What are generative AI tools?

Generative AI tools are a type of artificial intelligence that can create new content, such as text, code, music, and images. They are often trained on large datasets of existing content and can be used to generate new content that is similar to the training data.

Why is the legal basis for data processing important?

The GDPR requires controllers to have a legal basis for processing personal data. This means that they must have a valid reason for collecting and using personal data. There are six legal bases under the GDPR: consent, contract, legal obligation, vital interests, public interest, and legitimate interests.

What legal bases are relevant for generative AI tools?

The most relevant legal bases for generative AI tools are consent and legitimate interests. Consent is the most preferred legal basis, but it can be difficult to obtain informed consent for generative AI tools, as they are often complex and opaque. Legitimate interests can be used as a legal basis if the controller can demonstrate the strict necessity in processing personal data on a large scale, and if the interests of the data subject are not overridden by the controller's interests.

What are some of the challenges of using generative AI tools in compliance with the GDPR?

Some of the challenges of using generative AI tools in compliance with the GDPR include: - Transparency: It can be difficult to be transparent about how generative AI tools process personal data, as they are often complex and opaque. - Fairness: Generative AI tools can be biased, which can lead to unfair or discriminatory outcomes. - Security: Generative AI tools can be used to create synthetic data that is indistinguishable from real data, which could be used for malicious purposes.

What can companies do to use generative AI tools in compliance with the GDPR?

Companies that want to use generative AI tools in compliance with the GDPR should take the following steps: - Identify the legal basis for processing personal data: Companies should identify the legal basis for processing personal data in each specific use case. This should be done on a case-by-case basis. - Be transparent: Companies should be transparent about how they use generative AI tools and how they process personal data. This includes providing clear and concise privacy notices to data subjects. - Mitigate bias: Companies should take steps to mitigate bias in generative AI tools. This includes using diverse training data and monitoring the outputs of generative AI tools for bias. - Implement security measures: Companies should implement security measures to protect personal data from unauthorized access, use, disclosure, modification, or destruction.

Update zur EU-Verordnung über Künstliche Intelligenz

Am 12. Juli 2024 wurde die Verordnung über Künstliche Intelligenz der Europäischen Union (EU AI Act), Verordnung (EU) 2024/1689, offiziell im Amtsblatt der EU veröffentlicht. Diese bahnbrechende Gesetzgebung schafft den ersten umfassenden Rechtsrahmen zur Regulierung von KI-Systemen in den 27 Mitgliedstaaten der EU. Die Verordnung tritt am 1. August 2024 in Kraft, wobei die meisten Bestimmungen ab dem 2. August 2026 durchgesetzt werden.

large language model wittmann legal services

Update zur EU-Verordnung über Künstliche Intelligenz

Überblick

Die EU-Verordnung über Künstliche Intelligenz ist das Ergebnis intensiver Verhandlungen und zielt darauf ab, einen harmonisierten Rechtsrahmen für die Entwicklung, das Inverkehrbringen und die Nutzung von KI-Systemen in der EU zu schaffen. Die Verordnung umfasst 180 Erwägungsgründe und 113 Artikel und verfolgt einen risikobasierten Ansatz, um den gesamten Lebenszyklus von KI-Systemen zu regulieren. Bei Nichteinhaltung der Verordnung drohen erhebliche Geldstrafen von bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist.

Anwendungsbereich

Die Verordnung definiert KI-Systeme als maschinelle Systeme mit unterschiedlichen Autonomiegraden, die darauf ausgelegt sind, Ergebnisse wie Vorhersagen, Empfehlungen oder Entscheidungen zu generieren, die physische oder virtuelle Umgebungen beeinflussen. Diese breite Definition zielt darauf ab, KI von einfacheren Softwaresystemen abzugrenzen und orientiert sich an internationalen Standards wie denen der OECD.

Die EU-Verordnung gilt für verschiedene Akteure, darunter Anbieter, Nutzer, Importeure und Vertreiber von KI-Systemen, insbesondere für solche, die auf dem EU-Markt tätig sind. Wichtig ist, dass sie auch für Drittlandanbieter gilt, wenn die Ergebnisse ihres KI-Systems in der EU genutzt werden. Bestimmte Ausnahmen gelten, z. B. für Open-Source-KI-Systeme, die nicht als hochriskant eingestuft sind oder ausschließlich zu Forschungszwecken eingesetzt werden.

Verbotene KI-Systeme

Die Verordnung verbietet bestimmte KI-Praktiken, die als schädlich oder manipulativ gelten, wie subliminale Techniken, die das Verhalten unbewusst beeinflussen, oder täuschende Praktiken, die die menschliche Entscheidungsfindung verzerren. Ausnahmen gelten in begrenztem Umfang für Strafverfolgungsbehörden, insbesondere für die Echtzeit-Identifizierung per Fernbiometrie in öffentlichen Räumen.

Hochrisiko-KI-Systeme

Die Verordnung über Künstliche Intelligenz der EU kategorisiert KI-Systeme nach den von ihnen ausgehenden Risiken. "Hochrisiko"-KI-Systeme, die in kritischen Bereichen wie Bildung, Beschäftigung und Strafverfolgung eingesetzt werden, unterliegen den strengsten Anforderungen. Diese Systeme müssen strengen Standards in den Bereichen Datenverwaltung, Transparenz, menschliche Aufsicht und Cybersicherheit entsprechen. Die Verordnung sieht auch einen Prozess zur Aktualisierung der Liste der Hochrisikofälle vor, um mit der technologischen Entwicklung Schritt zu halten.

Allgemeine KI-Modelle (GPAI-Modelle)

Die Verordnung widmet ein eigenes Kapitel den allgemeinen KI-Modellen (GPAI-Modellen), die als KI-Modelle definiert sind, die eine breite Palette von Aufgaben in verschiedenen Anwendungen ausführen können. Anbieter von GPAI-Modellen müssen umfangreiche Verpflichtungen erfüllen, darunter die Pflege technischer Dokumentationen, die Einhaltung nationaler Gesetze und die Zusammenarbeit mit EU-Behörden. Modelle mit systemischen Risiken unterliegen zusätzlichen Anforderungen, wie standardisierten Bewertungen und Vorfallberichten.

Strafen

Die Nichteinhaltung der strengen Vorschriften der EU-Verordnung kann zu erheblichen Strafen führen. Die Höchststrafe für Verstöße gegen verbotene KI-Praktiken beträgt 35 Millionen Euro oder 7 % des weltweiten Umsatzes. Geringere Verstöße können zu Strafen von bis zu 15 Millionen Euro oder 3 % des Umsatzes führen. Spezielle Strafen gelten auch für Anbieter von GPAI-Modellen, mit Bußgeldern von bis zu 15 Millionen Euro oder 3 % des Umsatzes bei schwerwiegenden Verstößen.

Zeitplan für die Umsetzung

Die EU-Verordnung über Künstliche Intelligenz tritt am 1. August 2024 in Kraft, mit voller Durchsetzung ab dem 2. August 2026. Einige Bestimmungen treten jedoch bereits früher in Kraft, darunter Regeln für verbotene KI-Praktiken und erste Governance-Anforderungen, die ab dem 2. Februar 2025 durchgesetzt werden. Die Mitgliedstaaten müssen bis August 2026 Aufsichtsbehörden einrichten, einschließlich mindestens einer regulatorischen Sandbox, um die Einhaltung und Innovation bei der Entwicklung von KI zu fördern.