Welche rechtlichen Rahmenbedingungen sind in der Unternehmenskommunikation zu beachten, damit AIGC in deinem Unternehmen rechtskonform, verantwortungsvoll und ethisch eingesetzt werden kann? In diesem Artikel erfährst du, wie GenAI und AIGC in der Europäischen Union (EU) und in Deutschland reguliert sind und wie Unternehmen damit umgehen können.
EU Artificial Intelligence Act
Mit dem EU Artificial Intelligence Act wurde im Juni 2024 der weltweit erste umfassende Rechtsrahmen für KI verabschiedet. Der AI Act stuft KI-Systeme je nach Risiko in drei Kategorien ein: „unannehmbar“, „hohes Risiko“ sowie „begrenztes oder minimales Risiko“.
Für KI-Systeme mit hohem Risiko muss ein Risikomanagementsystem eingerichtet werden, um die Datenqualität, die menschliche Aufsicht und die Einhaltung von Compliance-Anforderungen sicherzustellen. Dazu gehören Systeme, die Bereiche wie Bildung, öffentliche Dienstleistungen oder Strafverfolgung betreffen.
Die meisten KI-Systeme, die in der Unternehmenskommunikation eingesetzt werden, z.B. Chatbots, fallen in die Kategorie mit begrenztem Risiko, in der grundlegende Transparenzpflichten gelten: Generierte Contents müssen klar als AIGC gekennzeichnet werden, und Nutzer müssen darüber informiert werden, dass sie mit einem KI-System interagieren.
Darüber hinaus verpflichtet der AI Act KI-Anbieter dazu, technische Dokumentationen zu erstellen und Informationen über die beim Training verwendeten Daten offenzulegen.
Auf der offiziellen Website des AI Acts gibt es zudem als praktisches Tool den Compliance Checker. Damit kann man herausfinden, wie sich das KI-Gesetz auf das eigene Unternehmen auswirkt, indem man einen Fragebogen ausfüllt und ein paar Fragen beantwortet.
General Data Protection Regulation (GDPR)
General Data Protection Regulation (GDPR) ist die zentrale Verordnung der EU zum Schutz personenbezogener Daten, die am 25. Mai 2018 in Kraft trat. Die Verordnung stellt sicher, dass personenbezogene Daten geschützt und nur auf rechtmäßige Weise verarbeitet werden. Für Unternehmen, die GenAI und AIGC einsetzen, bedeutet dies, dass sie strenge datenschutzrechtliche Vorgaben einhalten müssen, um die Privatsphäre der betroffenen Personen bei der Datenverarbeitung zu gewährleisten.
Die zentralen Inhalte der GDPR umfassen unter anderem:
- Rechte der betroffenen Person: Dazu zählen das Recht auf Auskunft, Berichtigung, Löschung sowie das Recht auf Widerspruch gegen automatisierte Entscheidungsfindungen. Für die Verarbeitung personenbezogener Daten ist die ausdrückliche und nachweisbare Einwilligung der betroffenen Person erforderlich.
- Datenminimierung: Es dürfen nur die Daten erhoben werden, die zur Erreichung eines klar definierten Zwecks unbedingt erforderlich sind. Die Speicherung dieser Daten darf nur so lange erfolgen, wie es für den vorgesehenen Zweck notwendig ist. Unternehmen sind angehalten, bewusst so wenige personenbezogene Daten wie möglich zu erheben und dabei auf Anonymisierung oder Pseudonymisierung zu setzen, um die Privatsphäre zu schützen und rechtliche Risiken zu minimieren. Dies stellt insbesondere für GenAI-Systeme eine Herausforderung dar, da diese oft große Datenmengen benötigen, die auch personenbezogene Informationen enthalten können und somit unter die GDPR fallen.
- Zweckbindung: Personenbezogene Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer Weise weiterverarbeitet werden, die mit diesen Zwecken unvereinbar ist.
Die GDPR gilt auch für Unternehmen außerhalb der EU, sofern sie Waren oder Dienstleistungen in EU-Länder verkaufen oder sich an Nutzer in der EU richten.
Orientierungshilfe KI und Datenschutz von DSK
Nach der von der Deutschen Datenschutzkonferenz (DSK) herausgegebenen Orientierungshilfe KI und Datenschutz müssen Unternehmen, die KI zur Verarbeitung personenbezogener Daten einsetzen, die gesetzlichen Anforderungen erfüllen und für Transparenz sorgen. Betroffene haben das Recht, die Datennutzung nachzuvollziehen und der Verwendung ihrer personenbezogenen Daten für das KI-Training zu widersprechen. Automatisierte Entscheidungen, die erhebliche Auswirkungen auf Personen haben, müssen von Menschen beaufsichtigt werden. Organisationen müssen außerdem ein Data Protection Impact Assessment (DPIA) durchführen und einen Data Protection Officer (DPO) einsetzen, um sicherzustellen, dass KI-Systeme genau, zuverlässig und unvoreingenommen sind.
Bei der Verwendung von KI müssen Unternehmen sicherstellen, dass sie nicht gegen die gesetzlichen Regelungen verstoßen, insbesondere wenn es um personenbezogene Daten geht. Durch die Einhaltung dieser Verordnungen können Unternehmen nicht nur rechtliche Risiken minimieren, sondern auch das Vertrauen ihrer Kunden und Stakeholder stärken. Investitionen in Datenschutz und KI-Sicherheit werden sich langfristig auszahlen und den Grundstein für einen erfolgreichen und verantwortungsvollen Einsatz von GenAI in der EU legen.
Bild: naratrip boonroung / nana
