Quellen: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32024R0041 | https://www.bundesregierung.de/breg-de/aktuelles/der-ai-act-europas-weg-zu-einer-verantwortungsvollen-kuenstlichen-intelligenz-2189166 | https://www.heise.de/news/Der-AI-Act-kommt-Diese-Regeln-gelten-bald-fuer-KI-in-Europa-9607348.html | https://t3n.de/news/eu-ai-act-verabschiedet-6554122 | https://www.bmwk.de/Redaktion/DE/Artikel/Digitales-und-Innovation/KI/KI-Strategie/ai-act-europaeische-verordnung.html | https://www.datenschutz-consulting.de/blog/eu-ai-act-und-datenschutz-der-konflikt-zwischen-training-und-persoenlichkeitsrechten/

KI-Ethik im Praxistest: Wie der 'AI Act' die unternehmerische Nutzung von LLMs in Deutschland reguliert

Die rasante Entwicklung von Large Language Models (LLMs) wie ChatGPT, Claude oder Gemini verspricht transformative Potenziale für Unternehmen – von der Automatisierung von Texten und Analysen bis hin zur kreativen Ideenfindung. Doch mit diesen Möglichkeiten gehen auch erhebliche ethische und rechtliche Fragestellungen einher, die nun durch den EU AI Act eine klare regulatorische Rahmung erfahren. Für Unternehmen in Deutschland bedeutet dies eine dringende Notwendigkeit, ihre KI-Strategien anzupassen und Compliance sicherzustellen, um nicht in rechtliche oder ethische Fallstricke zu geraten. Dieser Artikel beleuchtet die konkreten Auswirkungen des AI Acts auf die unternehmerische Nutzung von LLMs und gibt praktische Orientierung.

Der EU AI Act: Ein neuer Rahmen für KI-Innovation

Der EU AI Act, der seit Juni 2024 in Kraft ist und dessen Vorschriften schrittweise umgesetzt werden, ist die weltweit erste umfassende gesetzliche Regelung für künstliche Intelligenz. Sein Ziel ist es, eine menschenzentrierte und vertrauenswürdige KI zu fördern und gleichzeitig die europäische KI-Industrie zu stärken. Der Act verfolgt einen risikobasierten Ansatz, der verschiedene KI-Systeme je nach ihrer potenziellen Gefahr für Grundrechte und Sicherheit klassifiziert.

Risikokategorien und ihre Implikationen für LLMs

Die Kernstück des AI Acts ist die Einteilung von KI-Systemen in vier Risikokategorien:

* Unannehmbares Risiko: KI-Systeme, die eindeutig gegen Grundrechte verstoßen und daher verboten sind (z.B. Social Scoring durch Staaten). * Hohes Risiko: KI-Systeme, die erhebliche Auswirkungen auf die Grundrechte oder die Sicherheit von Personen haben können. Hierzu zählen unter anderem KI-Systeme, die in kritischen Infrastrukturen, Bildung, Beschäftigung, Strafverfolgung oder im Rechtswesen eingesetzt werden. * Begrenztes Risiko: KI-Systeme, die spezifische Transparenzpflichten erfüllen müssen. * Minimales Risiko: KI-Systeme, die keine besonderen Auflagen erfüllen müssen (dies ist die größte Kategorie).

Für die unternehmerische Nutzung von LLMs sind insbesondere die Kategorien "Hohes Risiko" und "Begrenztes Risiko" von Bedeutung. Viele LLMs, die für generative Zwecke oder zur Informationsgewinnung eingesetzt werden, fallen potenziell in die Kategorie "Hohes Risiko", insbesondere wenn sie zur Entscheidungsfindung in sensiblen Bereichen genutzt werden. Dies hat weitreichende Konsequenzen für die Entwicklung, Bereitstellung und Nutzung solcher Systeme.

Kernpunkte des AI Acts für die Nutzung von LLMs

Der AI Act legt eine Reihe von Verpflichtungen fest, die für Entwickler und Anbieter von KI-Systemen gelten, aber auch erhebliche Auswirkungen auf Anwender haben. Im Kontext von LLMs sind insbesondere folgende Punkte relevant:

Transparenzpflichten bei generativer KI

Ein zentrales Element des AI Acts sind die Transparenzpflichten. Generative KI-Systeme, die Inhalte wie Texte, Bilder oder Musik erzeugen, müssen klar als solche gekennzeichnet werden. Dies dient dazu, Nutzerinnen und Nutzer davor zu schützen, von KI erstellte Inhalte für menschliche Schöpfungen zu halten. Für Unternehmen bedeutet dies, dass sie sicherstellen müssen, dass von ihren LLM-gestützten Systemen generierte Inhalte für Endverbraucher als solche erkennbar sind. Dies kann durch Wasserzeichen, klare Kennzeichnungen oder begleitende Metadaten geschehen.

Verpflichtungen für Hochrisiko-KI-Systeme

Wenn ein LLM als Teil eines Hochrisiko-KI-Systems eingesetzt wird – beispielsweise zur automatisierten Bewerberauswahl oder zur Kreditwürdigkeitsprüfung –, steigen die Anforderungen erheblich. In diesem Fall müssen Unternehmen umfassende Maßnahmen ergreifen, darunter:

* Risikomanagementsysteme: Etablierung eines robusten Systems zur Identifizierung, Bewertung und Minderung von Risiken, die von der KI ausgehen. * Datenmanagement: Sicherstellung der Qualität und Relevanz der Trainingsdaten, um Verzerrungen (Bias) zu minimieren. * Protokollierung (Logging): Automatisierte Aufzeichnung von Ereignissen, um die Nachvollziehbarkeit und Überprüfbarkeit der KI-Entscheidungen zu gewährleisten. * Transparenz und Nutzerinformation: Klare Information der Nutzer über die Funktionsweise und die Grenzen des KI-Systems. * Menschliche Aufsicht: Möglichkeit zur menschlichen Überprüfung und Intervention bei KI-generierten Ergebnissen.

Generelle Pflichten für alle KI-Anbieter und -Nutzer

Unabhängig von der Risikoklassifizierung gibt es generelle Pflichten, die alle KI-Anbieter und Nutzer betreffen. Dazu gehören:

* Informationspflichten: Bereitstellung von Informationen über die KI und ihre Fähigkeiten. * Verbot bestimmter Praktiken: Verbot von KI-Systemen, die manipulative oder diskriminierende Zwecke verfolgen.

Herausforderungen bei der Implementierung von LLMs im Unternehmenskontext

Die praktische Umsetzung der Anforderungen des AI Acts bei der Nutzung von LLMs birgt für Unternehmen in Deutschland zahlreiche Herausforderungen:

Datenschutz und die Nutzung von Trainingsdaten

Die Nutzung großer Datensätze für das Training und die Feinabstimmung von LLMs wirft komplexe Fragen im Hinblick auf den Datenschutz auf. Unternehmen müssen sicherstellen, dass die verwendeten Daten die DSGVO-Richtlinien einhalten und keine personenbezogenen Daten ohne ausreichende Rechtsgrundlage verarbeitet werden. Dies gilt sowohl für das Training eigener Modelle als auch für die Nutzung von vortrainierten Modellen von Drittanbietern. Die Anonymisierung und Pseudonymisierung von Daten sind hierbei entscheidende Werkzeuge, deren effektive Anwendung jedoch anspruchsvoll ist.

Urheberrechtliche Implikationen

Die Fähigkeit von LLMs, Texte, Bilder und Code zu generieren, wirft auch urheberrechtliche Fragen auf. Woher stammen die Trainingsdaten, und sind sie urheberrechtlich geschützt? Wer besitzt die Rechte an den von LLMs generierten Inhalten? Der AI Act selbst regelt diese Fragen nicht abschließend, aber er verweist auf bestehende Urheberrechtsgesetze. Unternehmen müssen sorgfältig prüfen, ob die von ihnen genutzten LLMs mit den Urheberrechtsbestimmungen vereinbar sind und ob die von ihnen generierten Inhalte nicht gegen bestehende Rechte Dritter verstoßen. Die Klärung dieser Fragen ist essenziell, um rechtliche Auseinandersetzungen zu vermeiden.

Vermeidung von Bias und Diskriminierung

LLMs lernen aus den Daten, mit denen sie trainiert werden. Wenn diese Daten historische Verzerrungen (Bias) enthalten – beispielsweise in Bezug auf Geschlecht, ethnische Zugehörigkeit oder Alter –, können die Modelle diese Verzerrungen reproduzieren oder sogar verstärken. Dies kann zu diskriminierenden Ergebnissen führen, was insbesondere bei LLMs, die in kritischen Entscheidungsprozessen eingesetzt werden, gravierende Folgen hat. Der AI Act fordert explizit die Vermeidung von Bias und die Gewährleistung von Fairness. Unternehmen müssen proaktiv Maßnahmen ergreifen, um ihre Daten zu bereinigen, Bias in den Modellen zu erkennen und zu mitigieren und die Fairness ihrer KI-Systeme kontinuierlich zu überwachen.

Komplexität und mangelnde Erklärbarkeit (Explainability)

Viele fortschrittliche LLMs sind hochkomplexe neuronale Netze, deren Entscheidungsfindung oft schwer nachvollziehbar ist – das sogenannte "Black-Box-Problem". Dies steht im Widerspruch zu den Transparenz- und Erklärbarkeitsanforderungen des AI Acts, insbesondere bei Hochrisiko-KI-Systemen. Unternehmen müssen Wege finden, die Funktionsweise ihrer LLMs so weit wie möglich zu verstehen und zu dokumentieren, um deren Ergebnisse erklären und rechtfertigen zu können.

Praktische Tipps für Unternehmen zur Sicherstellung der Compliance

Um die Chancen von LLMs zu nutzen und gleichzeitig die regulatorischen Anforderungen des AI Acts zu erfüllen, sollten Unternehmen folgende praktische Schritte unternehmen:

1. KI-Systeme kategorisieren und Risiken bewerten

Der erste und wichtigste Schritt ist die Bewertung der eingesetzten oder geplanten KI-Systeme im Hinblick auf ihre Risikoklassifizierung gemäß dem AI Act. Ist ein LLM Teil eines Hochrisiko-Systems? Welche potenziellen Auswirkungen hat es auf Grundrechte und Sicherheit? Diese Analyse bildet die Grundlage für alle weiteren Compliance-Maßnahmen.

2. Robustes Risikomanagement etablieren

Für alle KI-Systeme, die als potenzielles Risiko eingestuft werden, muss ein umfassendes Risikomanagementsystem implementiert werden. Dies beinhaltet die fortlaufende Identifizierung, Bewertung, Steuerung und Überwachung von Risiken. Regelmäßige Audits und Bewertungen sind hierbei unerlässlich.

3. Datenqualität und -management priorisieren

Investieren Sie in die Qualität und Integrität Ihrer Trainingsdaten. Implementieren Sie Prozesse zur Datenbereinigung, zur Identifizierung und Minderung von Bias und stellen Sie die Einhaltung der Datenschutzbestimmungen sicher. Bei der Nutzung von Drittanbieter-Modellen sollten Sie die Datenquellen und -praktiken der Anbieter kritisch prüfen.

4. Transparenz und Kennzeichnung gewährleisten

Stellen Sie sicher, dass KI-generierte Inhalte klar als solche gekennzeichnet sind. Informieren Sie Nutzer transparent über die Nutzung von KI und die damit verbundenen Grenzen. Dies gilt insbesondere für LLMs, die Inhalte für externe Zwecke erstellen.

5. Menschliche Aufsicht und Interventionsmöglichkeiten schaffen

Wo immer möglich und angebracht, sollten Sie menschliche Aufsicht und Interventionsmöglichkeiten in die KI-gestützten Prozesse integrieren. Dies ermöglicht eine Überprüfung und Korrektur von KI-generierten Ergebnissen und erhöht die Sicherheit und Zuverlässigkeit.

6. Rechtliche Expertise einholen

Die rechtlichen Implikationen von KI sind komplex. Es ist ratsam, rechtliche Expertise im Bereich KI und Datenschutz hinzuzuziehen, um sicherzustellen, dass alle Aspekte des AI Acts und anderer relevanter Gesetze (wie die DSGVO und das Urheberrecht) korrekt umgesetzt werden.

7. Kontinuierliche Weiterbildung und Monitoring

Der Bereich KI entwickelt sich rasant, und mit ihm die regulatorischen Anforderungen. Unternehmen sollten kontinuierlich in die Weiterbildung ihrer Mitarbeiter investieren und die Entwicklungen im Bereich KI-Ethik und -Recht aktiv verfolgen. Ein ständiges Monitoring der eingesetzten KI-Systeme auf potenziellen Bias, Leistungseinbußen oder unerwartetes Verhalten ist unerlässlich.

Fazit: KI-Ethik als Innovationsmotor

Der EU AI Act ist kein Hindernis für KI-Innovationen, sondern ein wichtiger Schritt zur Schaffung eines vertrauenswürdigen und menschenzentrierten KI-Ökosystems. Für Unternehmen in Deutschland bedeutet dies eine Chance, sich durch verantwortungsvolle und ethische KI-Praktiken zu differenzieren. Durch proaktive Compliance, eine sorgfältige Planung und die Integration von ethischen Überlegungen in ihre KI-Strategien können Unternehmen die transformative Kraft von LLMs sicher und erfolgreich nutzen. Die Auseinandersetzung mit den Anforderungen des AI Acts ist nicht nur eine rechtliche Notwendigkeit, sondern auch ein entscheidender Faktor für den langfristigen Erfolg und die gesellschaftliche Akzeptanz von KI. Die Zeit, sich auf diese neue Ära der KI-Regulierung vorzubereiten, ist jetzt.