KI und Recht

In diesem kleinen Rundumschlag zur KI bislang noch völlig unberücksichtigt sind rechtliche Aspekte.

Als juristischer Laie, will ich mir auch gar nicht anmaßen dieses Thema umfassend zu behandeln, aber zumindest aus Prozesssicht wollen wir kurz ein Schlaglicht auf diesen Bereich werfen.

Input

KI Modelle brauchen Input und Konzerne wie openAI oder Google haben einfach das Internet (aber auch andere, vielleicht gar nicht mal frei zugängliche Inhalte) abgegrast. Wie weit die Verarbeitung dieser Inhalte dabei immer legal ist/war, darüber streiten beispielsweise Verlage, die ihre eigene Existenzgrundlage wegschwimmen sehen. Nicht auszuschließen, dass die Rechtsprechung hier der KI noch den einen oder anderen Knüppel zwischen die Beine werfen wird. Wir werden sehen…

Rechtlich unkritische sollte es sein, wenn wir unsere eigenen Inhalte in die KI kippen.

Verarbeitung

Bei der Verarbeitung ist das schon wieder anders, denn wir haben hier zumeist einen „loss of control“ gegenüber den KI Anbietern und es stellen sich die klassischen Fragestellungen der Cybersecurity nach Vertraulichkeit, Integrität und Verfügbarkeit.

Beim Vertraulichkeitsthema spannend könnte aber beispielsweise auch sein, wieweit die KI Modelle aus unserem proprietären Inhalten lernen und diesen Erkenntnisgewinn (und gar nicht mal die Dokumente selbst) mit anderen teilen. Lernt die KI auch aus unserem Input um Fragen eines Konkurrenten zu beantworten, der das gleiche KI Modell verwendet?

Output

In dieser Reihe hatten wir schon die Qualitätsthematik bei Antworten aus der KI angeschnitten. Wir wollen einmal nicht hoffen, dass damit gleich Haftungs- und Gewährleistungsrisiken auf uns selbst zurückfallen. Spannend ist aber beispielsweise die Frage nach den Verwertungsrechten. In puncto Transparenz vorbildlich ist hier z.B. der Umgang mit KI generierten Bildern in der Wikipedia (siehe Kommentar zum Logo unten). Hier schließt sich auch der Kreis zu den Urheberrechten beim Input. Aber wieweit ist es ausreichend auf die Generierung der Inhalte durch ein KI Modell hinzuweisen? Kritisch ist schon mal, dass wir i.d.R. keine Chance haben überhaupt nachzuvollziehen welche Inhalte konkret in eine Antwort eingegangen sind. Worst case schreiben wir sogar von einer Quelle ab oder verletzen deren Rechte ohne es überhaupt zu wissen. Wenn heute Plagiatsjäger mit den Möglichkeiten der Digitalisierung Doktorarbeiten aus der Papier- und Bibliotheksära zerlegen, dann möchte ich mir nicht vorstellen, was da möglicherweise in Sachen KI noch vor uns liegt. Oder müssen wir alle KI Ergebnisse dann erst noch einer Plagiatsprüfung unterziehen, bevor wir sie verwenden?

Anmerkung & Quellen:
Das Logo im Beitrag ist „geklaut“ in der englischen Wikipedia und wurde selbst von der KI (Dall-E) kreiert, mehr dazu auf der dazu gehörigen Wiki-Commons-Seite von Wikipedia (inkl. dem zugrundeliegenden Prompt).
Ein erster Beitrag zur KI auf schlossBlog findet sich hier: Jetzt auch noch KI…
Und dann ging es um Belastbarkeit & Grenzen und um Anwendungsfälle, bis hin zur kognitiven Dissonanz der KI.

Das Compliance-Dilemma

Compliance, die Einhaltung rechtlicher und eigener verbindlicher Vorgaben und Richtlinien, scheint doch so einfach, tja wären doch unsere Regelungen widerspruchsfrei und aufeinander abgestimmt.

Und dann leben wir auch noch in einer globalisierten Welt, wo wir dann auch noch die Compliance in den verschiedenen betroffenen Rechtsräumen brauchen – ich meine jetzt nicht unterschiedliche Fachgebiete, sondern geografisch einzelne Länder mit ihren eigenen Rechtssystemen. Welcher Rechtsraum ist für unseren konkreten Geschäftsvorfall relevant? Bzw. welche Rechtsräume sind relevant? Die direkt betroffenen? Also wenn wir einen deutsch-ägyptischen Geschäftsfall anschauen: deutsches Recht und ägyptisches Recht? Was ist mit der Transitstrecke? Oh Mist, US-Recht beansprucht für sich weltweite Gültigkeit, verpflichtet „US-Persons“ und das sind nicht nur US-Staatsbürger, sondern beispielsweise auch Greencard-Inhaber oder Geschäftsreisende, die sich in USA aufhalten, und nimmt sie in die Pflicht. Wenn auch noch US-Technologie davon betroffen ist, weil die verwendeten Schrauben auf einer US-Drehbank gefertigt wurden, dann mal viel Spaß. Und wir haben noch nicht geschaut, ob nicht auch das nordkoreanisches Recht Anforderungen an unseren konkreten Vorgang richtet. Dessen Relevanz haben wir womöglich gedanklich ausgeblendet. Ein Abwägungsprozess – nicht Compliance.

Einen weiteren Abwägungsprozess liefert uns die Verhältnismässigkeit der Mittel. Denken wir an Informationssicherheit und fehlerfreie Programmierung. Mit absolutem Anspruch vollkommen unsinnige Zielsetzungen, weil wer 100%-ige IT-Sicherheit verspricht oder fehlerfreie Programme von der Materie keine Ahnung hat oder ein Blender ist. Ob wir wollen oder nicht kommen wir um Abwägung und einen Risiko-basierten Ansatz nicht herum. Wir müssen ein sinnvolles Sicherheitsniveau definieren und verfolgen. Und auch hier wieder bewusst abwägen.

Die Abwägung unterhöhlt elementare Grundprinzipien beispielsweise im Datenschutz, wo sich selbst staatliche Hüter der Domäne, die sonst alle Betroffenen mit aller Härte in Ihre Schranken verweisen, z.B. gegenüber Lobbyisten der Versicherungswirtschaft in die Knie gehen, selbst wenn es um die Auswertung besonderer personenbezogenen Daten geht.

Compliance ist zweifellos ein weites Feld. Ein schwammiges noch dazu.

Wenn wir mit Compliance-Anforderungen konfrontiert sind, ist die Definition geeigneter Prozesse unsere einzige Chance Transparenz in die Abläufe und Abwägungen  zu bringen und Verantwortung wahr zu nehmen.

Ein echtes Dilemma.

Das Compliance-Dilemma.

 

Beitrag #701 auf schlossBlog

#390 Juristische Fallstricke in Cloud, IT-Outsourcing und -Offshoring

In den letzten Postings haben sich wiederholt die Themen IT-Sicherheit und juristische Fallstricke in der Cloud, beim IT-Outsourcing und -Offshoring eingeschlichen. Passend hierzu eine Studie „Compliance im IT-Outsourcing. Theoretische und empirische Ermittlung von Eunfluss nehmenden Faktoren“ der Friedrich-Alexander-Universität Erlangen-Nürnberg, gemeinsam mit dem Beratungsunternehmen Accenture aus dem Jahr 2009. (In komprimierter Form auch als Artikel: „Compliance im IT-Outsourcing“  aus 2010).

In den Beiträgen werden detailliert Rechtsgrundlagen für mögliche Anforderungen angeführt, angefangen von Handelsrecht, Steuerrecht, den Grundlagen eines internen Kontrollsystems (AktG, SOX,…), Basel II bis hin zum Bundesdatenschutzgesetz. Ein wichtiger Rechtskomplex fehlt allerdings noch in der Auflistung: Das Thema Außenhandel.

Rechtsgrundlagen wären hier einmal auf EU-Ebene die Embargo-Verordnung und die Dual-Use-Verordnung, im deutschen Recht das Außenwirtschaftsgesetz (AWG), die Außenwirtschaftsverordnung (AWV) und das Kriegswaffenkontrollgesetz (KrWaffKontrG). Beim Bundesamt für Wirtschaft und Außenhandel (BAFA) genehmigungspflichtig ist die Ausfuhr von Produkten und Technoloigen, die entsprechend in der Ausfuhrkontrolliste erfasst sind. Und hier liegt der Hase im Pfeffer: Wenn also eine Stückliste, eine technische Zeichnung oder ähnliches in der Cloud liegt, stellt dies rechtlich  möglicherweise bereits einen Technologieexport dar und dies unabhängig davon, ob ein Zugriff darauf tatsächlich erfolgt oder nur möglich ist, denn das zugrundeliegende Recht soll ja bereits die Zugriffsmöglichkeit auf entsprechende Technologien in als kritisch angesehenen Ländern unterbinden. Mit der Dual-Use-Problematik (also der militärischen Einsatzbarkeit von Gütern und Technologien, die eigentlich für nicht militärische Zwecke gedacht waren) ergibt sich eine Relevanz dieser Anforderungen nicht nur für Waffenexporteure oder -hersteller, sondern für alle exportiernenden Unternehmen und exportierend bezieht sich hierbei nicht nur auf den eigentlichen Geschäftsvorgang, sondern möglicherweise auch schon auf die Datenhaltung, wenn also z.B. die Server für eine Inlandsfertigung aus dem Ausland administriert werden.

Bei der Vielzahl der Anforderungen ist das Thema aber noch nicht komplex genug: Zu berücksichtigen ist ja nicht nur die Rechtsgrundlage in Ursprungs- und Zielland, sondern aller beteiligter Länder (also z.B. wenn Teile oder Technologien aus einem Drittland stammen, wenn das Hosting der Daten in einem Drittland (oder der Cloud??) erfolgen, usw.. Eine Besonderheit stellt diesbezüglich US-Recht dar, das für sich einen gewissen extraterritorealen Rechtsanspruch erhebt.

Wer jetzt gedacht hat, wir würden in einer globalisierten Welt leben, der fragt sich, ob nicht die Realität in den Unternehmen und die Rechtslage weit auseinander klaffen. In den Diskussionen zur Cloud und zu IT-Outsourcing und -Offshoring lässt sich die Awareness für diese Themen noch weitgehend vermissen.



bernhardschloss.de