1. EU-KI-Verordnung
Zunächst ist ein Blick in die die EU-KI-Verordnung (2024/1689) (oder auch kurz „AI-Act“) zu werfen. Die KI-VO stellt einen Rechtsrahmen für Künstliche Intelligenz dar.
Einer der wichtigsten Punkte für Unternehmen ist zunächst, dass die KI-VO einen risikobasierten Ansatz verfolgt und somit nicht für jedes KI-System die gleichen Regelungen gelten. Insbesondere für die bisher weitverbreiteten KI-Systeme wie ChatGPT oder Claude, gelten anfänglich weitaus geringere Anforderungen als an KI-Systeme aus dem Hochrisikobereich.
Unternehmen, die ein KI-System mit geringem Risiko einsetzen wollen, müssen sodann u.a. eine gewisse KI-Kompetenz (Art. 4 KI-VO) sicherstellen und Transparenzpflichten (vgl. Art. 50 Abs. 4 KI-VO) erfüllen. Wird das KI-System dagegen in kritischen Bereichen wie dem Personalbereich eingesetzt, könnte eine KI mit ursprünglich geringem Risiko plötzlich als Hochrisiko-KI eingestuft werden und damit erheblich erweiterte Pflichten nach sich ziehen.
Daher sind Unternehmen als Betreiber gut beraten, die Nutzung von KI-Systemen für konkrete Use-Cases zu bestimmen, um mögliche Überraschungen zu vermeiden.
2. Datenschutz und KI
Die Nutzung von KI-Systemen und der Datenschutz stehen in einem „natürlichen“ Spannungsverhältnis.
Die den Systemen zugrundliegenden KI-Modelle sind zunächst nicht dafür ausgelegt, dass Informationen nachträglich wieder gelöscht werden, zudem sind die Modelle für den normalen Anwender erstmal intransparent. Dies ist ein eklatanter Makel, wenn es um die Durchsetzung von Betroffenenrechten geht.
Ein KI-System ohne personenbezogene Daten ist zwar möglich, aber herausfordernd, und es gerät schnell an seine Grenzen. Die Verarbeitung von personenbezogenen Daten in KI-Systemen ist aber nicht unmöglich. Zu beachten ist, dass die Daten nicht für das Training des KI-Modells als solchem sowie sonstigen unternehmensfremden Zwecken verwendet werden.
Formal muss der Anbieter des KI-Systems zunächst einen Vertrag über die Auftragsverarbeitung (AVV) zur Verfügung stellen. Darüber hinaus könnte für den Verantwortlichen eine Datenschutzfolgenabschätzung (DSFA) notwendig werden. Dabei müssen auch KI-spezifische Risiken für die personenbezogenen Daten betrachtet werden (u.a. Integrität und Vertraulichkeit) und Schutzziele wie Fairness (Vermeidung von Diskriminierung), Autonomie und Kontrolle (menschliche Aufsicht) und Transparenz berücksichtigt werden.
Im Ergebnis ist der Datenschutz zwar eine Herausforderung, häufig jedoch kein „Dealbreaker“.
3. Urheberrecht
Generell können KI-Systeme nach deutschem Urheberrecht nicht als Urheber anerkannt werden, da es an einer menschlichen „Komponente“ im Schaffensprozess fehlt.
Für Unternehmen wird es dann problematisch, wenn Nutzer urheberrechtlich geschütztes Material in die Systeme laden und dieses Material dann zum Training der Modelle verwendet wird. Anbieter sollten durch die Nutzer vertraglich verpflichtet werden, urheberrechtlich geschützte Eingaben nicht für das Training des KI-Modells zu verwenden.
Vorsicht ist auch bei der kommerziellen Verwendung der generierten Ergebnisse geboten. Zwar kann KI kein Urheber sein, aber die KI-Ergebnisse können anderen urheberrechtlich geschützten Werken ähnlich
sein und dadurch die Rechte daran verletzen. Dies gilt darüber hinaus auch für Personenbildnisse. Hier könnten bei Ähnlichkeiten insbesondere Persönlichkeitsrechte verletzt werden.
4. Vertragliche Anforderungen und Haftung
Im betrieblichen Kontext sind IT-Verträge keine Besonderheit. Werden KI-Systeme eingekauft, muss im Wesentlichen darauf geachtet werden, dass die generierten Ergebnisse zunächst auch für kommerzielle Zwecke genutzt werden dürfen (z.B. im Marketing).
Vorgenannte Risiken können teilweise über vertragliche Haftungsregelungen eingeschränkt werden. Dies setzt jedoch voraus, dass der KI-Anbieter sich auf individuelle Haftungsvereinbarungen einlässt, und andererseits muss eine Klausel gefunden werden, die einer AGB-Prüfung standhält.
Werden KI-Systeme zu Leistungserbringung gegenüber den eigenen Kunden eingesetzt, sollte dies möglicherweise auch bei der Vertragserstellung berücksichtigt werden. Insbesondere bei KI-bedingter Schlechtleistung trifft das Unternehmen zunächst die volle Haftung. Hier ist beispielsweise an KI generierte Codes zu denken, die zu einer Sicherheitslücke führen. Wünscht der Kunde zwecks Zeit- und Kosteneffizienz die Nutzung von KI-Systemen, sollte dies ausdrücklich vereinbart und das daraus resultierende Haftungsrisiko aufgeteilt werden.
5. Fazit
KI kann im Unternehmen sinnvoll eingesetzt werden und tägliche Abläufe ergänzen und optimieren. Rechtliche Aspekte sollten nicht außer Acht gelassen werden und können bei richtiger Vorbereitung die relevanten Stolperfallen beseitigen. Als First-Line-of-Defense bzw. erster Ansatz zur Risikominimierung ist jedem Unternehmen eine KI-Richtlinie zu empfehlen und die Mitarbeitenden rechtzeitig zu sensibilisieren.
lexICT GmbH – Daten(schutz), KI und Security
lexICT ist eine hochspezialisierte Beratungsboutique für IT-, Cybersecurity- und Datenschutzrecht. Seit über 15 Jahren unterstützen wir Unternehmen jeder Größe sowie öffentliche Stellen mit fundierter und praxisnaher Beratung. Wir vereinen fachliche Exzellenz mit absolutem Pragmatismus und bieten Lösungen, die zu Ihnen passen. Unsere Beratung verbindet IT-Expertise und juristische Kompetenz und füllt die Lücke zwischen Recht und Technik optimal aus.
Wir finden die Balance zwischen Compliance-Anforderungen, praktikabler Umsetzung und Ihren Unternehmenszielen. Unser Team besteht aus technikaffinen Juristen und IT- und Security-Experten, die Ihnen bei Ihren Projekten rund um KI und Digitalisierung umfassend zur Seite stehen.
Ihre Ansprechpartner
Kai Korte, Geschäftsführer – korte@lexict.de
Prof. Dr. Fabian Schmieder, Geschäftsführer – schmieder@lexict.de
Jonathan Stoklas, Geschäftsführer – stoklas@lexict.de
Torben Ludwig, Managing Consultant IT & Security – ludwig@lexict.de