Auf dieser Seite
    Autoren

    Dr. Benedikt Kohn, CIPP/E

    Senior Associate

    Düsseldorf
    Read More

    Alexander Schmalenberger, LL.B.

    Knowledge Lawyer

    Hamburg
    Read More
    Autoren

    Dr. Benedikt Kohn, CIPP/E

    Senior Associate

    Düsseldorf
    Read More

    Alexander Schmalenberger, LL.B.

    Knowledge Lawyer

    Hamburg
    Read More
    • Auf dieser Seite

    21. November 2024

    Wie man die Einhaltung der KI VO meistert

    Die Rolle des KI-Verhaltenskodex für allgemeine Zwecke

    Der am 15. November 2024 veröffentlichte Entwurf eines General-Purpose AI Code of Practice (GPAI Code of Practice) ist ein Eckpfeiler in den Bemühungen der EU, die Einhaltung des AI-Gesetzes zu gewährleisten, insbesondere bei der Navigation durch dessen komplexe und oft auslegungsbedürftige Bestimmungen. Der Kodex konzentriert sich auf Transparenz, Sicherheit und Risikomanagement und steht im Einklang mit den Artikeln 53, 55 und 56 der KI VO. Wichtig ist, dass die Einhaltung solcher Kodizes eine Vermutung für die Konformität mit dem AI Act schaffen kann - ein bedeutender Vorteil für Unternehmen. 

    Dieser Artikel konzentriert sich auf einige Schlüsselthemen, wobei zu beachten ist, dass der Entwurf viel mehr Details enthält und zahlreiche offene Fragen aufwirft. Darüber hinaus wird das endgültige Dokument, das bis Mai 2025 vorliegen soll, voraussichtlich noch umfassender sein, das Feedback der Interessengruppen widerspiegeln und auf die sich entwickelnden Herausforderungen eingehen.

    Warum der Kodex für die Einhaltung der Vorschriften entscheidend ist

    Gemäß Artikel 56 der KI VO hat das EU-Büro für künstliche Intelligenz die Aufgabe, die Entwicklung von Verhaltenskodizes zu fördern und zu erleichtern, um die Anbieter von künstlicher Intelligenz bei der Einhaltung der Verordnung anzuleiten. Diese Kodizes sind besonders wertvoll, um Klarheit in Bereichen zu schaffen, in denen die Anforderungen der KI VO sonst unklar erscheinen könnten.

    Für Unternehmen bietet die Einhaltung eines Verhaltenskodex nicht nur einen bequemen Weg zur Einhaltung der Vorschriften, sondern signalisiert auch ihr Engagement für eine ethische und verantwortungsvolle KI-Entwicklung. Die Kodizes sind darauf ausgerichtet:

    • Aktualisierung der Compliance-Praktiken im Einklang mit den Markt- und Technologieentwicklungen.
    • Detaillierte Leitlinien für den Umgang mit systemischen Risiken in der gesamten KI-Wertschöpfungskette bereitstellen.
    • Standardisierung der Dokumentation systemischer Risiken und ihrer Abhilfemaßnahmen.

    Durch die Annahme des GPAI-Verhaltenskodexes können Unternehmen proaktiv die Einhaltung der Vorschriften demonstrieren und so möglicherweise eine behördliche Prüfung und Strafen vermeiden.

    Hauptmerkmale des Kodexentwurfs

    Der GPAI Code of Practice deckt ein breites Spektrum an Themen ab und befasst sich mit zahlreichen Herausforderungen im Zusammenhang mit Transparenz, Sicherheit und Governance von KI. Angesichts der Tiefe und Komplexität des Entwurfs konzentriert sich dieser Abschnitt jedoch auf eine Auswahl der wichtigsten Punkte, die für Unternehmen und Rechtsberater am relevantesten sind. Es ist wichtig zu beachten, dass der Entwurf diese Bereiche viel ausführlicher behandelt und viele andere Themen enthält, die hier nicht behandelt werden. Da die endgültige Fassung des Kodex voraussichtlich noch umfassender sein wird, sollten die Unternehmen diese Zusammenfassung als Ausgangspunkt betrachten und das vollständige Dokument zu Rate ziehen, um ein umfassendes Verständnis zu erhalten.

    Transparenz- und Dokumentationsverpflichtungen

    Der Entwurf sieht solide Verpflichtungen vor, die mit Artikel 53 KI VO in Einklang stehen:

    • Datentransparenz: Die Unternehmen müssen die Herkunft der Schulungsdaten dokumentieren, die Erfassungsmethoden offenlegen, Opt-out-Mechanismen wie Robots.txt-Dateien respektieren, sich nach Kräften bemühen, andere Opt-out-Technologien zu berücksichtigen, und zur Entwicklung und Annahme einschlägiger Standards beitragen.
    • Einhaltung des Urheberrechts: Die Anbieter müssen die Einhaltung des EU-Urheberrechts gewährleisten, sowohl in ihrem Betrieb als auch durch nachgelagerte Verträge.
    • Berichterstattung und Zugänglichkeit: Transparenzberichte, in denen der Zweck von KI-Systemen, die Datenquellen und die Maßnahmen zur Einhaltung der Vorschriften im Einzelnen aufgeführt sind, müssen für Interessengruppen und Regulierungsbehörden zugänglich sein.

     

    Risikomanagement und Sicherheitsrahmen

    In Übereinstimmung mit Artikel 55 KI VO betont der Kodex:

    • Identifizierung systemischer Risiken: Unternehmen müssen Risiken kategorisieren (z. B. Cyber-Bedrohungen, Manipulation, Diskriminierung) und deren Ursachen angehen.
    • Proportionale Abhilfemaßnahmen: Schutzmaßnahmen und Gegenmaßnahmen sollten der Schwere und Wahrscheinlichkeit der Risiken entsprechen.
    • Kontinuierliche Überwachung: Das Risikomanagement muss sich über den gesamten Lebenszyklus von KI-Modellen erstrecken und durch regelmäßige Sicherheitsberichte (Safety and Security Reports, SSRs) unterstützt werden.

     

    Lenkung und Beaufsichtigung

    Governance-Strukturen sind für die Einhaltung der KI VO von zentraler Bedeutung:

    • Verantwortlichkeiten auf Geschäftsführungs- und Vorstandsebene: In Artikel 56 KI VO wird betont, wie wichtig es ist, dass die Verantwortung für die Risiken auf der Führungsebene angesiedelt wird, wobei der Verwaltungsrat möglicherweise spezielle Risikoausschüsse einrichten kann.
    • Entscheidungsprotokolle: Der Kodex schreibt Verfahren vor, mit denen auf der Grundlage von Risikobewertungen entschieden wird, ob KI-Systeme weitergeführt, gestoppt oder geändert werden sollen.

     

    Befolgung des Kodex: Ein strategischer Vorteil

    In Artikel 56 KI VO heißt es ausdrücklich, dass die Einhaltung eines Verhaltenskodex wie des GPAI Code of Practice die Vermutung begründen kann, dass die KI VO eingehalten wird. Durch diese Vermutung wird die Belastung der Unternehmen erheblich verringert:

    • Schaffung von Klarheit in unklaren Bereichen der KI VO, wie z. B. bei der Dokumentation systemischer Risiken.
    • Verringerung des Risikos behördlicher Strafen durch den Nachweis ernsthafter Bemühungen um die Einhaltung der Vorschriften.
    • Schaffung eines Rahmens für die interne Unternehmensführung und das Risikomanagement, der mit den Erwartungen der EU übereinstimmt.

     

    Blick nach vorn: Fertigstellung des Kodex

    Während der Entwurf wertvolle Erkenntnisse liefert, wird erwartet, dass der endgültige GPAI Code of Practice weitere ungelöste Fragen aufgreift und umfangreiche Beiträge der Interessengruppen einbezieht. Zum Beispiel:

    • Definitionen und Anwendungsbereich: Der Entwurf lässt wichtige Fragen zur weiteren Diskussion und Verfeinerung offen, z. B. was ein "schwerwiegender Vorfall" oder ein "systemisches Risiko" ist.
    • Spezifische Maßnahmen: Zukünftige Iterationen werden wahrscheinlich detailliertere Anleitungen zur Risikokategorisierung, -minderung und zu Berichterstattungsverfahren enthalten.

    Sollte der Kodex bis August 2025 nicht fertiggestellt oder als unzureichend erachtet werden, ist die Europäische Kommission gemäß Artikel 56 befugt, über Durchführungsrechtsakte gemeinsame Vorschriften zu erlassen. Dies unterstreicht die Bedeutung der Einbeziehung der Interessengruppen während des Konsultationszeitraums, der am 28. November 2024 endet.

    Praktische Schritte für Unternehmen

    1. Überprüfung der AI-Systeme: Überprüfung der derzeitigen KI-Praktiken, um sicherzustellen, dass sie mit den Bestimmungen des Entwurfs übereinstimmen, insbesondere in Bezug auf Datentransparenz und systemisches Risikomanagement.
    2. Beteiligen Sie sich an dem Entwurfsverfahren: Geben Sie Feedback zum Kodex, um seine endgültige Struktur zu beeinflussen und sicherzustellen, dass er Ihren geschäftlichen Anforderungen entspricht.
    3. Stärkung der Governance: Anpassung des Governance-Rahmens, um klare Rollen für das Management von KI-Risiken und die Überwachung der Einhaltung von Vorschriften zu schaffen.
    4. Dokumentieren Sie alles: Führen Sie detaillierte Aufzeichnungen über Datenquellen, Risikobewertungen und Compliance-Maßnahmen, um die Einhaltung des Kodex und der KI VO nachzuweisen.
    5. Auf Aktualisierungen vorbereiten: Beobachten Sie die Entwicklungen, um zusätzliche Verpflichtungen im endgültigen Kodex oder in künftigen Durchführungsbestimmungen zu antizipieren.

    Abschließende Gedanken und Empfehlungen

    Der GPAI Code of Practice bietet Unternehmen einen praktischen und strategischen Weg, um die komplexen Anforderungen des AI-Gesetzes zu erfüllen. Während der Entwurf einen nützlichen Ausgangspunkt darstellt, sollten sich Unternehmen auf erhebliche Erweiterungen in der endgültigen Version vorbereiten. Die frühzeitige Annahme des Kodex vereinfacht nicht nur die Einhaltung der Vorschriften, sondern positioniert Unternehmen auch als Vorreiter in der verantwortungsvollen KI-Entwicklung.

    Rechtsgebiete und Gruppen Künstliche IntelligenzDaten & Cyber-Sicherheit
    Hot Topics KI-Verordnung (AI-Act)
    Call To Action Arrow Image

    Newsletter-Anmeldung

    Wählen Sie aus unserem Angebot Ihre Interessen aus!

    Jetzt abonnieren
    Jetzt abonnieren

    Related Insights

    Technologie-, Medien & Kommunikationsrecht

    Der EU Data Act kommt: mit unserem Scoping Tool behalten Sie den Überblick

    20. Mai 2025
    Quick read

    von mehreren Autoren

    Klicken Sie hier für Details
    Daten & Cyber-Sicherheit

    Die Zukunft des EU-U.S. Data Privacy Frameworks: Gefahr durch politische Entscheidungen in den USA?

    23. Januar 2025
    Briefing

    von mehreren Autoren

    Klicken Sie hier für Details
    Technologie-, Medien & Kommunikationsrecht

    Datenschutz und KI: Folgen der EDPB-Opinion 28/2024 für Unternehmen

    30. Dezember 2024
    In-depth analysis

    von mehreren Autoren

    Klicken Sie hier für Details

    © Taylor Wessing