Die dynamische Entwicklung von Künstlicher Intelligenz (KI) führen zu neuen Anforderungen für Geschäftsleiter von Unternehmen.
Besondere gesetzliche Anforderungen
Es ist durch geeignete Maßnahmen sicherzustellen, dass die für das Unternehmen geltenden gesetzlichen Vorschriften für den Einsatz von KI beachtet werden. Hierzu gehören neben den datenschutzrechtlichen Vorschriften (DSGVO), dem Gesetz zur Wahrung von Geschäftsgeheimnissen (GeschGehG) auch sektorspezifische Gesetze (z.B. das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik), sowie auf europäischer Ebene der Digital Operational Resilience Act (DORA) (Verordnung zur digitalen Betriebssicherheit im Finanzsektor). In naher Zukunft wird insbesondere die KI- Verordnung („Artificial Intelligence Act“/ „AI-Act“, Verordnung zur Festlegung harmonisierter Vorschriften für Künstliche Intelligenz) (aktueller Entwurf) zu beachten sein, der gegenwärtig von der Europäischen Kommission noch im Entwurfsstadium bearbeitet wird. Nachdem am 14. Juni 2023 auch das Europäische Parlament seine finale Position zum Kommissionsentwurf veröffentlicht hat, liegen damit neben der Position des Rates der Europäischen Union nun alle drei Entwürfe vor, sodass Verhandlungen mit dem Ziel der Kompromissfindung (sog. Trilog-Verfahren) durchgeführt werden kann. Nach Abschluss des Prozesses soll die KI-Verordnung voraussichtlich 2024 in Kraft treten und erstmals einheitliche Rahmenbedingungen und Schutzstandards für den Einsatz von KI definieren. Die Verordnung verfolgt einen horizontalen, d. h. sektorübergreifenden Regulierungsansatz und erfasst die Entwicklung, das in Umlaufbringen und auch Nutzungen von KI-Systemen durch private und staatliche Handelnde. Die KI-Verordnung reguliert dabei umso strenger, je größer das Risiko eines KI-Systems ist (risikobasierter Regulierungsansatz). Die Verordnung soll nach gegenwärtigem Stand Verbote, Qualitätsanforderungen an Hochrisiko-KI-Systeme, Kennzeichnungspflichten und freiwillige Selbstverpflichtungen nach Maßgabe von Risikostufen vorsehen.
Sorgfaltspflichten
Die Geschäftsleiter haben bei der Ausübung ihrer Leitungsfunktion die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters anzuwenden (§ 43 GmbH-Gesetz; § 93 Aktiengesetz). Für den Bereich der KI ist entscheidend, dass der Geschäftsleiter in seinem Unternehmen sicherstellt, dass die begrenzten Fähigkeiten von KI realistisch eingeschätzt werden und die von KI gelieferten Ergebnisse der kritischen Überwachung und Überprüfung von Menschen zugeführt werden. Der Geschäftsleiter kann sich nach dem gegenwärtigen Stand der Technik nicht ohne weiteres auf die von KI-Systemen gelieferten Ergebnisse verlassen, da diese grundsätzlich „nur“ auf statistischen Erwägungen beruhen, ohne eigene vernunftbasierte Überlegungen anzustellen. Zur Vermeidung bzw. Begrenzung technischer und rechtlicher Risiken hat der Geschäftsleiter grundsätzlich ein Compliance System einzurichten; dies gilt auch für den Bereich des Einsatzes von KI im Unternehmen (vgl. MüKoGmbHG/Fleischer, 4. Aufl. 2023, GmbHG § 43 Rn. 195). Dies bedeutet, dass der Geschäftsleiter (selbst und durch geeignete Mitarbeiter) IT-Risiken erkennen muss, um darauf aufbauend die notwendigen Maßnahmen zur Prävention und Beseitigung digitaler Risiken zu ergreifen. Beispiele hierfür sind etwa:
- Definition von Prozessen zur Überprüfung von KI-Systemen
- Errichtung interner Prüfgremien
- Informationsaustausch zwischen Experten, Prüfgremien und Unternehmensleitung
- Ausreichende und laufende Tests der Systeme
- Nach außen gerichtetete Abwehrvorrichtungen,
- Eingeschränkte Zugriffsrechte, Zugriffskontrolle für KI-Systeme
- Abschalteinrichtungen.
Darüber hinaus empfiehlt es sich, Prozesse zu definieren, wie technische Fehlfunktionen ausgeschlossen und auf unvorhergesehene Ereignisse im Zusammenhang mit KI reagieren ist (technische Compliance) und wie die Einhaltung der gesetzlichen Vorschriften sichergestellt werden kann (rechtliche Compliance).
Delegation
Der Geschäftsleiter kann Verantwortung im Compliance Bereich auch auf spezialisierte Mitarbeiter nachgeordneter Ebenen (bspw. CSO, CCO) delegieren. Andererseits müssen jedoch auch auf horizontaler (Geschäftsleitungs-) Ebene, das notwendige Know-how, die notwendigen Prozesse und die etwa erforderliche Personalverantwortung für eine effektive Überwachung der Mitarbeiter sichergestellt sein. Die Delegation entbindet den Geschäftsleiter nicht von seiner laufenden Überwachungspflicht, in deren Rahmen er sicherzustellen hat, dass die ausgewählte Person für die ihr übertragene Aufgabe fachlich qualifiziert und persönlich geeignet. Eine vollständige Delegation von Unternehmensentscheidungen auf KI-Systeme ist gegenwärtig im Übrigen zweifellos nicht zulässig.
Folgen von Pflichtverletzungen
Verletzt der Geschäftsleiter seine Aufsichtspflicht, drohen ihm bei Verschulden persönliche Haftungsansprüche. Bei Ordnungswidrigkeiten innerhalb des Unternehmens, gilt der Geschäftsleiter bereits dann als selbst und unabhängig von eigenem Verschulden verantwortlich (und kann mit Bußgeldern belegt werden), wenn kein ordnungsgemäßes Compliance System besteht oder bspw. Maßnahmen nach Art. 32 DSGVO nicht ausreichend umgesetzt werden (§ 130 OWiG). Der Geschäftsleiter und die Gesellschaft werden bei ihren Aktivitäten in dem Bereich KI besonders kritisch die Versicherungsbedingungen und etwaige Ausschlüsse der für sie geltenden Haftungsversicherungen (Directors and Officers (D&O) Insurance) zu prüfen haben und ihre Tätigkeit sowie Compliance Systeme mit der Versicherung zu erörtern haben, um keine Deckungslücken zu haben.