung ist aufgrund verschiedener landeseigener Regelungen undurchsichtig und auch technische Hindernisse bestehen. Die Datenschutzgrundverordnung („DSGVO“) kann hierbei nicht Abhilfe schaffen und stellt kein einheitliches System dar, da sie nur den europaweit einheitlichen Umgang mit personenbezogenen Daten regelt, aber gerade nicht einen sicheren Austausch und die Weiterverwendung von Daten durch Unternehmen oder Private regelt. Diese Faktoren sollen durch den DGA beseitigt werden, indem ein einheitliches, sicheres System für eine Datenübermittlung und den Datenaustausch geschaffen wird.

Die Verordnung ist Teil der europäischen Datenstrategie und soll einen grundlegenden rechtlichen Rahmen für die gemeinsame Nutzung von Daten schaffen. Sie verfolgt das Ziel, das Vertrauen in die gemeinsame Nutzung von Daten zu stärken, die Datenverfügbarkeit durch gewisse Mechanismen zu erhöhen und derzeitige technische Schwierigkeiten bei der Weiterleitung und -verarbeitung von Daten zwischen den Mitgliedstaaten der EU zum Vorteil des europäischen Binnenmarktes zu beseitigen. Als ein sektorübergreifendes Instrument regelt die Verordnung die Weiterleitung von gespeicherten, geschützten Daten.

Konkret wird der DGA für die Einrichtung und Entwicklung gemeinsamer Datenräume der Mitgliedstaaten relevant, an denen private und öffentliche Akteure teilhaben sollen. So soll ein effizienter und schneller Datenaustausch zwischen den Mitgliedstaaten und den Sektoren der EU ermöglicht werden. Gerade in den Bereichen Gesundheitswesen, Landwirtschaft, Umwelt, Energie, Finanzen und der öffentlichen Verwaltung wird ein effizienter Datenaustausch und -abgleich zur Digitalisierung und Erleichterung des Austausches der Mitgliedländer beitragen, sodass Fortschritt und Weiterentwicklung länderübergreifend gelingen können. In den noch zu schaffenden Datenräumen werden sodann beispielsweise Gesundheitsdaten, Umwelt- und Agrardaten gesammelt, damit private und öffentliche Akteure auf diese zugreifen können und zum Beispiel für die Entwicklung ihrer Produkte oder die Entwicklung einer künstlichen Intelligenz verwenden können.

Doch wie sieht die Umsetzung dieser Ziele aus?

Um die grundsätzlich schon vorhandene Menge an Daten in der EU und deren Potenzial nutzen zu können, soll das Vertrauen in das Teilen und Zurverfügungstellen von Daten gestärkt werden. Derzeit befürchten viele Unternehmen, dass die Weitergabe ihrer Daten mit einem Verlust an Wettbewerbsfähigkeit einhergeht und die Offenlegung von Daten ein Missbrauchsrisiko darstellt. Der DGA benennt unter anderem eine Reihe von Regeln für Anbieter von Datenvermittlungsdiensten, damit diese als vertrauenswürdige Organisatoren den Datenaustausch abwickeln. Der DGA sieht mehrere Säulen zur Umsetzung vor:

 

Technische Voraussetzungen:

Zunächst sollen die Mitgliedstaaten technisch passend ausgestatten sein, damit die Privatsphäre und Vertraulichkeit der Daten sichergestellt werden kann.

Möglichkeit der Datenspende:

Gerade um eine Vielfalt von Daten für Wirtschaft, Forschung und Gesundheit nutzen zu können, müssen erst einmal auch Datenmenge vorliegen. Als ein Instrument wird die Datenspende vorgesehen, die es Unternehmen und auch öffentlichen Stellen ermöglicht, Daten freiwillig zur Verfügung zu stellen (sog. Datenaltruismus).

Daneben sind Maßnahmen normiert, die es Bürgern und Unternehmen ermöglichen, ihre Daten zum Nutzen der Allgemeinheit in dem geschaffenen System zur Verfügung zu stellen, sowie Maßnahmen zur Erleichterung des Datenaustauschs, insbesondere zur Ermöglichung der grenzübergreifenden Nutzung von Daten und zur Auffindung der richtigen Daten für den richtigen Zweck.

Erleichterungen bei der Weiterverarbeitung:

Sodann sieht der Data Governance Act einen Mechanismus zur Erleichterung der Weiterverarbeitung bestimmter Daten des öffentlichen Sektors vor, die nicht als offene Daten zur Verfügung gestellt werden können.

Vertrauenswürdigkeit:

Des Weiteren enthält die Verordnung Maßnahmen, mit denen sichergestellt wird, dass Datenintermediäre (Datenvermittlungsdienste) als vertrauenswürdige Organisatoren des Datenaustauschs oder der Datenbündelung innerhalb der gemeinsamen europäischen Datenräume fungieren. Dadurch soll ein sicheres Datensystem entstehen, wodurch mehr Daten offengelegt werden, sodass die Datenverfügbarkeit gesteigert wird.

Zusammenarbeit öffentlicher Stellen und Verwender:

Weiterhin sollen öffentliche Stellen und Verwender der Daten eng zusammenarbeiten, damit eine problemlose Verwendung und Nutzung gegen Entgelt und Weiterverarbeitung der Daten gewährleistet werden. Kann eine öffentliche Stelle zum Bespiel keinen Zugang zu gewissen Daten zur Weiterleitung gewähren, so soll sie dem potenziellen Verwender dabei helfen, die Zustimmung der betroffenen Person zur Weiterverarbeitung einzuholen.

Wichtig ist zu betonen, dass die Datenintermediäre als neutrale Dritte fungieren, die Einzelpersonen und Unternehmen auf der einen Seite mit Datennutzern auf der anderen Seite verbinden. Datenintermediäre können die Daten nicht monetarisieren und müssen durchgehend gewissen Anforderungen erfüllen, um eine Neutralität zu gewährleisten und Interessenskonflikte vorzubeugen. Ebenfalls wichtig ist, dass durch den DGA die öffentlichen Stellen nicht verpflichtet werden können, eine Erlaubnis in die Weiterverarbeitung ihrer Daten zwangsweise zu erteilen.

Durch diese verschiedenen Säulen und Maßnahmen lässt sich ein Teil der europäischen Datenstrategie umsetzen. Diese beinhaltet die sog. „FAIR-Datengrundsätze“:

F – Findability (Auffindbarkeit)
A – Accessibility (Zugänglichkeit)
I – Interoperability (Interoperabilität)
R – Reusability (Weiterverwendbarkeit)

 

Fazit und Ausblick

Der DGA sieht mit seinen Regelungsgegenständen eine weitreichende, effiziente und mitgliedstaatenübergreifende Nutzung von Daten vor. Eine solche sektorübergreifende und gezielte Förderung des Austausches und der Weiterverwendung von Daten könnte nicht nur insbesondere in der Forschung ein Vorankommen bedeuten, sondern auch kleinere Unternehmen der Mitgliedstaaten könnten signifikant durch den Datengewinn profitieren. Sei es, dass die bereitgestellten Daten die Produktentwicklung vorantreiben oder den Marktzugang erleichtern.

Der DGA ist jedoch nur ein Rechtsrahmen, er gibt ein rechtliches System als Rahmenbedingung vor, beinhaltet aber keine konkrete Pflicht zur Nutzung der neu erschaffenen Möglichkeiten in den Mitgliedstaaten. Es besteht somit keine Verpflichtung zur öffentlichen Bereitstellung von Daten. Auch sind keine Bußgelder oder ähnliche Sanktionen vorgesehen, sodass es fraglich ist, ob der Verordnung eine breite praktische Relevanz zukommen wird.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!
KONTAKT AUFNEHMEN