Erwägen Unternehmen den Einsatz künstlicher Intelligenz, stellen sich im gleichen Moment zahlreiche rechtliche Herausforderungen, insbesondere in Bezug auf den Daten- und Geschäftsgeheimnisschutz. Der Einsatz von KI-Anwendungen, die das Unternehmen in einem eigenen Rechenzentrum betreibt, gilt dann als Allheilmittel. Das ist jedoch mit enormen technischen Aufwand verbunden: Unternehmen müssen schnell veraltende Hardware beschaffen. Zudem können die Rechenzentren vieler Unternehmen nicht mit den Cybersicherheitsstandards führender Cloud-An-bieter mithalten. Gleichzeitig ist ein solches Setup ist nicht für jeden Anwendungsfall erforderlich und kann darüber hinaus wiederum eigene rechtliche Herausforderungen mit sich bringen. Der Einsatz künstlicher Intelligenz im Unternehmen bedarf folglich einer sorgfältigen Abwägung zwi-schen allen rechtlichen Interessen des Unternehmens.
Hosting von KI-Anwendungen
Der Betrieb von KI-Anwendungen ist in unterschiedlichsten Konstellationen und Setups möglich. Die niedrigste Eintrittsschwelle bieten sicherlich öffentlich zugängliche Chatbots wie ChatGPT, Google Gemini oder Perplexity. Sie sind kostenlos oder können gegen eine verhältnismäßig geringe Gebühr genutzt werden. Der Gegenentwurf dazu sind On-Premise Lösungen, welche das jeweilige Unternehmen auf eigenen Servern betreibt. Durch die physische Kontrolle über die Server kann das Unternehmen festlegen, wer Zugriff auf die KI-Anwendung und die damit verarbeiteten Daten und Ergebnisse hat und ggf. Dritte davon ausschließen. Einen Mittelweg bilden KI-Anwendungen, die in einer Cloud gehostet und für einen bestimmten Kunden betrieben werden. In welchem Setup die KI-Anwendung läuft, wirkt sich wesentlich auf den Umfang der rechtlichen Verpflichtungen des Unternehmens aus.
Pflichten nach der KI-Verordnung
Die Pflichten der KI-Verordnung richten sich im Wesentlichen an Betreiber und Anbieter von KI-Systemen. Betreibt ein Unternehmen das KI-System auf eigener Hardware, ist es mindestens Be-treiber im Sinne der KI-Verordnung. Hat es das KI-System selbst entwickelt oder entwickeln lassen, kommen die weiterreichenden Anbieterpflichten noch hinzu. Betreibt ein anderes Unternehmen das KI-System und stellt es seinen Kunden zur Verfügung, liegt die faktische Kontrolle über das KI-System unter Umständen nicht mehr beim Kunden. Ob dies bereits ausreicht, dass den Kunden keine Pflichten nach der KI-Verordnung treffen und wo die Grenze zu ziehen ist, bedarf voraus-sichtlich einer Klärung durch die Gerichte.
Datenschutzrechtliche Verpflichtungen
Sollen mit dem KI-System personenbezogene Daten verarbeitet werden, müssen Unternehmen auch datenschutzrechtliche Belange bei der Auswahl des KI-Systems in Betracht ziehen. Auch in diesem Zusammenhang bieten KI-Systeme, die auf eigener Hardware betrieben werden, nicht nur Vorteile: Während ein Unternehmen bei einer SaaS-Lösung oder einem öffentlich zugänglichen KI-System im Regelfall keinen Zugriff auf Informationen in dem KI-Modell, einschließlich Trainingsda-ten hat, erscheint das bei einem selbst gehosteten KI-System jedenfalls nicht ausgeschlossen, bei einem selbst entwickelten System sogar wahrscheinlich. Soweit diese Informationen personenbe-zogene Daten enthalten, müssen diese auch im Datenschutzkonzept erfasst werden. Insbeson-dere müssen Verarbeitungsverzeichnisse und Datenschutzfolgenabschätzungen erstellt und die Möglichkeit geschaffen werden, Betroffenen auf Anfrage Auskunft nach Art. 15 DSGVO zu erteilen. Soweit nichtpersonenbezogene Daten, z.B. reine Maschinendaten, verarbeitet werden, bestehen keine datenschutzrechtlichen Einschränkungen. Das gleiche gilt für personenbezogene Daten, die zuvor anonymisiert wurden. Hierbei ist jedoch darauf zu achten, dass – auch mit Verwendung des KI-Systems – eine Rückidentifizierung ausgeschlossen ist.
Geschäftsgeheimnisse
Richtig ist, dass eine Bearbeitung von Geschäftsgeheimnissen wie Konstruktionen von Prototypen nicht mit öffentlich zugänglichen KI-Systemen erfolgen sollten. Das Risiko, der Betreiber des KI-Systems könnte die Geschäftsgeheimnisse in seine Trainingsdatenbank aufnehmen, ist nicht von der Hand zu weisen. Bei der Verwendung von SaaS-Lösungen kann dieses Risiko durch geeignete technische Maßnahmen, insbesondere bei der Gestaltung der Systemumgebung, und flankierende vertragliche Absprachen, weitgehend reduziert werden. Ähnliche Sicherheitsbedenken kamen mit der Nutzung von Cloud-Software in den 2010er Jahren auf. Mittlerweile werden Anwendungen wie ERP-Systeme mit sensibelsten Informationen in der Cloud betrieben. Die früher geäußerten recht-lichen Bedenken spielen heute kaum mehr eine Rolle. Nicht auszuschließen, dass diese Entwick-lung auch bei KI-Systemen zu beobachten sein wird.
Fazit:
Die vorstehenden Erwägungen sind nur ein kleiner Ausschnitt der rechtlichen Erwägungen, die Unternehmen bei der Auswahl eines KI-Systems berücksichtigen müssen. Insbesondere in regu-lierten Branchen wie im Gesundheits- oder Bankwesen gelten weitere, noch strengere Regeln. Die Beispiele zeigen gleichwohl: Ein zweiter Blick, ob der jeweilige Anwendungsfall den Betrieb eines KI-Systems auf eigener Hardware und den damit verbundenen technischen und wirtschaftlichen Aufwand erfordert oder ggf. sogar rechtliche Nachteile mit sich bringt, ist lohnenswert. Mitarbeitern benötigen daher geeignete Entscheidungshilfen, ob KI-Systeme eingesetzt werden dürfen und nach welchen Kriterien diese auszuwählen sind. Hierfür bieten sich Unternehmensrichtlinien an. Zur Vermeidung von Widersprüchen müssen sich diese allerdings nahtlos in die bestehende Da-tenstrategie und übrigen Richtlinien des Unternehmens einbetten.