Compliance-Risiken unter Kontrolle: Von der Entwicklung bis zum Einsatz von generativer KI

Viele Unternehmen setzen mittlerweile auf generative künstliche Intelligenz (KI), abgekürzt „GenAI“. Die Anwendungen und Services werden eingesetzt, um repetitive Aufgaben zu übernehmen, Informationen schnell zu finden, zu analysieren und automatisiert Texte und andere Inhalte zu erstellen.

Doch so erfolgversprechend die möglichen Effizienzgewinne auch sein mögen, eine voreilige Einführung von GenAI, ohne die rechtlichen Risiken, Compliance-Anforderungen und ethischen Standards in den Blick zu nehmen, kann schnell negative Folgen haben: Es drohen unter anderem Reputationsschäden und finanzielle Einbußen, etwa in Haftungsfällen. 

Die EU-Kommission strebt an, einen rechtlichen Rahmen zu etablieren, der den verantwortungsvollen und ethischen Einsatz von KI gewährleistet. Der "AI Act" definiert detaillierte Anforderungen für Entwicklung, Verkauf und Anwendung von KI-Systemen. Ein zentraler Aspekt ist die Risikobewertung, die KI-Systeme in vier Klassen einstuft (unannehmbar, hohes Risiko, begrenztes Risiko und minimales Risiko). Je nach Risikostufe gelten spezifische Verpflichtungen. 

Hochrisiko-KI-Systeme unterliegen strengen Anforderungen, darunter die Einrichtung umfassender Risiko- und Qualitätsmanagementsysteme. Verstöße können erhebliche Geldbußen nach sich ziehen. Dennoch bedarf die Verordnung weiterer Klarstellungen zu Rechtsbegriffen und Schnittstellen zu anderen Gesetzen, was potenziell rechtliche Herausforderungen für Betroffene bedeutet. Zusätzlich wird die EU eine Haftungsrichtlinie einführen, um Geschädigten bei Schäden durch KI-Systeme die Durchsetzung von Schadensersatzansprüchen zu erleichtern.

Je nach Art des Systems und geplantem Einsatzgebiet ergeben sich weitere rechtliche Risiken und Fragestellungen, die vor dem Einsatz von GenAI geprüft werden sollten. Insbesondere bei offenen Systemen, die von Dritten betrieben werden, besteht durch die Eingabe von Informationen eine erhebliche Gefahr für die unbeabsichtigte Offenlegung von Geschäftsgeheimnissen, geistigem Eigentum und personenbezogenen Daten. Die Konsequenzen können dabei von Datenschutzverstößen und entsprechenden Bußgeldern bis hin zum Verlust des Geschäftsgeheimnisschutzes führen und Unternehmen damit erhebliche Schäden zufügen. 

Eine umfassende Analyse ist erforderlich, um bestehende Risiken bei der Implementierung eines Systems zu identifizieren und zu minimieren.

In Anbetracht der regulatorischen und ethischen Anforderungen sowie der weiteren rechtlichen Risiken wird es für Unternehmen unerlässlich sein, eine angemessene KI-Governance zu etablieren. Dadurch können Prozesse, Verantwortlichkeiten und Grenzen des Einsatzes von KI-Systemen umfassend geregelt werden. 

Wir bei KPMG Law unterstützen Sie mit unserem multidisziplinären Team aus Rechtsanwält:innen und unseren Kolleg:innen aus den Bereichen Digital Compliance und Cyber Security Consulting der KPMG AG vollumfänglich bei der Einhaltung von Compliance-Anforderungen an Ihre KI-Systeme. Gemeinsam mit Ihnen entwickeln wir die KI-Strategie, die zu Ihrem Unternehmen passt. Wir unterstützen Sie dabei, die zahlreichen rechtlichen Aufgabenstellungen zu bewältigen.

Michael Roth, LL.M. (Stellenbosch)*

Partner
KPMG Law Rechtsanwaltsgesellschaft mbH

+49 69 95119 5770
Kontaktformular

Dr. Daniel Taraz*

Senior Manager
KPMG Law Rechtsanwaltsgesellschaft mbH

+49 40 360994 5483
Kontaktformular