Skip to Content (custom)

Angle

Wenn KI global wird, werden es auch die KI Regulierungen

Wenn KI global wird, werden es auch die KI Regulierungen

  • 1 Min

Zentrale Erkenntnis: Die weltweiten KI Regulierungen entwickeln sich kontinuierlich weiter. Die EU treibt diese Entwicklung mit DORA, dem AI Act und dem Digital Services Act maßgeblich voran. Diese Regelwerke wirken über Landesgrenzen hinaus und stellen Unternehmen weltweit vor neue Compliance Herausforderungen. Wer regulatorische Entwicklungen im Blick behält, eine vorausschauende Governance etabliert und mit erfahrenen Partnern zusammenarbeitet, reduziert Risiken und nutzt KI verantwortungsvoll und sicher.

Jedes Unternehmen, das KI einsetzt, steht im Fokus der Aufsichtsbehörden. Drei neue EU Regelwerke läuten einen grundlegenden Wandel der regulatorischen Landschaft ein. Regierungen weltweit wenden neue KI Gesetze und Vorgaben grenzüberschreitend und rückwirkend an, häufig verbunden mit erheblichen Bußgeldern. Die Zeit, in der die Einhaltung nationaler Vorschriften ausreichte, ist vorbei. Compliance erfordert heute ein neues Vorgehen.

Viele Organisationen gehen noch immer davon aus, dass geografische Distanz sie vor dem Zugriff europäischer Aufsichtsbehörden schützt. Die Realität zeigt ein anderes Bild. Ein genauer Blick auf die entstehenden EU Regelungen macht deutlich, welche Compliance Ansätze Unternehmen jetzt umsetzen müssen, um die neuen Anforderungen zu erfüllen und sich auf eine KI Regulierung ohne Grenzen vorzubereiten.

Drei zentrale EU Regelwerke als Treiber globaler Compliance Herausforderungen

Die EU gibt bei der Regulierung von Datenschutz und KI den Takt vor. Drei neue Rechtsakte adressieren unterschiedliche Aspekte von Technologie und Compliance und bilden gemeinsam ein neues Regelwerk mit weitreichenden Auswirkungen. Sie schaffen ein komplexes Geflecht an Pflichten und sehen spürbare Sanktionen vor.

Gesetz zur digitalen operativen Resilienz

Der Digital Operational Resilience Act stärkt die digitale Widerstandsfähigkeit von Finanzunternehmen in der EU. Er schafft einen verbindlichen Rahmen für den Umgang mit Informations und Kommunikationstechnologie Risiken und stellt sicher, dass Organisationen operative Störungen bewältigen, darauf reagieren und sich davon erholen können, einschließlich Cyberangriffen.

DORA gilt dabei nicht nur für Finanzinstitute selbst. Auch deren Drittanbieter und Beauftragte fallen in den Anwendungsbereich. Nutzt ein Finanzunternehmen ein KI System wie ChatGPT für geschäftskritische Prozesse, können sowohl das Unternehmen als auch der KI Anbieter unter die Regelungen von DORA fallen.

EU KI Gesetz

Der EU AI Act schafft einen umfassenden Rahmen für die Entwicklung und den Einsatz von KI. Er verfolgt einen risikobasierten Ansatz und ordnet KI Systeme vier Risikostufen zu: gering, begrenzt, hoch und unzulässig. Die Anforderungen unterscheiden sich je nach Risikokategorie. Das Gesetz enthält zudem spezifische Vorgaben für KI Modelle mit allgemeinem Verwendungszweck wie ChatGPT. Systeme mit hohem Risiko unterliegen strengeren Anforderungen, darunter:

  • Ein durchgängiges Risikomanagement über den gesamten Lebenszyklus des Hochrisiko KI Systems hinweg.
  • Eine technische Dokumentation, die die Einhaltung der Vorgaben nachweist und den zuständigen Behörden eine Bewertung der Compliance ermöglicht.
  • Eine Auslegung des Hochrisiko KI Systems auf eine lückenlose Protokollierung, um relevante Ereignisse zur Identifizierung nationaler Risiken automatisch zu erfassen.
  • Die Einführung eines Qualitätsmanagementsystems zur Sicherstellung der Compliance.

Ein unzulässiges Risikoniveau umfasst KI Systeme, die eine klare Bedrohung für die Sicherheit, die Lebensgrundlagen oder die Rechte von Personen darstellen. Der EU AI Act verbietet acht Praktiken, darunter:

  1. Soziales Scoring.
  2. Bewertung oder Vorhersage individueller Strafbarkeitsrisiken.
  3. Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen.
  4. Biometrische Kategorisierung zur Ableitung geschützter persönlicher Merkmale.

Gesetz über digitale Dienste

Der Digital Services Act konzentriert sich auf die Regulierung von Online Inhalten und verleiht Aufsichtsbehörden weitreichende Befugnisse, Inhalte zu bewerten und zu entfernen, die sie als falsch oder schädlich einstufen. Die dabei angewendeten Kriterien sind teilweise subjektiv und werfen komplexe Fragen auf:

  • Wer trägt die Verantwortung für die Prüfung von KI generierten Inhalten der Prompt Ersteller, der veröffentlichende Nutzer, der Modellbetreiber oder die Datenquelle.
  • Besteht eine Haftung auch dann, wenn eigene Inhalte ohne Absicht von einem KI Modell weiterverwendet werden.

Verstöße gegen diese Regelungen können mit Bußgeldern in dreistelliger Millionenhöhe geahndet werden. Das schafft starke Anreize für Plattformen, Inhalte aktiv zu überwachen und einzuschränken.

Der lange Arm der EU

Für Compliance Verantwortliche ist nichts verunsichernder als rechtliche Unklarheit. Ob ein Standort außerhalb der EU tatsächlich einen sicheren Hafen darstellt, bleibt offen. Davon auszugehen, dass die eigene geografische Lage außerhalb der Reichweite der EU liegt, kann sich als folgenschwerer Irrtum erweisen. Klar ist jedoch, dass alle drei Regelwerke extraterritoriale Wirkung entfalten. Nach dem Digital Services Act gilt die Regulierung bereits dann, wenn EU Bürger auf Ihre Inhalte zugreifen können. Der EU AI Act greift selbst dann, wenn Ihr Unternehmen nicht in der EU ansässig ist.

In der heutigen globalen digitalen Umgebung kann allein die Verfügbarkeit von Inhalten in der EU Compliance Pflichten auslösen. Es gibt Widerstand gegen diese Entwicklung, doch aktuell haben Unternehmen nur zwei Optionen. Sie erfüllen die Anforderungen oder sie setzen sich erheblichen Risiken aus.

Praktische Schritte für Compliance

Trotz der Komplexität können Unternehmen mit gezielten Maßnahmen die Einhaltung neuer globaler Vorgaben aktiv steuern.

  1. Teams müssen ihr Wissen kontinuierlich ausbauen und gezielt Weiterbildungsprogramme zu KI und Compliance nutzen, um mit den sich wandelnden Anforderungen Schritt zu halten.
  2. Arbeiten Sie mit einem vertrauenswürdigen Partner zusammen, der Technologien prüft und die Einhaltung regulatorischer Standards bestätigt, um Risiken zu senken und Verantwortlichkeiten klar zu regeln.
  3. Benennen Sie eine verantwortliche Datenschutzbeauftragte oder einen Datenschutzbeauftragten, der die Compliance überwacht und Datenschutzinitiativen steuert.
  4. Binden Sie lokale Datenschutz und Rechtsberater in den Ländern ein, in denen Sie tätig sind oder auf deren Daten zugegriffen werden kann, da regionale Expertise für die Auslegung komplexer Regelungen entscheidend ist.
  5. Implementieren und durchsetzen Sie unternehmensweite Richtlinien zur Nutzung von KI und zum Umgang mit Daten, sorgen Sie für klare Kommunikation, laufende Kontrolle und regelmäßige Aktualisierung.

Machen Sie sich abschließend mit den Richtlinien Ihrer Kunden und Lieferanten vertraut. Vermeiden Sie Zielkonflikte, schaffen Sie Transparenz und sichern Sie Vertrauen in allen relevanten Beziehungen, indem Sie sich mit zentralen Fragen befassen:

  • Nutzt das Large Language Model Kundendaten zum Training
  • Wo werden Daten gespeichert und abgerufen
  • Welche Sicherheitsmechanismen sind implementiert
  • Handelt es sich um ein privates oder ein öffentliches Modell
  • Kann das System Halluzinationen erkennen und Quellen belegen

Für Rechtsteams bieten gemanagte eDiscovery Services einen strategischen Vorteil. Die zentrale Datenhaltung reduziert Lieferantenrisiken, verbessert die Kontrolle über Sicherheitseinstellungen und ermöglicht eine bessere Aufsicht über neue Tools und Funktionen. Dieser Ansatz hilft, sich überschneidende Compliance Anforderungen aus mehreren Regelwerken wirksam zu adressieren.

Mit Klarheit vorangehen

Technologie entwickelt sich rasant und die Regulierung versucht Schritt zu halten. DORA, der EU AI Act und der Digital Services Act sind nur drei Beispiele für einen globalen Trend hin zu strengerer Aufsicht. Unternehmen stehen bei der Einführung von KI vor beispiellosen Chancen und Risiken. Wer informiert bleibt, eine starke Governance etabliert und mit erfahrenen Partnern zusammenarbeitet, navigiert sicher durch dieses Umfeld und nutzt die Vorteile von Automatisierung verantwortungsvoll.

Brandon Hollinder
Brandon Hollinder, Vice President für eDiscovery und Cyber Solutions
Als Vice President für eDiscovery und Cyber Solutions bei Epiq arbeitet Brandon Hollinder eng mit Kunden zusammen, um messbaren Mehrwert zu schaffen und sicherzustellen, dass Lösungen zielgerichtet konzipiert und fachgerecht umgesetzt werden. Mit mehr als 15 Jahren Erfahrung in eDiscovery und Cyber Lösungen verantwortet er die Go to Market Strategie von Epiq für Managed eDiscovery Services sowie für den Bereich Cyber Incident Response.

Der Inhalt dieses Artikels dient lediglich der allgemeinen Information und stellt keine Rechtsberatung dar.

Subscribe to Future Blog Posts

Related Content
Related
So erstellen Sie ein rechtssicheres Second Request Playbook für Forensik
  • Article
  • 1 Min
Read More
Related
Die Zukunft der Stenografie sicher gestalten ohne Abstriche bei der Genauigkeit
  • Article
  • Depositions and Trials
  • 1 Min
Read More
Related
Für kleine und mittelgroße Kanzleien ist die Kostenerstattung für eDiscovery Technologie heute geschäftskritisch
  • Article
Read More