Der AI-Act, die KI-Verordnung des europäischen Gesetzgebers, hat kontroverse Debatten verursacht. Das ist bei einem neuen Gesetz keine wirklich neue Erkenntnis, und unter manchen Gesichtspunkten haben Kritiker recht, unter anderen wiederum diejenigen, die das neue Regulatorium für gelungen halten. Eines ist klar: Künstliche Intelligenz ist auch im Rechtswesen angekommen und sie wird ganz sicher dort nicht wieder verschwinden. Die wesentliche Frage ist, wie sich so damit umgehen lässt, dass Risiken möglichst gering bleiben und sich gleichzeitig möglichst umfassend Potenziale heben lassen. Ein weiterer, wesentlicher Gesichtspunkt ist die Rolle der General Counsel, der Heads of Legal, der Chief Compliance Officer in deutschen Unternehmen. Ihnen kommt eine wichtige Schnittstelle zu. Wenn es um Künstliche Intelligenz und den AI-Act geht, liegt ihr Aktionsradius zwischen Vorstand beziehungsweise Geschäftsführung, der IT-Abteilung, gegebenenfalls der oder dem Datenschutzbeauftragten, Human Resources sowie den einzelnen Fachabteilungen – und damit ist er ziemlich groß. Hier laufen die Fäden zusammen und wie immer, wenn es ein neues Gesetz gibt, sind die Schreibtische in der Rechtsabteilung die ersten im Unternehmen, wo das Gesetz landet. Der AI-Act ist eine Verordnung und gilt damit unmittelbar in allen Mitgliedstaaten. Und auch wenn das Gesetz im Hinblick auf einzelne Geltungsbereiche zerklüftet ist, muss sich jedes Legal Department damit auseinandersetzen. Unternehmensjuristinnen und -juristen sind Übersetzer und Transporteure der Pflichten und Rechte, die sich aufgrund der neuen Regulierung ergeben. Auch der AI-Act verfolgt einen risikobasierten Ansatz, und die In-house Counsel sind insofern als Risikomanagerinnen und -manager gefragt. Aber eben nicht nur: „Sie müssen auch Möglichmacherinnen und -macher sein“, betont Mareike Petrowitsch, General Counsel und Senior Vice President Legal & Corporate Development beim Urban Sports Club in Berlin. Sie beschäftigt sich bereits seit vielen Jahren mit den Möglichkeiten, die KI für ihr Unternehmen bietet. Und sie bezieht diese Chancen auch direkt auf die Arbeit ihrer Abteilung: „Diese ist gerade in der Rechtsabteilung eine dringend benötigte Antwort beim Dauerthema ‚More for Less‘.“ Schon seit 2023 gibt es im Urban Sports Club eine gruppenweite AI-Policy – „bewusst eher motivierend als bremsend“, sagt Petrowitsch: „Wir haben uns entschieden, nur dort zu beschränken, wo es wirklich sein muss; keine personenbezogenen Daten, keine Geschäftsgeheimnisse, keine urheberrechtlich geschützten Inhalte in den KI-Tools. Das war es.“ Der Rest ist ein Spielfeld, sie nennt als Einsatzgebiete explizit das Coding für die Developer, die Entwicklung von Content-Ideen für das Marketing und die Erstellung von Richtlinien inklusive der AI-Policy selbst. KI als Unterstützer für KI also. „Wir testen dezentral, lernen iterativ und teilen regelmäßig, das funktioniert gut“, bringt es Petrowitsch auf den Punkt. In der Rechtsabteilung ist KI wie „eine richtig gute Assistenz“, so die General Counsel des Urban Sports Club weiter, „sie macht dir einen super ersten Aufschlag. Aber anschauen, anpassen, freigeben: das macht immer noch der Mensch.“ Sie bleibt beim Beispiel der hauseigenen AI-Policy: Künstliche Intelligenz kann in wenigen Sekunden eine brauchbare Struktur erstellen, die nach ein wenig Feintuning einsatzbereit ist. Oder die KI erstellt kurz, klar und verständlich ein Vorblatt zu den bereits bestehenden Richtlinien, das spart wertvolle Ressourcen und schont die Nerven. Wenn es aber um komplexere Verträge gehe, um strategische Entscheidungen oder sogar Führungsaufgaben, versagt sie. „Sie kann Empathie, Haltung und Bauchgefühl nicht ersetzen, oder zumindest noch nicht. Da bleibt weiterhin der Mensch King – und Queen.“ Generell empfiehlt sie beim Einsatz von KI im Unternehmen, frühzeitig Leitplanken zu setzen, die aber Bewegungsfreiheit lassen, und eben nicht von vorneherein einen Sicherheitszaun darum zu bauen. Die richtige Haltung eines oder einer General Counsel ist eine Hand am Regulierungsruder zu haben, die andere aber am Innovationskompass. „Gerade bei der KI geht es um Geschwindigkeit und Orientierung gleichermaßen. Deshalb brauchen wir pragmatische, einfache Regeln, die das Team wirklich versteht, und nicht ein seitenlanges PDF, das niemand liest“, empfiehlt sie.
„In der Rechtsabteilung ist KI dein Assistent, nicht dein Anwalt. Und genauso sollte man sie einsetzen.“
Mareike Petrowitsch
General Counsel, SVP Legal und Corporate Development,
Urban Sports Club
Vor- und Nachteile des AI Acts
„Leitplanken“ ist ein gutes Stichwort. Mit dem AI Act der EU verbanden viele die Hoffnung, dass sie genau diese setzt und damit ein sicheres Umfeld schafft, in dem sich mit Künstlicher Intelligenz hantieren lässt. Wer in der Rechtsabteilung nun auf seinen Schreibtisch schaut und sich das Werk zur Hand nimmt, sieht relativ schnell die Fallstricke, diese liegen in den offenen und unklaren Regelungen. „Das fängt schon damit an, dass wir in seitenlangen Gutachten klären müssen, ob eine Software KI ist oder nicht“, berichtet Dr. Kristina Schreiber, Rechtsanwältin für Digitalisierung, KI und Regulierung sowie Partnerin bei Loschelder Rechtsanwälte. „Für jede Rechtsabteilung, die gesetzliche Anforderungen so in das Unternehmen tragen müssen, dass sie operativ auf einfache Weise erfüllt werden können, ist das eine enorme Herausforderung.“ Zwar habe die EU-Kommission Leitlinien erstellt und versucht dort zu erläutern, wie der KI-Begriff auszulegen ist. Aber: „Wenn ich die Ausführungen lese, denke ich, das klingt alles plausibel, meine Fragen sind jedoch nach wie vor unbeantwortet. Die Herangehensweise, dass ich FAQ zu einem Gesetz entwickeln muss, ist der gewünschten Rechtssicherheit sicherlich nicht dienlich“, so Schreiber weiter. Zudem sei für Legal Departments zu beachten, dass hier neuerlich ein Regelwerk vorliegt, dass im Hinblick auf Bußgelder streng ist. Für Anbieter besteht das Risiko der vertraglichen Haftung und denkbarer Schadensersatzforderungen, im Zusammenhang mit unklaren Rechtsbegriffen ist das eine eher ungünstige Gemengelage. Trotzdem hält Schreiber den AI-Act für den Schritt in die richtige Richtung. Der risikobasierte Ansatz und das Ausklammern von KI-Anwendungen ohne besondere Risiken seien stimmig, ebenso die Herangehensweise, selbst einem riskanteren Umfeld nicht mit Verboten zu kommen, sondern die Anforderungen an die technische Dokumentation und an die Überwachung durch den Menschen zu erhöhen sowie ein lückenloses Risikomanagementsystem vorzuhalten. Das schafft die notwendigen Spielräume für ein ausgiebiges Testen der neuen Technologie und die Möglichkeit, weitere Entwicklungsschritte gehen zu können. Auch den Ansatz des sukzessiven In-Kraft-Tretens hält Schreiber für gelungen. „Die Unternehmen bekommen auf diese Weise ausreichend Zeit, sich auf die unterschiedlichen Anforderungen einzustellen – und diese werden sie auch benötigen.“ Das, was seit Februar dieses Jahres gilt, ist ein erster Schritt, ab August 2025 haben vor allem einmal die Behörden Hausaufgaben zu erledigen. Erst ab August 2026 wird dann das erste Reglement zur Hochrisiko-KI in Kraft treten. Derzeit wird in Brüssel diskutiert, ob diese Fristen nochmals verlängert werden. Notwendig ist jetzt, die KI-Kompetenz im Unternehmen zu etablieren. Kritisch sieht Schreiber, dass es sich bei der entsprechenden Norm im AI-Act um eine rein zielorientierte Regelung handelt. „Es klingt einfach, es muss die Befähigung geschaffen werden, KI sachkundig einzusetzen, Risiken zu vermeiden und Chancen zu heben. Über das ‚Wie‘ erfahren wir nichts.“ Der Vorteil dieser Offenheit, so Schreiber, liegt in den Gestaltungsspielräumen, die den Unternehmen dadurch zukommen. Und auch hier hat die EU-Kommission jetzt FAQ veröffentlicht, die die Anforderungen praktisch ausfüllen.
„Unternehmen und ihre Rechtsabteilungen sollten einen proaktiven, progressiven und damit KI-freundlichen Ansatz wählen. Denn eines ist sicher: Weggehen wird sie nicht mehr.“
Dr. Andrea Kirsch
Partnerin,
Görg
KI-Governance als sicherer Rahmen
Dr. Michael Heise, Partner der Sozietät Görg, nennt seine Empfehlung in dieser Hinsicht „positive Schulung“. Im Kern geht es um Wissensvermittlung durch Praxisbezug. „Wir müssen das bewusst anders machen als beim Datenschutz, als das Ganze sehr verbotsbehaftet war und von den Usern auch so wahrgenommen wurde. Der Ansatz muss vielmehr lauten, wir möchten primär die Möglichkeiten nutzen, unter Einhaltung der Regeln, um das Risiko gering zu halten.“ Auch er sieht Interpretationsspielraum, der KI-Verordnung sei keine Erwartungshaltung zu entnehmen. Für ihn ist aber auch klar: Einen Standard gibt es nicht, selbst in der isolierten Betrachtung eines Unternehmens sei dieser kaum entwickelbar. „Der Aufbau von KI-Kompetenz muss rollenbezogen geschehen“, rät er, „Das läuft über die Feststellung, inwiefern und wie intensiv nutzt ein Bereich oder ein Mitarbeiter Künstliche Intelligenz? Und wie viel Vorbildung ist schon vorhanden?“ Seine Kollegin, Dr. Andrea Kirsch, ebenfalls Partnerin bei Görg, betont, dass die im Unternehmen Verantwortlichen bei der Vermittlung der Kompetenz kreative Wege finden und nicht mit der x-ten PowerPoint-Präsentation oder der nächsten theoretischen Schulung um die Ecke kommen sollten. „Das bedeutet, den Menschen ganz konkret die Tools zur Verfügung zu stellen, um diese auf die Praxistauglichkeit zu testen.“ Das lasse sich krönen mit einer zwanglosen und stetigen Beschäftigung, wie etwa Rundmails zum „Prompt of the Week“. Da stößt sie bei Unternehmensjuristin und Praktikerin Mareike Petrowitsch auf offene Ohren: „Wissen zu teilen, schafft die notwendige Kompetenz. Es gibt ja diesen Klassiker: Jemand findet den besten Prompt ever und erzählt es niemandem. Interne Innovation muss nicht geheim bleiben.“ Weil die KI-Verordnung der EU verschiedene Umsetzungsschritte hat, erachtet Heise auch den Aufbau einer unternehmensweiten KI-Governance aufgeteilt in Module oder Bausteine als sinnvoll. Idealerweise lassen sich dafür bereits vorhandene Systeme nutzen und der Aufwand lässt sich eher in Grenzen halten, als wenn eine Governance eigens aufgebaut wird und das zu einem größeren Projekt ausufert. Auch da stimmt Petrowitsch zu: „Unser Motto bei Urban Sports lautet, kleine und smarte Schritte zu etablieren, statt die dicke Governance-Bibel aufzulegen.“ Dr. Kristina Schreiber von Loschelder sieht im Wesentlichen vier Elemente: „Am wichtigsten sind die Zuständigkeiten, die Verantwortlichkeiten müssen klar und transparent verteilt sein.“ Das nächste, was gebraucht wird, ist die Sensibilisierung und Schaffung von Awareness, der Punkt hängt eng mit der schon beschriebenen Etablierung von KI-Kompetenz zusammen, die verpflichtend ist. In Einheiten mit eher geringer KI-Anwendung kann das bereits ausreichen. Sobald das Unternehmen größer ist und die KI-Nutzung ein größeres Volumen hat, muss eine klare Struktur geschaffen werden, dafür braucht es die entsprechenden Prozesse. „Dazu gehört ein Einführungsprozess für die KI-Beschaffung und Implementierung, der auch klarstellt, wer daran beteiligt ist. Das beinhaltet eine interne KI-Richtlinie, die genau widerspiegelt, was mit Künstlicher Intelligenz gemacht werden darf und was nicht“, führt Schreiber aus. „Es müssen Abläufe beschrieben sein: Was passiert, wenn eine Fachabteilung den Einsatz einer bestimmten KI wünscht, damit kein Wildwuchs entsteht und die Einhaltung gesetzlicher Vorgaben nicht aus den Händen gleitet.“ Dazu gehört ein Risikomanagement-System, das die aktive Zeit der KI im Unternehmen begleitet. Als vierten Punkt nennt Schreiber einen Reigen an Sondertopics. Beispiel: Es gibt einen Betriebsrat, der eingebunden sein muss. Es gibt Branchenbesonderheiten, die zu beachten sind, möglicherweise auch Spannungsfelder zwischen AI Act und branchenspezifischen Spezialregelungen, etwa im Finanz- oder Gesundheitsbereich. Trotz der Fokussierung auf die Chancen und Potenziale sind Risikomanagement und Risikoanalyse zentrale Aspekte bei der Etablierung Künstlicher Intelligenz im Unternehmen. Da seien die meisten noch in der Findungsphase, meint Heise, und er führt weiter aus: „Die Grundlage dafür ist größtmögliche Transparenz. Wenn deutlich ist, wo KI eingesetzt wird und was passieren kann, lässt sich das clustern, die Betrachtung der Einzelfälle mit den entsprechenden Rückschlüssen helfen.“ Andrea Kirsch ergänzt: „Wir sind große Fans, bestehende Strukturen zu nutzen, und die Risikoabwägung gibt es schon, gerade in meinem ‚Heimatbereich‘ Datenschutzrecht.“ Dort seien viele Unternehmen bereits sehr weit, es existieren Dokumentationssysteme, Dokumentationen und Prozesse, darunter zum Beispiel Datenschutzfolgeabschätzungen. „Darauf lässt sich aufbauen und die Risikoabschätzung zur KI ergänzen.“
„Überall dort, wo personenbezogene Daten in die Künstliche Intelligenz einfließen, muss ich ein sauberes Datenschutzmanagement darunter legen.“
Dr. Kristina Schreiber
Partnerin,
Loschelder
Datenschutzrechtliche Notwendigkeiten
Der Datenschutz ist ein erheblicher Faktor im Zusammenhang mit der KI-Nutzung. Schon das Training Künstlicher Intelligenz muss datenschutzrechtlichen Aspekten genügen. Bettina Robrecht ist Data Protection Officer bei ING, zuvor hat sie in ähnlicher Funktion bei der Deutschen Bahn und der Schufa gearbeitet. Sie bezieht sich auf die Erhebung von Kundendaten, in der Regel wurden die einmal erhoben, um einen Bankvertrag oder einen Abo- oder einen Reisevertrag zu erfüllen. „Wenn ich damit ein KI-Modell entwickeln oder trainieren will, liegt typischerweise eine Zweckänderung bei der Datennutzung vor. Dann stellt sich immer die Frage, ist diese Zweckänderung eigentlich rechtlich zulässig? Muss ich die Betroffenen informieren, dürfen diese widersprechen?“ Immer vorausgesetzt, dass die Aufbewahrungsfristen eingehalten sind und die Daten im Unternehmen überhaupt noch vorhanden sein dürfen. Neben dem bestimmten Zweck muss die Datensparsamkeit als eines der Grundprinzipien der DSGVO beachtet werden. „Das ist für die KI schwierig. Sie zeichnet sich durch explorative Elemente aus“, berichtet Robrecht. „Es geht ja darum, bestimmte Muster zu finden, Korrelationen oder Kausalitäten. Allein das ist sehr explorativ und genau das ist etwas, was der Datenschutz gerade nicht möchte.“ Eingesetzt wurde KI auch schon im Rahmen von Bewerbungs- und Auswahlverfahren. Das ist in vielen Fällen prompt schiefgegangen, „Bias“ heißt das Schlagwort. Das bedeutet „Voreingenommenheit“ – die Eingabe von personenbezogenen Daten führt dazu, dass diese ungleichmäßig oder fehlerhaft interpretiert werden, was letztlich in einer Diskriminierung bestimmter Bewerber oder Bewerberinnen münden kann. Dieser potenziellen Voreingenommenheit muss sich jeder bewusst sein, der im Bereich Human Resources mit KI arbeitet. „Die Zuständigen müssen sehr genau prüfen, ob solche Daten im System eingespeist sind. Übrigens sagt die KI-Verordnung, dass KI zum Aufspüren dieser Bias zulässig ist“, stellt Robrecht klar. Die Fachbereiche und die interne Datenschutzorganisation sind gehalten, eine Datenschutzfolgeabschätzung vorzunehmen, da lässt sich bereits festlegen, welche Daten für welchen Zweck in der KI verwendet werden, prüfen, welche Gefahren möglicherweise für die Betroffenen existieren und die notwendige menschliche Intervention regeln. Dort sind auch Antworten auf die Fragen zu finden: Gibt es mildere Mittel? Sehen wir uns mit Überprüfungs- oder Korrekturansprüchen konfrontiert? Beachten muss die Rechtsabteilung im Zusammenhang mit der KI-Verordnung die Sanktionen und Haftungsfragen. Loschelder-Anwältin Kristina Schreiber identifiziert drei große Stränge: Ab 2026 relevant werden die Verstöße gegen den AI Act selbst. „Die beziehen sich auf verbotene Praktiken, Hochrisikoanwendungen, Transparenzpflichten und die Nichteinhaltung behördlicher Anweisungen. Auch wenn die nun geforderte KI-Kompetenz nicht etabliert wurde, kann das problematisch werden.“ Der zweite große Block ist der soeben angesprochene Datenschutz mit den DSGVO-Bußgeldern und „zunehmend aktiven Aufsichtsbehörden“, warnt Schreiber. Der dritte Bereich: KI findet Einsatz in Kundenprodukten oder im Rahmen der Mitarbeiterauswahl oder bei Karriereentscheidungen und sie trifft fehlerhafte Entscheidungen. „Da muss die Rechtsabteilung sehr genau arbeiten, das läuft auch nicht über Haftungsklauseln, sondern über detaillierte Leistungsbeschreibungen. Da hilft am ehesten die enge Zusammenarbeit mit Vertrieb und Marketing, damit nicht mehr versprochen wird als eingehalten werden kann“, so Schreiber.
■ Alexander Pradka
