Einleitung 1
Ziel des vorliegenden Werkes 3
A. Die Abkehr von einer anthropozentrischen Rechtsordnung? 4
B. Die zentralen Bereiche bei Einsatz und Anwendung generierender KI
und von Kl-Systemen 4
C. Die Regulierungsebenen und -instrumente 5
Teil 1: Grundlegendes zu generierenderKI und Kl-Systemen 7
A. Generierende KI und Kl-Systeme 7
I. Künstliche Intelligenz (artificial intelligence) (KI (AI)) 7
1. Der Begriff der Kl-Systeme im Entwurf der Kl-Verordnung 8
2. Die Definition der Bundesregierung in der Kl-Strategie-Deutschland 9
3. Die Geschichte der Künstlichen Intelligenz 10
II. Einsatz und Anwendung generierender KI und Kl-Systeme 12
III. Sprachmodelle als Grundlage für generierende KI und Kl-Systeme 13
1. Generative Pre-trained-Transformer (GPT) 13
2. Sprachmodelle als Grundlagentechnologie 15
a) Texte 15
b) Die praktischen Einsatz- und Anwendungsbereiche der
Textverarbeitung durch generierende KI und Kl-Systeme 17
c) Bilder (Visueller In- und Output) 18
d) Audio (Tonbasierter In- und Output) 20
e) Programme und Software 20
3. Die Abgrenzung zu menschlichen Ergebnissen und Leistungen 21
4. Die besonderen Eigenschaften generierender KI undKl-Systeme 23
a) Exponentielle Entwicklung 23
b) Autonomie 23
c) Opazität 24
d) Variabilität - nahezu unbegrenzte Einsatz- und
Anwendungsmöglichkeiten 25
e) Sicherheitsrisiko 25
f) Unmögliche Universalkenntnis 25
5. Zwischenergebnis 25
IV. Besondere Herausforderungen bei der Regulierung generierender
Kl und Kl-Systeme 26
1. Komplexität 27
2. Deepfakes 28
3. Halluzinationen 29
V. Daten als Grundlage 29
1. Daten 30
2. Die besonderen Eigenschaften von Daten 31
3. Die Abgrenzung zu Informationen 31
4. Datenarten 32
5. Datenträger 32
B. Das Privacy Paradoxon 33
I. Die Ausgangssituation 33
II. Die gesetzliche Regulierung de lege lata 35
III. Die gesetzliche Regulierung de lege ferenda 36
IV. Zwischenergebnis 37
C. Die Bedeutung von KI und Kl-Systemen 37
I. Das europäische Programm „Digitale Dekade“ für 2030 38
II. Die deutsche Kl-Strategie 39
III. Kl made in Germany 40
IV. Kl-Strategien in den Bundesländern 40
D. Die grundlegenden Anforderungen an den Einsatz und die
Anwendung von KI und Kl-Systemen 41
I. Die Einhaltung des Rechtsrahmens 41
II. Die Einbindung in die Datengovernance 42
III. Interne Regulierung 45
IV. Sensibilisierung und Schulung der Beschäftigten 47
V. Bestellung eines KI-Beauftragten/einer Kl-Beauftragten 48
VI. Dokumentation 50
VII. Kontrolle und Überwachung 52
1. Technische Kontrolle und Überwachung 52
2. Rechtliche Kontrolle und Überwachung 52
a) Zuständig zur Kontrolle und Überwachung 52
b) Staatliche Kontroll- und Überwachungsstellen 53
c) Interne Kontroll- und Überwachungsstellen 53
VIII. Technische und organisatorische Maßnahmen (TOM) 53
1. Technische und organisatorische Maßnahmen zum Schutz und
zur Sicherheit der Daten 54
2. Technische und organisatorische Maßnahmen zum Schutz und zur
Sicherheit der Datenverarbeitungsanlagen und der IT-Infrastruktur 54
3. Technische und organisatorische Maßnahmen zur Datennutzung 55
4. Kl by Design und by Default 56
IX. Nachhaltigkeit 56
X. Ethische Anforderungen 59
1. Der deutsche Ethikrat 59
2. Die deutsche Datenethikkommission 59
3. Die europäische Ethikkommission 60
4. Zwischenergebnis 60
XI. Informationen 61
XII. Auskunft 63
XIII. Zwischenergebnis 63
E. Risiken, Nachteile und Gefahren vs. Chancen, Vorteile und
Möglichkeiten 64
Teil 2: Der Rechtsrahmen für generierendeKI und Kl-Systeme 67
A. De lege lata 67
I. Internationale Regulierung von KI undKl-Systemen 67
II. Regulierung von KI und Kl-Systemen in Europa 67
B. De lege ferenda 69
I. Der Entwurf einer europäischen Kl-Verordnung 69
II. Systematische Einordnung in das europäische Digitalrecht 70
III. Rechtsgrundlage der KI-VO (EU) (Entwurf) 72
1. Die Ziele der KI-VO (EU) (Entwurf) 72
2. Aufbau und Struktur der KI-VO (EU) (Entwurf) 74
3. Die Einbeziehung generierender KI und Kl-Systeme 75
4. Die zentralen Ansatzpunkte zur Regulierung 75
5. Die wesentlichen Begriffsbestimmungen 76
6. Die Akteure und weiteren Beteiligten im Rahmen der KI-VO (EU)
(Entwurf) 77
IV. Der Inhalt der KI-VO (EU) (Entwurf) 78
1. Bereichsausnahmen 78
2. Berücksichtigung entgegenstehender Interessen 79
3. Der risikobasierte Ansatz - Hochrisiko-Kl-Systeme als zentraler
Ansatzpunkt 79
4. Das Verbotsprinzip in Art. 5 KI-VO (EU) (Entwurf) 80
5. Konformitätsbewertung für Hochrisiko-Kl-Systeme 82
6. Transparenz 84
7. Information 85
8. Dokumentation 85
a) Technische Dokumentation 85
b) Weitere Dokumente 87
9. Menschliche Aufsicht 87
10. Standards für KI und Kl-Systeme 88
11. Daten-Governance 89
12. Risikomanagement 90
13. Qualitätsmanagement 90
14. Verhaltenskodizes 90
a) Beispiele für Verhaltenskodizes 91
b) Freiwilligkeit des Aufstellens von Verhaltenskodizes 91
c) Unterstützung bei der Aufstellung von Verhaltenskodizes 92
15. Berücksichtigung von Kleinanbietern und Startups 92
16. Meldepflichten 93
17. Sanktionen 93
a) Die Mitgliedstaaten als Adressat 94
b) Der Maßstab für Sanktionen 94
c) Umsatzbezogene Geldbußen 94
d) Geldbußen gegen nationale Behörden und öffentliche Stellen 96
e) Geldbußen gegen Organe, Einrichtungen und sonstige Stellen
der EU 96
f) Schadensersatz und Haftung 97
18. Innovationsförderung 98
19. Weitere Elemente der KI-VO (EU) (Entwurf) 98
a) Notifizierende Behörden und notifizierende Stellen 98
b) EU Datenbank Art. 60 99
c) Marktüberwachung (Behörde und EU VO) 99
d) Europäischer Ausschuss für künstliche Intelligenz 100
V. Wesentliche Kritikpunkte an der KI-VO (EU) (Entwurf) 101
1. Die Komplexität und die Unbestimmtheit der Bestimmungen 101
2. Die Durchführung der Konformitätsbewertung ohne externe
Kontrolle 101
3. Die Verhinderung von innovativen Entwicklungen und
Wettbewerbsnachteile durch Überregulierung 102
4. Ergänzende Bestimmungen 102
VI. Die europäische Richtlinie über Kl-Haftung (Entwurf) 103
VII. Die Gründe und die Ziele der RL-KI-Haftung (Entwurf) 104
1. Harmonisierung 104
2. Vorteile für den Binnenmarkt 106
3. Kohärenz 106
4. Wirksame Beweismittel 106
5. Vertrauen und Akzeptanz 106
VIII. Der Anwendungsbereich 107
IX. Die Begriffsbestimmungen 108
X. Die Bestimmung zur Beweislast und zu Beweismitteln 108
XI. Die Bestimmung einer widerlegbaren Vermutung eines Verstoßes 109
XII. Die Bestimmung zum Kausalzusammenhang im Fall eines
Verschuldens 110
XIII. Fazit zum Entwurf der Richtlinie über Kl-Haftung (EU) 110
XIV. Zwischenergebnis 111
C. Die Regulierungsmöglichkeiten 111
I. Die Regulierungsspanne 112
II. Regulierung durch Verbote 113
1. Verbote als Schranke 113
2. Verbote mit Erlaubnisvorbehalt 114
III. Sektorbezogene Regulierung 114
IV. Bereichsausnahme 115
V. Einzelne Regulierungsinstrumente 115
1. Zulassung 115
2. Zertifizierung 116
3. Haftungsmasse 116
4. Pflichtversicherung 117
VI. Die Regulierungsinstrumente der DS-GVO als Blaupause 117
1. Informationspflicht und Auskunftsrecht 118
2. Transparenz 119
3. Rechenschafts- und Dokumentationspflichten 119
4. Melde- und Benachrichtigungspflichten 120
5. Aufsichtsbehörden 120
VII. Risikobasierte Ansätze im Rahmen der Regulierung
generierender KI und Kl-Systeme 120
1. Der Begriff des Risikos 121
2. Der eindimensionale Risikoansatz im Entwurf der europäischen
Kl-Verordnung 121
a) Inakzeptable Risiken 123
b) Hohe Risiken 123
c) Begrenzte Risiken 125
d) Minimale Risiken 126
3. Der zweidimensionale Risikoansatz 126
4. Drei- und multidimensionale Risikoansätze 128
VIII. Normen und Standards als Regulierungsinstrumente 129
IX. Sanktionen und Aufsichtsmaßnahmen als Regulierungsinstrumente 130
X. Neue Regulierungsmethoden und -Instrumente 130
XI. Regulierung durch Verhaltenskodizes (Codes of Conducts) 133
XII. Kennzeichnungspflicht und Warnhinweise 135
1. Die Einführung eines Kl-Sicherheitslabels 137
2. Digitale Wasserzeichen und digitale Siegel 137
3. Der Umfang der Kennzeichnungspflicht 139
4. Warnhinweise 140
D. Aufsichts- und Kontrolleinrichtungen 140
I. Internationale Aufsicht über generierende KI und Kl-Systeme 141
1. Die Ziele einer internationalen Aufsichtsbehörde 142
2. Die Unabhängigkeit einer internationalen Aufsichtsbehörde 142
3. Die Aufgaben und Befugnisse einer internationalen
Aufsichtsbehörde 143
II. Nationale Aufsichtsbehörden 143
III. Aufsicht und Kontrolle durch Verbraucherschutzverbände und
andere nicht staatliche Organisationen 143
Teil 3: Zentrale rechtliche Fragestellungen zu generierender KI und
Kl-Systemen 145
A. Die Rechtspersönlichkeit und die Rechtsfähigkeit generierender KI
und Kl-Systeme 145
B. Die Rechtspersönlichkeit generierender KI de lege lata 146
C. Die Rechtspersönlichkeit generierender KI de lege ferenda 147
I. Vollrechtsfähigkeit 147
II. Teilrechtsfähigkeit 148
III. Weitere Ansätze zur rechtlichen Einordnung generierender KI und
Kl-Systeme 149
IV. Rechtspersönlichkeit sui generis 149
D. Die Handlungs- und Geschäftsfähigkeit generierender KI und
Kl-Systeme 149
I. Verantwortlichkeit und Haftung 150
II. Eigentum und Nutzungsrechte 150
E. Das Urheberrecht und generierende KI undKl-Systeme 152
I. Urheberrecht bei der Erhebung und Eingabe 153
II. Urheberrecht bei der Ausgabe 154
III. Die Regulierung generierender KI im Urhebergesetz de lege lata 154
IV. Das urheberrechtliche Kernproblem bei Werken generierender KI
und Kl-Systeme 154
V. Fazit zum Urheberrecht 155
F. Vertragsgestaltung, Vertragsabschlüsse und Vertragsfreiheit 155
I. Die rechtliche Regulierung de lege lata 157
II. Die rechtliche Regulierung de lege ferenda 157
III. Sonderfall: Allgemeine Geschäftsbedingungen (AGB) 158
IV. Vertragsanalyse 158
V. Vertragsmanagement und Vertragsverwaltung 159
Teil 4: Einzelne Rechtsprobleme ausgewählter Rechtsgebiete 161
A. Datenschutz 161
I. Die Technikoffenheit des Datenschutzes als Grundlage der
Regulierung 162
II. Datenschutz im Rahmen der Regulierung generierender KI
de lege lata 163
III. Datenschutz nach der Charta der Grundrechte der EU 163
IV. Datenschutz beim Einsatz generierender Kl nach der DS-GVO 163
V. Datenverarbeitungen im Sinne der DS-GVO durch generierende
Kl und Kl-Systeme 164
VI. Die Beteiligten der Datenverarbeitungen 164
VII. Die Verantwortlichen 164
VIII. Die betroffenen Personen 166
IX. Die Auftragsverarbeitenden 167
X. Die Aufsichtsbehörden 167
XI. Die Hambacher Erklärung zur Künstlichen Intelligenz vom
03.04.2019 168
XII. Das Positionspapier der Konferenz der unabhängigen
Datenschutzaufsichtsbehörden des Bundes und der Länder vom
06.11.2019 169
XIII. Der Fragenkatalog der Landesbeauftragten an OpenAI L.L.C. zur
Datenverarbeitung der Anwendung ChatGPT vom 19.04.2023 .171
XIV. Der Beschäftigtendatenschutz 172
XV. Die Rechtsgrundlage für eine Verarbeitung personenbezogener
Daten mittels generierender KI und Kl-Systeme 172
XVI. Die Grundsätze der DS-GVO zur Verarbeitung
personenbezogener Daten als Rahmen beim Einsatz und bei
der Anwendung generierender KI 173
XVII. Besondere Kategorien personenbezogener Daten beim Einsatz
und bei der Anwendung generierender KI und Kl-Systeme 174
XVIII. Automatisierte Entscheidungen im Einzelfall 174
XIX. Datenschutz-Folgenabschätzungen beim Einsatz und bei der
Anwendung generierender KI und Kl-Systeme 174
1. Die Vorab-Abschätzung mit Hilfe einer Schwellwertanalyse 175
2. Die Listen der Aufsichtsbehörden nach Art. 35 Abs. 4 DS-GVO 176
XX. Technische und organisatorische Maßnahmen im Sinne der
DS-GVO beim Einsatz und bei der Anwendung generierender
Kl und Kl-Systeme 177
XXI. Ausschließlich automatisierte Entscheidungen im Einzelfall nach
Art. 22 DS-GVO 178
1. Die praktische Relevanz ausschließlich automatisierter
Entscheidungen 179
2. Die Regelungen der § 35a VwVfG, § 31a SGB X und
§ 155 Abs. 4 AO 180
3. Die Rechtsfolge des Art. 22 DS-GVO 180
XXII. Datenschutz im Rahmen der Regulie