Ein Artikel von Dr. jur. Thomas Schwenke, LL.M. (Auckland), Rechtsanwalt, Datenschutzauditor
Die rasant voranschreitende Entwicklung der sogenannten „künstlichen Intelligenz“ (KI) bringt auch das Recht an seine Grenzen. Zwar hatte die EU bereits ein Gesetz zur Regulierung der künstlichen Intelligenz, den sogenannten „AI-Act“, in Planung. Jedoch hat die Einführung von universell einsetzbaren Werkzeugen wie ChatGPT zu signifikanten Veränderungen geführt, weshalb mit dem AI-Act frühestens im Jahr 2025 gerechnet wird.
Aber auch wenn die Gesetzgebung der Technik erneut hinterherhinkt, kann der KI-Einsatz im Unternehmen gegen bereits bestehende Gesetze verstoßen. Der folgende Beitrag bietet daher die wichtigsten rechtlichen Aspekte auf, die im Hinblick auf das Vertrags-, Datenschutz-, Urheber- und Persönlichkeitsrecht heute und auch in der Zukunft vor der Inanspruchnahme von KI-Angeboten berücksichtigt werden sollten.
KI-Verbote und KI-Gebote
Der Einsatz von KI-Tools bei Kundenaufträgen kann einen Vertragsverstoß darstellen, wenn eine von Menschen erbrachte Leistung geschuldet war. Ferner könnte die Nutzung von KI-Tools als ein unter Umständen zustimmungspflichtiger Einsatz von Subunternehmern interpretiert werden. Zur Vermeidung rechtlicher Konflikte und Missverständnisse mit Kunden ist daher eine Regelung der Nutzung von KI in Verträgen und AGB zu empfehlen.
Umgekehrt könnte sich mit der steigenden Relevanz von KI künftig eine Pflicht zur Nutzung von KI entwickeln. Das gilt vor allem in Berufsbereichen, in denen die Qualität der Ergebnisse von hoher Bedeutung ist, z. B. in technischen oder beratenden Berufen. Eine Nichtnutzung von KI, auch wenn nur zur Absicherung der eigenen Berechnungen oder Empfehlungen, könnte dann als Verletzung der Sorgfaltspflicht gewertet werden.
Einsatz von KI-Tools durch Arbeitnehmer
Arbeitnehmer sind grundsätzlich dazu angehalten, ihre Aufgaben persönlich zu erfüllen. Die Nutzung von KI erfordert daher in der Regel die Zustimmung des Arbeitgebers. Dennoch könnte sich die Routine des KI-Einsatzes mit der Zeit ändern, ähnlich wie heutzutage Google zur Informationsbeschaffung eingesetzt wird. Um Risiken im Zusammenhang mit der Nutzung von KI zu minimieren, ist die Einführung unternehmensinterner KI-Nutzungsrichtlinien empfohlen.
Haftung für KI-Fehler
Unternehmen sollten davon ausgehen, für KI-Fehler gegenüber Endkunden zu haften. Sie können zwar Haftungsrisiken durch klare Vertragsgestaltung, Gewährleistungsbeschränkungen und Haftungsklauseln verringern. Allerdings können Haftungsausschlüsse insbesondere bei Verbrauchern unwirksam sein. Zu beachten ist, dass zugleich mit dem AI-Act sich auch eine Haftungsrichtlinie im Gesetzgebungsverfahren der EU befindet. Sie soll u. a. die Beweislast für KI-Fehler zugunsten von Verbrauchern umkehren und ihnen Rechte auf Offenlegung der maßgeblichen KI-Verfahren zubilligen.
Datenschutz und Schutz von Geschäftsgeheimnissen
Die Verwendung von KI bringt viele datenschutzrechtliche Herausforderungen mit sich. Werden z. B. Schriftstücke analysiert oder E-Mails mittels KI beantwortet, besteht ein Risiko des Verstoßes gegen Datenschutz- und Geschäftsgeheimnisschutzregelungen. Um Bußgelder und Schadensersatzzahlungen zu vermeiden, müssen Unternehmen mit KI-Anbietern entsprechende Verschwiegenheits- und Auftragsverarbeitungsverträge schließen.
Weitere Risiken birgt der Transfer der Daten außerhalb der EU, was bei KI-Anbietern aus den USA der Fall ist. Im optimalen Fall sollten die Daten vor der Übermittlung an die KI lokal anonymisiert werden. Zumindest sollten nur Verarbeitungsverfahren gewählt werden, bei denen die bereitgestellten Inhalte und Daten von der KI nicht zu Lernzwecken eingesetzt werden. Zusätzlich müssen Vorgaben zur Protokollierung, Ergänzung des Verzeichnisses von Verarbeitungstätigkeiten und Information der Nutzer bei Weitergabe ihrer Daten an KI-Anbieter in der Datenschutzerklärung beachtet werden.
Vorteile und Nachteile des fehlenden Urheberrechtsschutzes
Da KI-Werke nicht von Menschen erstellt werden, bestehen an ihnen grundsätzlich keine Urheberrechte. Daher dürfen von der KI erstellte Werke ohne urheberrechtliche Einschränkungen kopiert werden.
Das Fehlen von Urheberrechten an KI-Werken könnte aber umgekehrt in Auftragsverhältnissen als Mangel angesehen werden. Das könnte u. a. dann der Fall sein, wenn die KI-generierten Leitmotive einer Werbekampagne von jedermann kopiert und für eigene Zwecke abgewandelt werden könnten.
Der Schutz von Prompts
Prompts, die als Steuerungsbefehle für KI dienen, können sehr umfangreich ausfallen, einen eigenen wirtschaftlichen Wert haben und so auch Geschäftsgeheimnisse darstellen. In der Regel werden sie dennoch nicht urheberrechtlich geschützt sein, da sie zum einen sachlicher und zum anderen schöpferisch-kreativer Natur sind. Ausnahmsweise ist der Schutz vorstellbar, wenn ein Prompt in seiner Komplexität und Syntax einem Computerprogramm gleichen sollte. Daneben wird eine ausreichend umfangreiche (mind. dreistellige) und systematisch zusammengestellte Liste von Prompts, einen eigenen urheberrechtlichen Schutz als Datenbank genießen.
KI-Influencer und Verwechselbarkeit mit lebenden Personen
Die zunehmende Verbreitung von Deepfakes, d. h. KI-Nachbildungen der Wirklichkeit, insbesondere solcher, die Menschen imitieren, birgt viele rechtliche Risiken. Diese beginnen mit der potenziellen Verletzung des „Rechts am eigenen Bild“ und reichen bis zur Strafbarkeit wegen übler Nachrede, wenn Deepfakes unwahre und herabsetzende Vorgänge darstellen.
Um Risiken zu mindern, sollten KI-Ergebnisse als solche gekennzeichnet, mögliche Ähnlichkeit mit existierenden Menschen durch Recherche vermieden oder gleich KI-Avatare auf Grundlage eines echten Models und eines Modelreleases erstellt werden.
Kennzeichnungspflichten für Deepfakes und KI-Prozesse
Eine Kennzeichnung von Deepfakes und KI-Influencern ist zwar noch nicht gesetzlich vorgeschrieben, wird jedoch bereits jetzt empfohlen. Dadurch wird das Risiko der Verletzung von Persönlichkeitsrechten im Falle von Ähnlichkeiten mit lebenden Personen und der potenziellen Täuschung von Kunden, die berechtigterweise eine menschliche Leistung erwartet haben, vermieden.
Im geplanten AI-Act ist ohnehin eine Kennzeichnungspflicht für KI-Werke sowie Interaktionen mit KI vorgesehen. Unternehmen werden dann z. B. nicht erkennbare KI-Systeme im Kundendialog als solche kennzeichnen müssen.
Fazit und Praxisempfehlung
Das Recht steht dem Einsatz von KI in Unternehmen zwar nicht entgegen, aber nur, wenn die potenziellen rechtlichen Risiken schon von vornherein beachtet und z. B. mittels Vertragsklauseln und AGB aufgefangen werden. Ferner sollten alle KI-Prozesse vorab geprüft und protokolliert werden, um im Worst-Case eine hinreichende Compliance und Sorgfalt bei deren Betrieb nachweisen zu können.
Zur Person
Der Berliner Rechtsexperte Dr. jur. Thomas Schwenke hilft internationalen Unternehmen, die rechtlichen Herausforderungen des KI-Einsatzes und Online-Marketings zu meistern. Er ist Buchautor, Podcaster auf Rechtsbelehrung.com und Anbieter der Plattform Datenschutz-Generator.de.
Diesen Artikel lesen Sie auch in AssCompact 07/2023, S. 122 f., und in unserem ePaper.
Bild: © sh99 – stock.adobe.com
Dr. jur. Thomas Schwenke 
- Anmelden, um Kommentare verfassen zu können
