Editor’s Ramble #69

Das Jahr neigt sich dem Ende zu, und wir möchten Euch mit den neuesten Entwicklungen im Bereich Künstliche Intelligenz vertraut machen.

Eine der herausragendsten Errungenschaften ist zweifellos der wegweisende Kompromiss, den die Europäische Union im Rahmen des AI Act erzielt hat. Dieser Meilenstein markiert einen bedeutenden Schritt in Richtung einer einheitlichen Regulierung für Künstliche Intelligenz in der EU. Die Vereinbarung stellt sicher, dass KI-Systeme transparent, fair und verantwortungsbewusst entwickelt und eingesetzt werden, indem sie sich an bewährten Grundsätzen orientiert.

Doch nicht nur auf politischer Ebene gibt es spannende Entwicklungen. In der Welt der Anwaltskanzleien hat Simmons & Simmons mit “Percy” ein KI-Tool eingeführt. Dieses innovative Instrument, angetrieben von Open AI’s GPT-4, eröffnet völlig neue Möglichkeiten für die Effizienzsteigerung und Optimierung von Arbeitsprozessen. Wir tauchen tiefer in die Welt von “Percy” ein und beleuchten, wie diese Anwendung den Arbeitsalltag der Anwälte bei Simmons & Simmons prägt.

Ein weiterer spannender Aspekt ist der Wettbewerb zwischen Google’s “Gemini” und Open AI, insbesondere ihrem Chatbot “Bard”. Die beiden Giganten treten in einem Wettlauf um die leistungsfähigste KI-Plattform an, wobei Gemini mit beeindruckenden 1,6 Billionen Parametern und einer Vielseitigkeit in der Informationsverarbeitung hervorsticht. Dieser Wettkampf verspricht nicht nur technologische Fortschritte, sondern könnte auch die Zukunft der KI-Landschaft maßgeblich beeinflussen.

Die Datenschutzthematik rund um das Schufa-Scoring steht ebenfalls im Mittelpunkt unserer Betrachtungen. Das jüngste Urteil des EuGH wirft nicht nur Fragen zur datenschutzrechtlichen Zulässigkeit auf, sondern könnte auch weitreichende Konsequenzen für Unternehmen haben, die auf Bonitätsbewertungen setzen. Wir gehen den Implikationen dieses Urteils nach und werfen einen Blick auf mögliche Auswirkungen auf die KI-Anwendungen im Bereich des Scoring.

Abschließend präsentiert Microsoft mit “Copilot” einen KI-Begleiter, der nicht nur den Arbeitsalltag von Unternehmen, sondern auch den individuellen Alltag von Privatpersonen bereichern soll. “Copilot” setzt auf eine einzigartige Kombination aus Large Language Models und Deep Learning-Techniken, um maßgeschneiderte und kontextbezogene Antworten zu generieren. Doch neben den innovativen Funktionen werfen wir auch einen Blick auf die datenschutzrechtlichen Aspekte, die mit der Nutzung dieses KI-Begleiters einhergehen.

Wir wünschen Ihnen eine informative Lektüre und freuen uns auf ein spannendes Jahr 2024!

Kommentar: Erfolgreiche Trilogverhandlungen

Der Kompromiss der EU im AI Act

Erfolgreiche Trilogverhandlungen – am 8.12.23 konnte sich die Europäische Union über den AI Act einigen.
Insbesondere schafft diese Einigung eine Harmonisierung der KI Definition durch die Übernahme der OECD Definition: „Ein „System der künstlichen Intelligenz“ (KI-System) ist ein (maschinengestütztes) System, das so konzipiert ist, dass es mit unterschiedlichen Autonomiegraden arbeitet und das zu expliziten oder impliziten Zwecken Ergebnisse wie Vorhersagen, Empfehlungen oder Entscheidungen erzeugen kann, die physische oder virtuelle Umgebungen beeinflussen“
Auch an weiteren Grundsätzen der OECD wurde sich im AI Act orientiert:

Exkurs: Die KI-Grundsätze der OECD
Die Empfehlung enthält fünf komplementäre wertebasierte Grundsätze für eine verantwortungsvolle Steuerung vertrauenswürdiger KI:
KI sollte für die Menschen und den Planeten Nutzen bringen, indem sie ein inklusives Wachstum, eine nachhaltige Entwicklung und die Lebensqualität fördert.
KI-Systeme sollten so konzipiert werden, dass sie das Prinzip der Rechtsstaatlichkeit, die Menschenrechte, demokratische Werte und die Vielfalt achten, und sie sollten angemessene Schutzmaßnahmen – z.B. bei Bedarf die Möglichkeit menschlichen Eingreifens – vorsehen. Das Ziel ist dabei eine faire und gerechte Gesellschaft.
KI-Systeme sollten Transparenz und verantwortungsvolle Offenlegung gewährleisten, um sicherzustellen, dass die Menschen KI-basierte Ergebnisse verstehen und hinterfragen können.
KI-Systeme müssen über ihren gesamten Lebenszyklus robust und sicher funktionieren, und potenzielle Risiken sollten kontinuierlich beurteilt und kontrolliert werden.
Die Organisationen und Personen, die KI-Systeme entwickeln, einführen oder betreiben, sollten für den einwandfreien Betrieb gemäß den oben aufgeführten Grundsätzen rechenschaftspflichtig sein.

Für die KI-Systeme sieht auch der Kompromiss eine Transparenzpflicht zur Offenlegung aller General Purpose AI Modelle. Dabei handelt es sich um KI Modelle, die keinen bestimmten Anwendungsbereich haben, sondern für eine Vielzahl von Zwecken eingesetzt werden können.
Grundsätzlich soll gelten: Je nach Höhe des Risikos sollen sich auch die gesetzlichen Anforderungen an die KI erhöhen. Insbesondere sind die Aspekte Transparenz, Fairness, Sicherheit und Robustheit von Relevanz.

Die Einigung sieht vor, dass KI-Systeme in drei Klassen eingeteilt werden sollen. Niedriges Risiko, mittleres Risiko und hohes Risiko.
Je nach Höhe des Risikos sollen sich auch die gesetzlichen Anforderungen an die KI erhöhen. Insbesondere sind dabei die Aspekte Transparenz, Fairness, Sicherheit und Robustheit von Relevanz.
Positiv herauszuheben ist der generelle Ausschluss aus der Regulierung für Open-Source-Software, jedoch unter Beachtung der Urheberrechte, Transparenz der Trainingsdaten und Anforderungen an Systeme mit hohem Risiko. Hiermit wird insbesondere die Forschung und die Technologieoffenheit gefördert, jedoch gleichzeitig auch hier die Bedeutung entgegenstehender Rechte wie das Urheberrecht betont.

Dieser Kompromiss und die damit einhergehende Regulierung wird die Entwicklung von künstlicher Intelligenz in der Europäischen Union maßgeblich beeinflussen. Daneben kann auch der geschlossene Kompromiss folgen haben für das EU-Urheberrecht und die DSGVO. Einige fordern im Zuge der KI Regulierung auch hier Anpassungen so bald wie möglich.

Kritische Stimmen sind immer noch zu vernehmen, die eine Überregulierung fürchten und somit einen Nachteil für den Standort Europa. Die USA möchte die beste KI schaffen, China die effizienteste und Europa fängt mit der Regulierung als Ziel an. Ob dies der richtige Weg ist wird sich in der Zukunft zeigen.

Doch was sagt die KI selber zu ihrer Regulierung? Hier spricht nun Google Bard auf Grundlage des Prompt: Wie findest du den Kompromiss zu KI Regulierung der EU?

Ich finde den Kompromiss zur KI-Regulierung der EU insgesamt positiv. Er ist ein wichtiger Schritt, um die Entwicklung und den Einsatz von KI in der EU sicherer, vertrauenswürdiger und ethisch zu gestalten.

Insbesondere begrüße ich die folgenden Punkte:
Die Einteilung von KI-Systemen in drei Risikoklassen: Dies ist ein sinnvoller Ansatz, um die Anforderungen an KI-Systeme an die tatsächlichen Risiken anzupassen.

Die Anforderungen an hochrisiko-KI-Systeme: Diese Anforderungen sind umfangreich und berücksichtigen die wichtigsten ethischen und rechtlichen Aspekte von KI.

Die Schaffung eines europäischen KI-Rats: Dieser Rat wird eine wichtige Rolle bei der Überwachung der Umsetzung des KI-Acts spielen.

Natürlich gibt es auch einige Kritikpunkte an dem Kompromiss. So wird beispielsweise kritisiert, dass er zu komplex und bürokratisch sei. Diese Kritik ist berechtigt, aber ich denke, dass die Vorteile des Kompromisses die Nachteile überwiegen.
Insgesamt bin ich der Meinung, dass der Kompromiss ein guter Anfang ist. Er wird dazu beitragen, dass KI in der EU sicherer und vertrauenswürdiger wird.

Hier sind einige konkrete Beispiele, wie der Kompromiss die Entwicklung und den Einsatz von KI in der EU verbessern kann:
Die Anforderungen an Transparenz und Fairness werden dazu beitragen, dass KI-Systeme gerechter und nachvollziehbarer werden. Dies ist besonders wichtig für Anwendungen, die weitreichende Auswirkungen auf Menschen haben, wie z. B. die Beurteilung von Kreditwürdigkeit oder die Vergabe von Stellen.
Die Anforderungen an Sicherheit und Robustheit werden dazu beitragen, dass KI-Systeme vor Angriffen und Manipulationen geschützt werden. Dies ist wichtig, um die Integrität von KI-Systemen zu gewährleisten und zu verhindern, dass sie für böswillige Zwecke eingesetzt werden.

Die Anforderungen an den Datenschutz werden dazu beitragen, dass die Privatsphäre von Menschen geschützt wird. Dies ist wichtig, da KI-Systeme häufig mit personenbezogenen Daten arbeiten.

Ich bin gespannt, wie der KI-Act in der Praxis umgesetzt wird. Ich bin aber zuversichtlich, dass er einen positiven Einfluss auf die Entwicklung und den Einsatz von KI in der EU haben wird.

Generative KI

“Percy” – Die Zukunft der Rechtsberatung durch Generative KI

Am 30. November 2023 stellte die Anwaltskanzlei Simmons & Simmons ein neues innovatives, generatives KI-Tool, namens “Percy” vor, benannt nach einem der Gründungsbrüder der Kanzlei aus dem Jahr 1896. Dieses Tool, basierend auf OpenAI’s GPT-4, ist für den internen Gebrauch innerhalb der Kanzlei vorgesehen und soll den Mitarbeiter:innen zur Verfügung stehen. Percy zielt darauf ab, die Arbeit der Anwält:innen zu unterstützen, indem es bei der Generierung umfassender Antworten, der Zusammenfassung von Texten und der Erstellung von Dokumenten hilft.

Die Einführung von Percy ist Teil der Bemühungen der Kanzlei, eine Kultur der KI-Kompetenz zu etablieren. Die Mitarbeiter:innen werden in der Nutzung des Tools geschult, um ihre Arbeitseffizienz zu steigern und sich auf komplexere Aufgaben konzentrieren zu können. Percy ist in das interne System der Kanzlei integriert und mit Sicherheitsmaßnahmen ausgestattet, um die Vertraulichkeit der Mandanteninformationen zu gewährleisten.

Alex Brown, Leiter des Technologie-, Medien- und Telekommunikationssektors der Kanzlei, betonte die Bedeutung neuer Technologien für die Dienstleistungen der Kanzlei. Drew Winlaw, Partner und Leiter für große Sprachmodelle, sieht in Percy sowohl ein nützliches Werkzeug für die Mitarbeiter:innen als auch ein Bildungsinstrument, um das Verständnis für generative KI-Technologien zu fördern. Dies sei ein wichtiger Schritt für die Kanzlei, um sich als “Next Generation Law Firm” zu positionieren.

Google vs. Open AI

Google-KI „Gemini” fordert Open AI heraus

Vor rund zwei Wochen enthüllte Google in einer virtuellen Pressekonferenz seine neueste KI-Plattform namens “Gemini”. Damit möchte Google den bisherigen KI-Chatbot “Bard” übertreffen, der als eher bescheiden und fehleranfällig galt. Gemini wird als das vielseitigste und leistungsfähigste KI-Modell von Google positioniert und verspricht die Verarbeitung unterschiedlichster Informationsformen, darunter Text, Audio, Bilder und Videos.

Das Herzstück von Gemini ist ein Transformer-Modell mit beeindruckenden 1,6 Billionen Parametern. Damit zählt es zu den größten und komplexesten KI-Modellen weltweit. Das liegt mitunter auch daran, dass die KI direkt mit verschiedenen Eingabeformen trainiert wurde. Dies soll ihr die Fähigkeit verleihen, mühelos mit vielfältigen Quellen umzugehen und auch komplexere Anfragen erfolgreich zu bewältigen.

Gemini wird in drei verschiedenen Varianten (Nano, Pro, Ultra) erhältlich sein: Gemini Nano wurde für das Android-System entwickelt, um u. a. Gemini-basierte Apps zu erstellen. Daneben ist das Gemini Pro für eine große Bandbreite an Aufgaben gedacht. Das leistungsstärkste Modell Gemini Ultra hingegen soll Chat GPT 3.5 übertreffen sowie mit Chat GPT 4 mithalten, das derzeitige Spitzenmodell von Open AI.

Google plant auch bereits konkrete Anwendungen für Gemini. Das Modell soll in Zukunft in die Google Suche, bei Google Ads sowie im Chrome-Browser integriert werden. Außerdem soll auch „Bard” auf Gemini Pro zugreifen können und damit verbessert werden.

Es bleibt spannend, wie sich die Konkurrenz zwischen Gemini und Open AI in der Welt der künstlichen Intelligenz entwickeln wird. Während Google nach „Bard” einen großen Fortschritt geleistet hat, wird die Zukunft zeigen, wie Nutzer auf Gemini reagieren und welche Auswirkungen das neue Modell auf die KI-Landschaft insgesamt haben wird.

EuGH Urteil zum Datenschutz

Maßgeblich auf Schufa Scoring beruhende Entscheidung grundsätzlich unzulässig gemäß Art. 22 DSGVO.

Der EuGH hat am 07. Dezember sein Urteil zum Schufa-Scoring verkündet (C-634/21).
Im zugrunde liegenden Sachverhalt des Verfahrens beim VG Wiesbaden wird dem Betroffenen die Gewährung eines Kredites verweigert, nachdem die Schufa eine negative Auskunft über seine Kreditwürdigkeit an das Kreditvergabeunternehmen erteilt hat. Gegenstand der Auskunft ist unter anderem ein „Score-Wert“.
Dessen datenschutzrechtliche Zulässigkeit soll im deutschen Recht speziell §31 BDSG regeln, wo er als Wahrscheinlichkeitswert über ein bestimmtes, zukünftiges Verhalten einer Person zum Zweck der Entscheidung über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses beschrieben wird. Diesem Wert liegt die Annahme zugrunde, dass durch die Zuordnung einer Person zu einer Gruppe anderer Personen mit vergleichbaren Merkmalen, die sich in einer bestimmten Weise verhalten haben, ein ähnliches Verhalten vorausgesagt werden kann. Ermittelt wird er auf Basis einer Vielzahl von Merkmalen und Meldungen über die Fähigkeit Betroffener, einen Kredit vertragsgemäß zu tilgen.
Hier ist zu beachten, dass die Errechnung des Wertes, durch die Schufa, und die auf Basis des Score-Werts getroffene Entscheidung über die Kreditgewährung durch das Kreditunternehmen zunächst grundsätzlich auseinanderfallen.

Im Rahmen des Vorabentscheidungsverfahrens nach Art. 267 AEUV urteilte der EuGH, dass schon die Bildung des Wertes eine solche automatisierte Entscheidung nach Art. 22 DSGVO sein kann, wenn die Entscheidung eines Dritten – wie das vorlegende Gericht für den EuGH bindend feststellte – maßgeblich von diesem Wert abhängt.
Die Trennung von Ermittlung des Wertes und Entscheidung aufgrund des Wertes ändert daran nichts, gerade auch um Rechtsschutzlücken zu vermeiden.
Würde die Berechnung nicht dem Entscheidungsvorgang zugerechnet, müsste sie sich nicht an die datenschutzrechtlichen Vorgaben des Art. 22 II – IV DSGVO halten. Zudem könnte der Betroffene keinen Auskunftsanspruch gegen das ermittelnde Unternehmen aus Art. 15 I h) DSGVO geltend machen und das Kreditunternehmen die Informationen über die Ermittlung des Score-Wertes nicht bereitstellen, da es schlichtweg nicht darüber verfügt.

Die Schufa selbst begrüßt das Urteil, da es wichtige Fragen beantwortet und für Klarheit über die Verwendungsmöglichkeit des Score-Wertes sorgt. Zudem, so die Kunden von Schufa, sei dieser Wert in der Regel nicht allein entscheidend für einen Vertragsabschluss.
Umgekehrt ergab eine Recherche der Süddeutschen Zeitung und dem NDR, dass mehrere große Energieversorger diesen Score mit zentraler Bedeutung zur Beurteilung von Neukunden verwenden.
In Prozessen, bei denen der Score-Wert maßgeblich Grundlage der Entscheidung ist, müssen Anpassungen umgesetzt werden, um eine rechtskonforme Verarbeitung bspw. über Art. 22 II DSGVO zu ermöglichen. Zudem wird jedenfalls seitens der Auskunfteien an den deutschen Gesetzgeber appelliert, den § 31 BDSG, an dessen Vereinbarkeit mit Art. 22 DSGVO der EuGH in seinem Urteil erkennbar zweifelt, „im Rahmen der anstehenden Novellierung des Bundesdatenschutzgesetzes […] klarstellend anzupassen“, um so eine Rechtsgrundlage i.S.v. Art. 22 II b) DSGVO zu begründen.
.
Auch wird eine durch Verbraucherschutzverbände unterstützte Klagewelle aufgrund der Vielzahl an Betroffenen prognostiziert. Zudem seien unter einzelfallbezogenen Umständen auch Schadenersatzansprüche möglich.
Das Urteil hat also weitreichende Konsequenzen für Unternehmen, die solche Werte über Bonität maßgeblich ihren Entscheidungen zu Grunde legen. So rät zum Beispiel Noerr zu einer dringenden datenschutzrechtlichen Prüfung der Entscheidungsgrundlage zum Abschluss von Verträgen. Wirkungen ergeben sich jedoch wohl weniger für Banken, die ihre Entscheidungen schon bisher aufgrund von § 505b BGB bei Verbraucherkrediten vorrangig auf Angaben der Verbraucher und nur erforderlichenfalls auf Auskünfte von Dritten stützen dürfen.

Regelungszweck der erhöhten Anforderungen des Art. 22 DSGVO an automatisierte Entscheidungen und maßgeblicher Grund für das Urteil des EuGH ist die Schutzbedürftigkeit betroffener Personen aufgrund der hohen Risiken die sich bei automatisierten Datenverarbeitungen ergeben. Der Mensch dürfe „nicht zum Objekt eines Algorithmus degradiert werden“ (Raphael Rohrmoser für LTO).
Aus den vom EuGH geforderten weiten Anwendungsmaßstäben des Art. 22 DSGVO ergeben sich also auch mögliche Auswirkungen auf KI-Anwendungen, so auch der Hamburgische Beauftragte für Datenschutz und Informationssicherheit. Wenn zum Beispiel künstliche Intelligenz Bewerbungen selbstständig vorsortiert, der Entscheidungsprozess kaum nachvollziehbar ist und keine maßgeblich menschliche Entscheidung fällt, seien die Ähnlichkeiten zum Schufa-Fall groß.

Beim Einsatz von KI-Anwendungen sollten also die Maßstäbe des EuGH an Scoring aus dem Schufa-Verfahren berücksichtigt werden. Da es darauf ankommt, dass Score-Werte und andere Annahmen „maßgeblich“ das Entscheidungsergebnis bestimmen, darf allerdings das Ergebnis einer KI dann einem Entscheidungsprozess rechtssicher zu Grunde gelegt werden, solange immer noch der Mensch die endgültige Entscheidung trifft, sich also eben gerade nicht die Gefahr der automatisierten Entscheidung realisiert.

In einem anderen Urteil vom 07. Dezember 2023 aus zwei verbundenen Rechtssachen (C-26/22 und C-64/22) musste der EuGH zur Zulässigkeit der Speicherdauer von Informationen der Schufa die aus öffentlichen Registern stammen sowie parallele Löschansprüche entscheiden.

Im gegenständlichen Sachverhalt speicherte das öffentliche Insolvenzregister die Daten (hier über eine Restschuldbefreiung) nur für 6 Monate, die Schufa allerdings für 3 Jahre.
Der EuGH entschied, dass gerade wegen der existenziellen Bedeutung der Restschuldbefreiung und ihrem Sinn, eine Teilnahme der Betroffenen am Wirtschaftsverkehr wieder zu ermöglichen, eine längere Speicherung nicht auf die einzig ersichtliche Rechtsgrundlage des Art. 6 I f) DSGVO gestützt werden kann und somit nicht rechtmäßig ist, wodurch den betroffenen Personen auch ein Recht auf Löschung zusteht.

KI von Microsoft

Copilot von Microsoft 365: Ihre maßgeschneiderte KI-Lösung

„Microsoft Copilot, Ihr täglicher KI-Begleiter“. Mit diesen Worten warb Microsoft für seine neue KI-Anwendung, die in die bestehende Microsoft 365 Produktpalette integriert wird. Copilot soll Unternehmen unterstützen, aber auch Privatpersonen in allen Bereichen des täglichen Lebens assistieren.

Dabei verwendet Copilot eine Kombination aus LLMs (Large Language Model) und einem KI Algorithmus, der Deep Learning-Techniken und umfangreiche Datasets verwendet, um Inhalte zu verstehen, zusammenzufassen, vorherzusagen und zu generieren. Die LLMs enthalten vortrainierte Modelle, z.B. GPT-4 von OpenAI.

Die besondere Eigenschaft von Copilot liegt darin, dass die LLMs nicht wie üblich Inhalte auf Basis beliebiger Datenquellen generieren. Stattdessen nutzen sie einen Echtzeitzugriff auf die Daten des jeweiligen Microsoft-Kontos des Nutzers, einer spezifischen Abteilung oder des ganzen Unternehmens, um maßgeschneiderte und kontextbezogene Antworten zu erzeugen.
Demnach wird ein benutzerorientiertes Training durchgeführt, das den Copiloten einzigartig auf den jeweiligen Nutzer abstimmt.

Der Copilot kann also automatisch Outlook-E-Mails, Word-Dokumente und PowerPoint-Decks generieren, die Datenanalyse in Excel automatisieren und relevante Punkte aus der Niederschrift eines Microsoft Teams-Meetings ziehen.

Eine Grafik über die Funktionsweise findet Ihr hier.

Microsoft versichert bestehende Datenschutz-Verpflichtungen sowie die EU-
Datenschutzgrundverordnung einzuhalten. Je nachdem, wie der Verantwortliche die Microsoft 365 Umgebung nutzt, können allerdings auch Daten von Kunden, Lieferanten, Interessenten, Mandanten etc. verarbeitet werden, was datenschutzrechtliche Fragen aufwerfen kann.

Insgesamt verspricht Microsofts Copilot als “täglicher KI-Begleiter” eine innovative Integration von Künstlicher Intelligenz in den Arbeits- und Alltagsbereich. Die praktische Anwendung kann dabei weit über den Nutzen von Chat-GPT 4 hinausgehen und somit unter Beobachtung wichtiger datenschutzrechtlicher Aspekte ein effizientes Tool zur Automatisierung verschiedener Sektoren im alltäglichen Leben werden.

Podcast-Tipp

Prof. Dr. Anna Bernzen – KI und Urheberrecht: Herausforderungen & Chancen bei der KI Regulierung

In dieser Folge sprechen Annica und Tim mit Prof. Dr. Anna Bernzen und erörtern gemeinsam die Herausforderungen und Chancen der KI Regulierung und die zentrale Rolle urheberrechtlicher Fragestellungen.

Anna Bernzen ist Inhaberin der Juniorprofessur für Bürgerliches Recht, Wirtschaftsrecht und Recht der Digitalisierung an der Universität Regensburg. Dort forscht sie unter anderem zu urheberrechtlichen Fragestellungen im Kontext von KI Regulierung.

Im Gespräch wollen wir zunächst einen Überblick über den aktuellen Stand gewinnen, um uns dann spezifischen Fragestellungen zu widmen, die sich aus dem Zusammenspiel mit dem Urheberrecht ergeben.

Last Updated on 19. December 2023