Das rasant steigende Angebot von KI-Tools wirft schon beinahe die Frage auf, wie ein Leben ohne KI überhaupt möglich war. Viele Mitarbeitende von Unternehmen nutzen daher auch zur Erledigung ihrer Aufgaben KI-Tools – und zwar oft ohne Zustimmung oder Information des Unternehmens. Dies kann erhebliche Compliance-Risiken mit sich bringen. Denn Informationssicherheit, Datenschutz und Vertraulichkeit sind nur einige der Themen, die durch KI-Anwendungen betroffen sein können. Daher ist es für Unternehmen unerlässlich, im Rahmen ihres Compliance-Management-Systems Maßnahmen zur Risikominimierung zu implementieren. Doch wo anfangen? Wichtig ist es daher, zunächst ein Grundverständnis zu den rechtlichen Aspekten von KI-Anwendungen zu entwickeln.
KI-Gesetze finden
Eine der größten Herausforderungen im Umgang mit KI-Tools ist, dass es nicht das eine „KI-Gesetz“ gibt. Neben regulatorischen Regelwerken wie z.B. der EU-KI-Verordnung ergeben sich rechtliche Implikationen für den Einsatz von KI-Tools aus einer Vielzahl von Gesetzen.
Wenig überraschend ist sicherlich, dass datenschutzrechtliche Vorschriften Auswirkungen auf die Nutzung von KI-Tools in Unternehmen haben. Aber wer denkt bei dem Themenfeld „KI am Arbeitsplatz“ direkt auch an arbeitsrechtliche Mitbestimmung, Geschäftsgeheimnisschutz oder Urheberrecht? Zusätzliche Rechtsfragen ergeben sich aus den Verträgen zur Nutzung der KI-Tools. Hier geht es oft auch darum, die Allgemeinen Geschäftsbedingungen der Anbieter dieser Tools zu lesen und rechtlich zu bewerten.
Urheberrecht – Plagiat oder KI-Arbeitsleistung?
Das Urheberrecht spielt eine zentrale Rolle in der Diskussion um KI. Beherrschend ist die Frage, wem KI-generierter Output gehört. Da urheberrechtlicher Schutz nur für von Menschen erzeugten Output besteht, ist KI-Output in der Regel nicht urheberrechtlich geschützt. Diese Tatsache kann für Unternehmen problematisch sein: Was niemandem gehört, darf grundsätzlich auch von jedem verwendet werden. Die Exklusivität, die bei konventionell erzeugtem Output im Text- und Bildbereich durch das Urheberrecht gewährt wird, fehlt also.
Ein weiteres rechtliches Risiko besteht in der möglichen Verletzung von Urheberrechten Dritter: Wenn KI-Tools ein Plagiat erstellen, können rechtliche Ansprüche gegen das dieses Plagiat verwendende Unternehmen drohen. Diese Ansprüche zielen im Wesentlichen auf Unterlassung und Schadensersatz ab und können Unternehmen empfindlich treffen. Daher ist eine sorgfältige Überprüfung der von KI generierten Inhalte unerlässlich.
Datenschutz und KI
Im Hinblick auf den Datenschutz müssen Unternehmen mindestens zwei zentrale Punkte bedenken. Zunächst sollte ein Datenschutz-Check vor der Nutzung jedes KI-Tools durchgeführt werden, um sicherzustellen, dass das Tool den gesetzlichen Anforderungen entspricht. Zudem kann es notwendig sein, eine Risikoanalyse durchzuführen. Eine transparente Handhabung der Datenströme kommt dabei sowohl dem Unternehmen als auch den Nutzenden zugute.
Das zweite Thema ist die Verwendung personenbezogener Daten in Prompts. Die DSGVO sieht vor, dass personenbezogene Daten nur mit einer rechtlichen Grundlage verarbeitet werden dürfen. Personenbezogene Daten von z.B. Kund*innen oder Mitarbeitenden dürfen daher nicht ohne Weiteres zum Gegenstand von Prompts gemacht werden. Ohne datenschutzrechtliche Prüfung drohen hier Datenschutzverstöße und die erheblichen Bußgelder der DSGVO. KI-Tools dürfen also nicht eingesetzt werden, bevor die Frage der Rechtsgrundlage geklärt ist.
Schutz von Geschäftsgeheimnissen
KI-Tools können nicht nur personenbezogene Daten, sondern auch Geschäftsgeheimnisse gefährden. Um sicherzustellen, dass Geschäftsgeheimnisse wirklich geheim bleiben, sollten Unternehmen genauer hinschauen, wie der Umgang mit sensiblen Informationen in KI-Tools erfolgt. Besonders bei der Verwendung offener KI-Systeme ist es wichtig, keine Geschäftsgeheimnisse in Prompts zu verwenden. Denn werden z.B. Prompts direkt wieder zum Training des KI-Tools genutzt, ist das Geschäftsgeheimnis nicht mehr geheim, sondern ein Teil der Trainingsdaten und daher „allgemeines KI-Tool-Wissen“.
Kennzeichnungspflicht regeln
Die Kennzeichnung von KI-Output ist daher ein erster Ansatz für die KI-Compliance von Unternehmen. Hier geht es darum, dass Mitarbeitende den Einsatz von KI transparent kommunizieren. Dies ist relevant z.B. auch für patentrechtlichen Schutz von Erfindungen, da nur von Menschen geschaffene Erfindungen patentierbar sind. Weiß das Unternehmen, dass eine Erfindung mittels KI generiert wurde, muss das Unternehmen im Rahmen der Patentstrategie beachten, dass ein rechtsbeständiger Patentschutz hier nicht zu erlangen sein wird.
KI-Richtlinie als zentrales Instrument
KI-Compliance heißt daher aktuell vor allem KI-Richtlinie. Ein wesentlicher Schritt besteht darin, jetzt eine Grundsatzentscheidung zu treffen: Mit welchen KI-Tools möchte das Unternehmen arbeiten? Diese Entscheidung ist komplex, da KI-Tools heutzutage nicht nur eigenständige Anwendungen sind, sondern auch als Funktionen in anderen Software-Produkten integriert werden, wie etwa Microsoft Copilot.
Die KI-Richtlinie dokumentiert diese Entscheidung und kann, je nach Vorwissen und vorangegangenen Erfahrungen des Unternehmens, eine Whitelist und/oder Blacklist für bestimmte Tools enthalten. Mitarbeitende können dann aus der Whitelist ersehen, welche Tools genehmigt sind, während die Blacklist anzeigt, welche Tools verboten sind.
Eine KI-Richtlinie sorgt somit dafür, dass Mitarbeitende nachvollziehen können, wie KI-Tools im Unternehmen eingesetzt werden dürfen. Diese Richtlinie ist für jedes Unternehmen eine Notwendigkeit, unabhängig von Größe oder Branche. Sie hilft dabei, klare Regeln zu etablieren und rechtliche Risiken im Umgang mit KI-Tools zu vermeiden.
