Stimmen werden laut, dass wir uns in Europa zu viele Grenzen selbst auferlegen, die uns selbst daran hindern mit Ländern wie China und den USA mitzuhalten.
Die Hintergründe bzgl. der Bedenken und sogar Gefahren, die mit KI einher gehen scheinen klar zu sein. Doch halten wir uns genug Tore offen, die eine Wettbewerbsfähigkeit sicherstellen?
Es ist ja kein Geheimnis, dass ich den Hype um generative KI für eine Bubble erachte… und nach Meldungen aus der vergangenen Woche scheint die auch langsam zu platzen.
Es gibt weit und breit niemanden mit einem belastbaren Geschäftsmodell für generative „KI“. Alles was wir derzeit erleben ist das Verbrennen von Venture Kapital - während eine Studie attestiert dass AI models recht schnell kollabieren, je mehr sie sich an Content von AI models antrainieren - was aber fortschreitend der dominierende Content im Netz ist.
Es gibt einige wenige sinnvolle Anwendungsfälle, wo man Expertensysteme auf eng definierte Gebiete antrainiert. Eine Bekanntschaft, die ich sehr schätze, (Datenschutz- und KI-Expertin) war unlängst im Heise Podcast zu Gast, wo sie sich über die KI-Verordnung unterhalten haben… und wenn die dort zu demselben Schluss kommen, dass es ein Compliance-Ungetüm ist, bin ich relativ froh darüber dass es uns hier zumindest etwas schwerer gemacht wird unnötig viel Geld da rein zu verbrennen.
Hier meldet sich übrigens mal eine Mastodon-Administratorin dazu zu Wort - so wie Spam eine Zeit lang den Großteil des Mailaufkommens verursacht hat, sind es bei Textorientieren Webseiten mittlerweile KI-Crawler
Sie tritt, wenig überraschend, für noch mehr Regulierung ein
Ich bin mir unsicher, inwiefern die in der KI-VO gesetzten Grenzen enger sind als die, die ohnehin schon für die Nutzung von Modellen gelten.
Ich fang’ mal damit an, dass die KI-VO die DSGVO nicht verdrängt, beide gelten parallel zueinander, und – zumindest soweit ich das bisher beurteilen kann – gibt es nichts, was die DSGVO erlaubt, das die KI-VO verbietet, solange personenbezogene Daten im Spiel sind.
Bei anderen Bereichen gelten das GeschGehG, die engere Grenzen setzen, das UrhG, und unzählige Spezialgesetze unbeschadet der KI-VO.
Neu mag es für Unternehmen sein, ihre Mitarbeiter in Tools, die sie nutzen, ausbilden zu müssen, und ihre Geschäftsprozesse (zumindest die von der KI-VO betroffenen) zu dokumentieren und – wenn es sich nicht gerade um Hochrisikosysteme handelt – transparent zu machen, dass eine KI im Einsatz ist. Ach ja, und der Geschäftsführer haftet persönlich.
Vielleicht verstehe ich auch einfach das Problem nicht, dass das Verbot der Nutzung von KI zu Zwecken wie
„erhebliche Schäden verursachende Verhaltensänderung und Entscheidungsbeeinflussung“,
„Unterschwelliger Beeinflussung“,
„Ausnutzung von Schwächen oder Schutzbedürftigkeiten“,
„Social Scoring“,
„Vorhersage krimineller Aktivitäten“
„Ungefragter Aufbau von Gesiochtserkennungsdatenbanken“
„Emotionserkennung am Arbeitsplatz oder bei Bildungseinrichtungen“
„Biometrischer Überwachung“ oder
„Biometrischer Kategorisierung“
die Wettbewerbsfähigkeit unangemessen einschränken.
Mich beruhigt immer, wenn eine Seite schreit „Das geht zuweit!“ und die andere „Das sollte noch viel weiter gehen!“ – dann scheint zumindest der Zielkorridor getroffen worden zu sein.
Interessant finde ich, dass der Anhang III, der die „hochriskanten Systeme“ regelt, ohne Gesetzgebungsprozess durch die Kommission angepasst werden kann. Den sollte man als Nutzer, Anbieter, Inverkehrbringer und Hersteller dringend im Auge behalten, es könnte sonst teuer werden.
Hier hast Du exakt das geschrieben, was mit der Fragestellung der „Überregulierung“ dazu führt, dass Geschäftsführer, die in der Haftung stehen langsam bei allen Verordnungen den Verstand verlieren und wortlos abwinken.
Wie soll ein GF das kontrollieren und gleichzeitig Freiräume zulassen damit sich Mitarbeiter*innen entfalten können. So wird der GF wohl alle Tools im Unternehmen anschauen müssen und bewerten was ab sofort verboten ist, damit er die Haftung begrenzt. Wie er den etwaigen Unmut der Belegschaft, die mit KI arbeiten abfängt und für einen Ausgleich sorgt ist sicher nicht einfach.
Aber ja, aufgrund der Nähe zur DSGVO war es klar, dass alles rund um KI vor den Gesichtspunkten Deiner Aufzählung massiv auf dem Prüfstand stehen.
Du hattest den Thread aufgemacht mit der Frage, ob die KI-VO zur Überregulierung beiträgt. Ich sehe nicht viel, was die KI-VO an Regulierung zusätzlich schafft, die nicht schon längst bestünde. Das schließt die Geschäftsführerhaftung mit ein.
Ich denke auch, dass die Freiräume da sind, wenn man sich vorher Gedanken darüber macht, wofür man KI einsetzen möchte.
Daraus abgeleitet kann man – analog zum oder auf Basis des Verfahrensverzeichnisses – KI-Verfahren aufnehmen und relativ schnell in die Klassen der KI-Verordnung einteilen.
Nimmt man zudem mit auf, welche mit personenbezogenen Daten als Input arbeiten, hat man schon die abgegrenzt, die der DSGVO direkt unterfallen.
Die sollte man einer DSFA unterziehen, bei der der Datenschutzbeauftragte unterstützt.
Parallel kann man (ggf. mit anwaltlicher Unterstützung) eine Richtlinie zum Umgang mit KI aufsetzen – am besten und wirkungsvollsten, in dem man das mit den Mitarbeitern macht, die bereits mit KI-Tools arbeiten. Was sollte darin geregelt sein? Ganz klassisch:
Wozu darf KI eingesetzt werden,
was ist ein No-Go,
bei welchen Informationen muss man vorsichtig sein,
wer trägt die Verantwortung und
wen kann man im Zweifel fragen.
Wer bestellt die KI und
wer bezahlt sie.
Arbeitsmittel nicht privat nutzen und Privatmittel nicht für die Arbeit als Abbinder.
Damit hat man schon einmal ein Gerüst, das für spezielle Anwendungen dann ergänzt und erweitert werden kann:
Bei KI-generierten Bildern immer einen Hinweis darauf aufnehmen;
Keine Daten, die einem NDA unterliegen, in fremde KI-Systeme;
Keine Daten, die einem fremden Urheberschutz unterliegen, verwenden;
Verweise, Zitate und Fakten vor Veröffentlichung prüfen;
Sicherheitsmaßnahmen bei Umgang mit KI-Modellen;
Die Liste ist natürlich nicht vollständig, und sie ignoriert Spezialfälle außerhalb des normalen Einsatzes von ChatGPT, Midjourney & Co – aber, seien wir ehrlich, wenn mehr an KI eingekauft werden soll, ist meistens sowieso ein Projekt dahinter, bei dem Einkauf und Compliance dann eh beteiligt sein sollten.
Hat man selbst nicht die nötige Übersicht über die Prozesse innerhalb des Unternehmens, sollten spätestens die Manager der entsprechenden Ebenen sie haben. Die wenigsten Geschäftsführer kümmern sich selbst um die Arbeitssicherheitsmaßnahmen, für die sie haften, in diesem Bereich wird es am Ende nicht anders sein.
Und ja, jedes Compliance-Regime ist ein Magnet für Berater jeglicher Expertisegrade.