Den AI Act praktisch implementieren – RA Baltasar Cevc im Gespräch

Business Circle: Sehr geehrter Herr Cevc, eingangs etwas Persönliches: Sie haben mit fingolex eine Kanzlei gegründet, die sich auf IT-Themen spezialisiert hat. Was hat Sie zu diesem Schritt bewogen, insbesondere aus einer Rechtsabteilung heraus in die Selbstständigkeit als Anwalt zu gehen?

Baltasar Cevc: Um nur einen der spannenden Aspekte zu nennen: in einem spitzen Bereich eine noch breitere Perspektive auf die Themen zu haben, da man die Herausforderungen und Ansätze ganz unterschiedlicher Kunden zu einem bestimmten Thema kennenlernt und mitgestaltet.

BC: Der AI Act gilt als Meilenstein in der Regulierung künstlicher Intelligenz. Wie weitreichend sind die neuen Anforderungen für Unternehmen?

Cevc: Die Regelungen hängen maßgeblich davon ab, welche Rolle ein Unternehmen hier einnimmt und welche Art von KI im Raum steht. Der AI Act (deutsch KI-Verordnung) regelt Pflichten abhängig davon, ob es sich um ein KI-Modell mit allgemeinem Verwendungszweck (etwa das einem Chatsystem zu Grunde liegende Sprachmodell) oder ein KI-System (extrem vereinfacht gesagt eine KI im praktischen Einsatz) eines bestimmten Risikos handelt. So unterliegen etwa Anbieter und Betreiber von KI-Systemen mit hohem Risiko besonders umfangreichen Pflichten. Die Anforderungen sind hier sehr weitreichend und bußgeldbewehrt. Aber die meisten Unternehmen unterliegen gewissen Anforderungen, so müssen etwa alle Anbieter aber auch Betreiber von KI-Systemen schon seit Anfang Februar KI-Kompetenz ihrer Mitarbeitenden sicherstellen und nachweisen können.

BC: Gibt es bereits Best Practices, an denen sich Unternehmen orientieren können?

Cevc: Für einzelne Bereiche werden gerade allgemeine Leitlinien erarbeitet (z.B. der Code of Practice für KI-Modelle mit allgemeinem Verwendungszweck). Richtlinien sollten sich Unternehmen auf jeden Fall auch für sich selbst geben (etwa eine KI-Richtlinie). Ebenfalls: Schulungen zu Hintergründen und praktisches Lernen an KI-Systemen in der Anwendung sollten für die Mitarbeitenden sein. In vielen Bereichen wird es sich auch anbieten, eine für KI-Themen verantwortliche Person bzw. ein entsprechendes Gremium einzusetzen, das die Entwicklung strategisch begleitet und auch die Umsetzung der gesetzlichen wie auch weiteren Anforderungen überwacht – wenngleich natürlich die Letztverantwortung weiterhin bei der Unternehmensleitung liegt.

BC: Wie unterscheidet sich die Verantwortung eines KI-Anbieters von der eines KI-Nutzers in der Praxis? Und welchen Einfluss könnte das in Zukunft auf eine Make-or-Buy Entscheidung für spezialisierte Softwarelösungen haben?

Cevc: Die rechtlichen Pflichten sind zu wesentlichen Teilen spezifisch auf die Anforderungen und Tätigkeiten in den Rollen bezogen. Als Beispiel: Anbieter von Hochrisiko-KI-Systemen müssen es nach Art. 14 KI-VO ermöglichen, das System zu beaufsichtigen, während die Betreiber (also die nutzenden Organisationen) die Aufsicht durchführen müssen. Manche Pflichten – etwa KI-Kompetenz sicherzustellen gelten für beide, sind aber in der Umsetzung dann doch wieder unterschiedlich. Besonders deutlich ist der Unterschied bei KI-Modellen mit allgemeinem Verwendungszweck: das einschlägige Kapitel bezieht die Pflichten auf den Anbieter. Die Make-or-buy-Entscheidung dürfte aus meiner Sicht weniger aus den Pflichten, sondern den eigenen Ressourcen und dem Einsatzzweck getrieben sein. Das Training eines insgesamt neuen KI-Modells ist häufig sehr aufwendig und ein solches wird deshalb häufig extern eingekauft. Hingegen kann ein Anwendungsfall ein sehr spezifisches KI-(Gesamt-)System fordern, sodass man sich hier etwas selbst entwickelt oder entwickeln lässt – in letzterem Fall wird es dann eine Gestaltungsfrage, wer der Anbieter dieses Systems wird. Es besteht also auch Spielraum.

BC: Kann eine KI überhaupt fehlerhaft oder rechtswidrig sein? Oder nur die Ergebnisse, die sie eventuell produziert? Welche Haftungsrisiken bestehen für Unternehmen?

Cevc: Der AI Act sieht in Artikel 5 klar bestimmte KI-Anwendungen als insgesamt oder unter bestimmten Umständen unzulässig, rechtswidrig an. Hier besteht kein Spielraum. Generative KI als die derzeit besonders spannende und vor allem am breitesten diskutierte KI hat Herausforderungen hinsichtlich geistigen Eigentums, hier sind auch die Ergebnisse besonders kritisch und potentiell haftungsträchtig. Die Gewährleistungen und Versicherungen der Anbieter helfen etwas, beseitigen das Problem jedoch nicht gänzlich. Risiken können jedoch auch aus ganz anderer Richtung drohen, etwa können personenbezogene Daten unzulässig verarbeitet oder Fehleinschätzungen durch KI ausgelöst werden, die bei ungeprüfter Übernahme wiederum Haftungsrisiken begründen können. Es lohnt sich immer ein Blick auf den konkreten Einsatz.

BC: Der AI Act definiert bestimmte KI-Systeme als Hochrisiko-Anwendungen. Welche rechtlichen Besonderheiten gelten in diesem Bereich?

Cevc: Hochrisiko-KI-Systeme unterliegen einem besonders großen Katalog von Pflichten, der von der Einführung und Pflege eines Risikomanagementsystems über Transparenzpflichten, Pflichten hinsichtlich der Entwicklung und den Eigenschaften des Systems, Qualitäts- und Datenmanagement, Erfassung von Ereignissen bis hin zu einer CE-Konformitätsprüfung geht.

KI-Compliance laufend fortentwickeln

BC: Wo sehen Sie den größten Handlungsbedarf für Unternehmen in Bezug auf KI-Compliance? Und welchen praktischen Tipp würden Sie Unternehmen geben, die sich jetzt mit den neuen KI-Regulierungen auseinandersetzen müssen?

Cevc: Eine große Herausforderung ist der stete Wandel und die Vielzahl der in Frage kommenden Lösungen. Es lohnt sich also ein sich fortentwickelndes System der KI-Compliance aufzubauen, das laufend fortentwickelt werden kann. Dies ermöglicht die systematische Prüfung und damit dann auch den Einsatz geeigneter neuer Lösungen. Und auf jeden Fall gilt: die Zeit zum Handeln ist jetzt. Das Thema KI sollte nicht auf die lange Bank geschoben werden.

BC: Abschließend: Sie werden jetzt zum ersten Mal bei der Vienna Legal Innovation vorgetragen. Warum ist es so wichtig, dass siech Legal Tech-Enthusiasten aus der DACH-Region vernetzen und worauf freuen Sie sich bei Ihrer Wien-Reise am meisten?

Cevc: Am meisten freue ich mich natürlich auf die Community. Ein paar Leute kenne ich schon, werde sicherlich noch mit etliche weiteren spannende Personen in Kontakt kommen. Die Juristerei hat zu lange technische Themen verschlafen und lässt das Potential, das diese für eine bessere und angenehmere Arbeit bieten, ungenutzt. Im Austausch können wir hier schnell fortschreiten und unsere Tätigkeit sowohl für uns, als auch für unsere internen wie externen Mandant:innen besser machen.

BC: Sehr geehrter Herr Cevc, danke für Ihre erhellenden und differenzierten Ausführungen. Wir freuen uns scher, Sie im April persönlich in Wien zu begrüßen!

‍