ADV Rechtstag: KI als Game-Changer im Rechtsbereich

21. November 2024 / Stefanie Kurzweil

Am 7. November fand hoch über den Dächern Wiens im 34. Stockwerk des IZD-Towers in den Räumlichkeiten von EY der ADV-Rechtstag statt. Nach einleitenden Worten von ADV-Generalsekretär Paul Prihoda und EY Country Manager Gunther Reimoser begrüßte auch der Schirmherr der Tagung, Programmvorsitzender und ADV-Vorstand Stephan Winklbauer, die rund 60 Teilnehmer:innen. Der erste Rechtstag seit 2019 lockte unter dem Titel „AI & Data Act“ mit dem spannenden Thema des Zusammenspiels von Künstlicher Intelligenz und den Regulatorien wie etwa dem EU Data Act.

Vom Katzenbild zum geopolitischen Spielball

Den ersten Vortrag des Tages hielt Clemens Wasner, CEO von EnliteAI und Mitbegründer des Vereins AI Austria. Er erinnerte an die Anfänge der „ersten KI-Welle“ 2012 anhand des sogenannten „Katzenbild-Experiments“. Damals wurden neuronale Netze mit 16.000 CPUs trainiert, um Katzen auf Bildern zu erkennen, wobei der Erfolg mit 70% Wiedererkennungsrate nur als erfolgreiche Spielerei betrachtet wurde. 2016 besiegte ein KI-System erstmals den amtierenden Go-Weltmeister. Galt zuvor Schach als Maßstab für Computersysteme, stellt das nicht-deterministische Brettspiel Go die Intelligenz vor wesentlich größere Herausforderungen. Dieser unerwartete Triumph machte dann auch das Verteidigungswesen auf die Potenziale der KI aufmerksam. 2021 setzte der KI-Boom ein, den wir aktuell gerade erleben, und der durch generative KI und neue Technologien – Stichwort ChatGPT – neue Maßstäbe setzt.

Online-(Google-)Reviews: Wann sind Bewertungen Dritter unzulässig?

Nach der ersten Kaffeepause sprach Alexander Höller, Legal Lead Austria bei Google, über den rechtlichen Rahmen von Online-Bewertungen. Dabei beleuchtete er nicht nur die Haftung der Verfasser:innen, sondern auch jene der Plattform und zeigte anhand praktischer Beispiele und aktueller Rechtsprechung, wann Reviews zulässig oder unzulässig sind. Wenn diese wahrheitsgetreu auf den tatsächlichen Erfahrungen der User:innen basieren, sind sie prinzipiell immer zulässig. Auch anonyme Bewertungen sind laut OGH-Urteil erlaubt, selbst dezidierte Nicht-Kund:innen dürfen Bewertungen abgeben, insofern keine rechtswidrigen Elemente im Review vorhanden sind. Unzulässig sind Bewertungen, wenn sie falsche Behauptungen erhalten, den Tatbestand der Ehrbeleidigung erfüllen oder gezielt die Kreditwürdigkeit eines Unternehmens schädigen.

Data Act: Neue Pflichten zur Bereitstellung von Daten

Danach sprach Stephan Winklbauer, ADV-Vorstand und Partner bei Aringer Herbst Winklbauer Rechtsanwälte, über den EU Data Act und die damit verbundenen Herausforderungen für Unternehmen. Ab 12. September 2025 verpflichtet der Data Act Unternehmen dazu, ihre Daten besser verfügbar zu machen, unter anderem auch jene, die von IoT-Devices generiert werden. Sie müssen Datenschutz gewährleisten und zugleich die geforderte Datenverfügbarkeit sicherstellen. Konkret regelt der Data Act den Zugang zu nicht-personenbezogenen Daten, also solchen, die keine direkten Rückschlüsse auf individuelle Identitäten zulassen. Abgeleitete Daten und Erkenntnisse aus den generierten Daten fallen hingegen nicht unter den Data Act. Anspruch auf Datenzugriff, so Winklbauer, haben Nutzer:innen, öffentliche Stellen unter besonderen Umständen und Datenverarbeitungsdienste.

KI überprüft KI

Anna Maria Brunnhofer-Pedemonte von Impact AI erläuterte danach die Rolle von künstlicher Intelligenz beim Testen und Absichern anderer KI-Systeme. Die Grundfrage lautet: Wie kann man sicherstellen, dass KI-Systeme den rechtlichen und ethischen Anforderungen entsprechen und wie sieht die „technische Übersetzung“, die Brücke zwischen den technischen Spezifikationen eines KI-Systems und den Anforderungen von Compliance und Governance, aus? Brunnhofer-Pedemonte präsentierte den Governance-Chatbot, mit dessen Hilfe ein fiktives Tool zur Mitarbeiter:innen-Bewertung entwickelt werden soll. In Echtzeit erlaubt der Chatbot Einblicke in ethische Richtlinien und gibt eine automatische Risikobewertung entsprechend dem AI Act sowie einen parallelen Compliance-Report ab, die laufend aktualisiert werden.

KI & Recht im Spannungsfeld

Weiter ging es mit Norbert Amlacher, ADV-Landesgruppen-Vorstand und Partner bei Andreewitch und Partner Rechtsanwälte, der über die Herausforderungen der KI-Nutzung im rechtlichen Kontext sprach. Mitarbeiter:innen tun in diesem Spannungsfeld leider oft genau das, was sie eigentlich nicht tun sollten: Eine aktuelle Studie zeigt, dass 70% der Mitarbeitenden KI-Werkzeuge ohne Zustimmung des Arbeitgebers nutzen und sensible Daten über Kund:innen oder auch Unternehmensprozesse eingeben. Wie also gehen wir mit Trainingsdaten, Datenschutz und Geschäftsgeheimnissen um? Fakt ist: Compliance muss im Spannungsfeld zwischen Innovation und Regulierung betrachtet werden. Auch müssen vor der Verwendung von Large Language Models (LLMs) und anderen KI-Tools die Nutzungsbedingungen mit der Unternehmens-Compliance in Einklang gebracht werden.

Cybersecurity geht uns alle an

Danach überzeugte Joe Pichlmayr, CEO von IKARUS Security Software GmbH und Vorstand von CyberSecurityAustria, mit seinem Vortrag über die aktuelle Bedrohungslage im Bereich Cybersecurity und die Frage, warum es jede:n von uns betrifft. Cybercrime ist mittlerweile eine „globale Industrie“, die jährlich Schäden in Billionenhöhe verursacht, und die Angreifer:innen haben sich von Einzeltäter:innen hin zu hochspezialisierten, global agierenden Gruppierungen entwickelt, die auf weitreichende Infrastruktur zugreifen. Besonders im Fokus der Attacken steht die kritische Infrastruktur, wie die lebensbedrohlichen Angriffe auf Londoner Krankenhäuser deutlich zeigen. Insofern ist laut Pichlmayr „Cybersecurity res publica und geht uns alle an“, wir müssten also eine gemeinsame Verantwortung für Cybersicherheit übernehmen und Bedrohungen entgegenwirken.

DORA & Cyber Resilience Act

Avi Kravitz von A-Team Rocks Consulting und Norbert Amlacher gingen näher auf den Digital Operational Resilience Act (DORA) ein. Finanzinstitute müssen demnach umfassende Tests zur digitalen Resilienz durchführen, um sicherzustellen, dass sie Cyberangriffen standhalten können. Der Cyber Resilience Act (CRA) hingegen gilt für alle Produkte mit digitalen Elementen und definiert verbindliche Cybersicherheitsanforderungen für Hersteller. Beide Rahmenwerke fordern regelmäßige Sicherheitsüberprüfungen, um Schwachstellen frühzeitig zu erkennen und zu eliminieren. Kein Wunder, dass Hacking und Penetrationtests als Schlüsselmethoden dienen, um die Einhaltung der rechtlichen Anforderungen sicherzustellen. Während der CRA allgemeine Sicherheitsanforderungen definiert, geht DORA detailliert auf spezifische Testverfahren ein. Wie genau Pentesting im Alltag aussieht, berichtete Avi Kravitz und hab konkrete Beispiele aus dem Alltag.

Data Act: Use Cases und Data Sharing

Anna Neureiter von der Data Intelligence Offensive (DIO) präsentierte die Relevanz des Data Acts und die Chancen, die sich für Unternehmen durch Data Sharing ergeben, ganz im Sinne des Data Acts, der eine bessere Verfügbarkeit und Souveränität von Daten anstrebt. Anhand konkreter Use Cases zeigte sie auf, wie Unternehmen vom Data Sharing profitieren. So kann etwa durch den Austausch von Bodengesundheits-, Wetter- und Erntedaten die Ressourcennutzung optimiert und Frühwarnsysteme für extreme Wetterereignisse implementiert werden. Natürlich bringen die Nutzung von Data Spaces und die Umsetzung des Data Acts Herausforderungen mit sich, doch durch digitale Verträge können Zugriffsrechte und Nutzungsbedingungen klar geregelt werden.

Responsible AI: (K)ein Widerspruch?!

Nach der Kaffeepause folgten Ani Harreither (EY) und Thomas Jirku (IBM) und zeigten auf, warum Responsible AI kein Widerspruch ist und wie Verantwortung und Innovationen im Bereich der KI erfolgreich vereint werden können. Responsible AI benötigt technische Maßnahmen und ethische Leitlinien. Die Live-Demonstration der IBM-watsonx-AI-Plattform zeigte, wie diese Anforderungen tatsächlich umgesetzt und Bias und Drift sichtbar gemacht werden können. Governance und Awareness gelten dabei auf menschlicher Seite als Key-Faktoren, um langfristiges Vertrauen in KI und ihre Anwendungen zu schaffen. Harreither und Jirku beleuchteten, warum verantwortungsvolle KI-Entwicklung elementar ist, um Vertrauen aufzubauen und Innovation vorantreiben.

Wie KI die juristische Arbeit vereinfacht

Christoph Kral, CEO von culturehack e.U., wies anschließend darauf hin, dass KI das Potenzial habe, viele Aspekte der juristischen Arbeit zu erleichtern – von der schnellen Informationsrecherche über die Vertragsvorbereitung bis hin zur Analyse von Gerichtsurteilen. Gerade für repetitive Aufgaben kann KI hervorragend eingesetzt und somit Zeit für wirklich komplexe juristische Fragen gewonnen werden. Zentral dabei ist das sogenannte „KI-Prompting“, also das Formulieren präziser Anweisungen, um bestmögliche Ergebnisse zu erhalten. Mittels guter Prompts können spezifische Erkenntnisse erzielt und juristische Analysen generiert werden, was die tägliche Arbeit der Anwält:innen spürbar beschleunigen kann.

Die Auswirkungen von KI auf das Strafverfahren

Kerstin Waxnegger, Legal Counsel beim österreichischen KI-Spitzenforschungszentrum, dem Know Center in Graz, ging in ihrem Vortrag auf die Implikationen von Künstlicher Intelligenz auf das Strafverfahren ein und erläuterte, welche Chancen und Risiken damit einhergehen. Von Predictive Policing (Vorhersage von Hotspots für Strafdaten) über KI-gestützte Protokollierung bis hin zur forensischen Analyse von Text, Bild- und Videomaterial: Der Einsatz von KI bietet die Chance, Effizienz und Genauigkeit im Ermittlungsverfahren zu steigern. Es gibt aber auch erhebliche Risiken, gerade bei kritischen Funktionen wie Profiling oder biometrischer Identifikation. Fazit: Es braucht sorgfältige Abwägung des Einsatzes und vor allem gesetzliche Regulierung.

Automatisierte Datenverarbeitung im Rechtsbereich

Last but not least sprachen Bernhard Landrichter und Niklas Holy von GesetzeFinden.at über die Rolle der KI bei der automatisierten Datenverarbeitung im Rechtsbereich. Legal Large Language Models können als digitale Rechtsassistenten dienen, von der Zusammenfassung aktueller Urteile über die Beantwortung standardisierter juristischer Fragen bis hin zu Handlungsempfehlungen. Die beiden Vortragenden zeigten auf, wie etwa KI-basierte Monitoring-Services in der Praxis eingesetzt werden, um rechtliche Compliance sicherzustellen. So erleichtern etwa automatisierte Benachrichtigungen über Gesetzesänderungen oder die Erstellung von Compliance-Reports die tägliche Arbeit maßgeblich.

Der ADV Rechtstag war ein voller Erfolg und zeigte einmal mehr die praktische Anwendbarkeit von Künstlicher Intelligenz in einer besonders komplexen thematischen Umgebung wie der Rechtsauslegung und der juristischen Arbeit.