Suche
Contact
Symbolbild zu KI-Compliance: Fiberoptik
18.02.2025 | KPMG Law Insights

KI-Compliance: Wichtige rechtliche Aspekte im Überblick

Menschliche Intelligenz schöpft aus Erfahrung, Emotion und Intuition. Künstliche Intelligenz (KI) hingegen verarbeitet Unmengen an Daten in Sekundenbruchteilen. Menschliche Intelligenz denkt voraus, zieht Schlüsse und wägt rechtliche und moralische Konsequenzen ab. Künstliche Intelligenz hingegen handelt exakt so, wie sie programmiert wurde und berücksichtigt rechtliche Stolpersteine nur, wenn der Mensch sie antizipiert hat. Menschliche Intelligenz kann sich flexibel an unvorhergesehene Situationen anpassen, während KI stur bestehende Muster reproduziert – selbst dann, wenn diese gegen Gesetze oder ethische Standards verstoßen. Hier zeigt sich, wie wichtig KI-Compliance ist.
Der Einsatz von KI-Systemen kann neben dem 2024 in Kraft getretenen AI Act zahlreiche weitere Rechtsvorschriften in unterschiedlichen Gesetzen verletzen. Die Regulierungsdichte nimmt stetig zu und mit ihr auch das Risiko von Compliance-Verstößen, Sanktionen und Klagen.

Datenschutz: Vorsicht bei der Eingabe von Informationen

Für die Verarbeitung personenbezogener Daten gilt die Datenschutz-Grundverordnung (DSGVO). Diese verlangt für die Weitergabe personenbezogener Daten eine Rechtsgrundlage, also entweder ein Gesetz oder die Einwilligung der Dateninhaber:innen. Für die Datenübermittlung in Drittländer gelten weitere spezielle Anforderungen.
Gibt man Informationen in Large Language Modelle wie ChatGPT, Copilot und Google Gemini ein, werden diese an die Server der Betreiber übermittelt und dort zur Erstellung der geforderten Texte verarbeitet. Die KI nutzt und speichert die Informationen außerdem zu Trainingszwecken. Die Server befinden sich oftmals in den USA, sodass die Daten die EU verlassen. Willigen die Nutzer:innen eventuell in die Datenverarbeitung ein, indem sie die Informationen in den Chatbot eingeben? Wohl eher nicht. Denn die Nutzer:innen können zum Zeitpunkt der Eingabe ihrer Daten nur schwer nachvollziehen, was damit passiert. Und sie wissen nicht, ob bei der Verarbeitung die Vorschriften der DSGVO eingehalten werden. An einer Einwilligung fehlt es offensichtlich, wenn die Person in den Chatbot gar nicht ihre eigenen Daten eingibt, sondern fremde.
Die KI verarbeitet Daten also regelmäßig ohne die erforderliche Rechtsgrundlage. Das ist ein Problem sowohl für den Betreiber des KI-Systems als auch für die Nutzer:innen.

Geistiges Eigentum: KI bedient sich auch bei geschützten Werken

Generative KI, die Texte, Bilder oder Videos erstellt, bedient sich sowohl bei den von Nutzer:innen eingegebenen Materialien als auch bei Inhalten aus dem Internet. Die Tools können aktuell nicht differenzieren zwischen geschützten und nicht-geschützten Inhalten. Zwar verarbeitet die KI die Inhalte zu neuen Werken. Die Urheberrechte der Originalurheber:innen können aber in Einzelfällen auch nach der Bearbeitung fortbestehen. Bei reinen Reproduktionen und Übersetzungen urheberrechtlich geschützter Werke ist das der Fall. Urheberrechtlich kritisch ist es auch, wenn eine KI einen Songtext wiedergibt, der noch nicht gemeinfrei ist, oder eine Szene aus einem bestehenden Drehbuch umschreibt. Wenn der Output nah am Originalwerk orientiert ist, kann die Umgestaltung nicht frei verwendet werden, insbesondere wenn wiedererkennbare Charaktere mit eigenem Urheberrechtsschutz betroffen sind. Die Erstellung von Fachtexten durch generative KI ist weniger problematisch, da Fachtexte nach dem EuGH hohe Anforderungen erfüllen müssen, um Urheberrechtsschutz zu genießen.
Klärungsbedürftig könnte im Einzelfall auch die Frage sein, wer Urheber der KI-generierten Werke ist. Insbesondere ob am Output der KI überhaupt ein Urheberrecht entstehen kann. Nach deutschem Urheberrecht kann lediglich ein Mensch Schöpfer eines Werkes und damit Urheber sein. Auch der EuGH verlangt eine freie kreative Entscheidung für die Entstehung eines Urheberrechts. Werke, die allein durch KI entstanden sind, erfüllen diese Voraussetzung eher nicht.

Arbeitsrecht: Wenn die KI rassistisch agiert

Immer öfter übernimmt die KI auch Tätigkeiten des HR-Bereichs, zum Beispiel im Recruiting. Wird sie zur Bewerberauswahl eingesetzt, orientiert sie sich möglicherweise an Merkmalen der in der Vergangenheit eingestellten Kandidat:innen. Waren das in der Mehrzahl weiße Männer, bevorzugt das KI-Tool aufgrund fehlender anderweitiger Programmierung eventuell männliche Kandidaten mit weißer Hautfarbe. In Deutschland wäre das ein klarer Verstoß gegen das Allgemeine Gleichbehandlungsgesetz (AGG). Generell hat künstliche Intelligenz ein hohes Diskriminierungspotenzial. Solche Verstöße sollten Unternehmen daher unbedingt antizipieren und die KI entsprechend programmieren.
Beim Einsatz von KI im Unternehmen hat auch der Betriebsrat mitzubestimmen. Zumindest dann, wenn der Arbeitgeber die Nutzung vorschreibt oder aber eigene KI-Systeme zur Verfügung stellt.

Der AI Act ist eine große rechtliche Herausforderung

Aktuell die größte regulatorische Herausforderung ist wohl die am 1. August 2024 in Kraft getretene KI-Verordnung (AI Act) und die zugehörige KI-Haftungsrichtlinie. Die Regelungen des AI Act werden gestaffelt wirksam; die ersten Vorgaben gelten bereits ab Februar 2025. Bis zu 35 Millionen Euro oder 7 Prozent des gesamten weltweiten Jahresumsatzes sollen die Bußgelder betragen können – mehr als nach der DSGVO.
Der AI Act betrifft nahezu alle Unternehmen, die KI-Systeme in der EU in Verkehr bringen, anbieten oder nutzen. Verpflichtet sind Anbieter, Einführer, Händler und Nutzende von KI-Produkten und -Diensten in der EU.
Die Verordnung verfolgt einen risikobasierten Ansatz und teilt KI-Systeme in Risikoklassen ein. Entscheidend ist dabei die Art der Anwendung. Systeme mit unannehmbarem Risiko werden verboten, während Hochrisikosysteme strenge Anforderungen erfüllen müssen. Für General Purpose AI (GPAI)-Modelle gelten eigene Anforderungen. Diese Modelle, die vielseitige Aufgaben erfüllen können, werden in gewöhnliche und systemisch riskante GPAI-Modelle eingeteilt.

KI-Compliance gehört in die Due Diligence

Wer im Zeitalter von KI ein Unternehmen erwirbt, kauft im Prinzip eine Black Box und erfährt erst später, ob sie einen Schatz oder eine tickende Zeitbombe enthält. Es sei denn, Käufer und Investoren berücksichtigen in der Due Diligence die KI-Compliance ausreichend. Sie sollten vor einer Kaufentscheidung sicherstellen, dass die im Target eingesetzten KI-Technologien im Einklang mit geltendem Recht stehen.

Wer haftet für fehlerhafte Entscheidungen der KI?

KI-Systeme agieren meistens nicht aufgrund menschlicher Einzelentscheidungen, sondern auf der Basis komplexer Algorithmen, die nicht immer vollständig nachvollziehbar sind. Wer also haftet für fehlerhafte Entscheidungen der KI?
Geltende nationale Haftungsvorschriften scheinen hier nicht zu passen. Insbesondere die Vorschriften über die verschuldensabhängige Haftung eignen sich nicht für die Beurteilung von Haftungsansprüchen für durch KI verursachte Schäden. Auch die neue Produkthaftungsrichtlinie ändert daran nicht viel, denn KI-Systeme sind oft nicht so transparent, dass Fehler in der Programmierung bzw. Entwicklung nachgewiesen werden können. Eine neue EU-Richtlinie könnte den Beweis erleichtern. Die geplante KI-Haftungsrichtlinie (KI-Haft-RL) soll künftig die außervertragliche Haftung für Schäden durch den Einsatz von künstlicher Intelligenz europaweit regeln. Art. 4 des Vorschlags regelt die Beweislast. Unter bestimmten Umständen soll ein ursächlicher Zusammenhang zwischen dem Verschulden des Beklagten und dem vom KI-System hervorgebrachten Ergebnis vermutet werden.
Der weitere Verlauf des Prozesses zur KI-Haftungsrichtlinie ist derzeit jedoch ungewiss. Es ist momentan nicht absehbar, ob und in welchem Zeitraum eine solche Richtlinie verabschiedet werden wird. Damit kann nicht prognostiziert werden, wann eine verbindliche Haftungsregelung für künstliche Intelligenz auf EU-Ebene tatsächlich bestehen wird.

Auch ethische Aspekte spielen eine Rolle

Neben rechtlichen Risiken bringen KI-Tools oftmals auch ethische Fragen mit sich. Die Folge von unethischem Verhalten sind Reputationsschäden.
Unternehmen sollten frühzeitig KI-Strategien und entsprechende Governance-Strukturen entwickeln, um sämtliche rechtlichen und ethischen Aspekte beim Einsatz von KI-Systemen ausreichend zu würdigen und damit Risiken zu vermeiden. Hierfür sollten Rechtsanwält:innen idealerweise Hand in Hand mit Compliance- & IT-Expert:innen, Data Scientists und Spezialist:innen für Cyber Security beraten.

 

Weitere Beiträge zum Thema

Der AI Act kommt: EU möchte Risiken von KI in den Griff bekommen

AI Act und generative KI: Was Unternehmen jetzt wissen sollten

ChatGPT bei der Arbeit nutzen? Nicht immer eine gute Idee

KI und Arbeitsrecht: Das bedeutet der AI Act für den HR-Bereich

Warum KI-Compliance zu jeder Due-Diligence-Prüfung gehört

Warum der einzigartige EU AI Act so folgenreich für die Compliance ist

Künstliche Intelligenz verantwortungsbewusst nutzen

AI Act: Das gilt für KI in Hochschulen und Forschung

 

 

Explore #more

31.03.2025 | In den Medien

Statement in der IZ zum Thema Mieterstrommodelle

Der Europäische Gerichtshof hält deutsche Sonderregeln bezüglich PV-Anlagen und Ähnlichem für unvereinbar mit EU-Recht. Nun drohen die Betreiber von Mieterstrommodellen unter die Regulatorik zu fallen…

28.03.2025 | KPMG Law Insights

Planfeststellungsverfahren: So können Projektmanager Behörden entlasten

Große Infrastrukturvorhaben wie Flughäfen, Fernstraßen oder Eisenbahntrassen berühren diverse öffentliche Belange und die privaten Interessen einer großen Zahl von Personen. Daher gibt es für solche…

24.03.2025 | KPMG Law Insights

Produktpiraterie im Online-Handel: Das sind die neuesten Tricks

Mit dem wachsenden Online-Handel floriert auch die Produktpiraterie. Ein großes Problem für Markeninhaber, aber auch eine Herausforderung für Online-Marktplätze und die Gesetzgeber. Was sind die…

24.03.2025 | Dealmeldungen

KPMG Law berät den Flughafen München beim Verkauf der aerogate München Gesellschaft für Luftverkehrsabfertigungen mbH

Die KPMG Law Rechtsanwaltsgesellschaft mbH (KPMG Law) hat die Flughafen München GmbH (FMG) rechtlich beim Verkauf ihrer Tochtergesellschaft aerogate München Gesellschaft für Luftverkehrsabfertigungen mbH (aerogate)…

21.03.2025 | KPMG Law Insights

Sondervermögen Infrastruktur: So gelingt der Verwaltung eine schnelle Umsetzung der Projekte

Das Sondervermögen Infrastruktur schafft die Chance, den jahrelangen Investitionsrückstau aufzuholen. Es ist Eile geboten. Verteidigungsfähigkeit, Wirtschaftswachstum und Dekarbonisierung erfordern eine funktionierende Verkehrs- und Bildungsinfrastruktur. Der…

21.03.2025 | In den Medien

Einbindung des Baus in die Planung – Gutachten zur Vereinbarkeit mit Haushalts- und Vergaberecht

Planung und Bau bilden eine Einheit für die Realisierung von Bauprojekten. Durch die Planung werden die zentralen Weichen für die Ausführung des Bauvorhabens gestellt. Gleichwohl…

20.03.2025 | KPMG Law Insights

AI Act: Das gilt für KI in Hochschulen und Forschung

Künstliche Intelligenz (KI) bietet zahlreiche Chancen für Forschung, Lehre und Verwaltung, wirft aber zugleich komplexe rechtliche Fragen auf. Die KI-Verordnung der Europäischen Union (AI

19.03.2025 | In den Medien

BUJ/KPMG Law Summit Transformation

Der Bundesverband der Unternehmensjuristinnen und Unternehmensjuristen e.V. (BUJ) und KPMG Law laden Sie herzlich zum BUJ Summit Transformation am 28. Mai 2025 nach Frankfurt am…

18.03.2025 | In den Medien

KPMG Law Statement in der Deutschen Verkehrszeitung DVZ: Planen im Kriechgang; DIHK sieht großes Potenzial für schnelleren Verkehrswegebau

Die Handelskammer in Arnsberg zeichnet regelmäßig die schlechtesten Landesstraßen im westfälischen Hellweg-Sauerland aus. Eine lustige Idee, wenn sie nicht so überdeutlich das Drama der Verkehrsinfrastruktur…

13.03.2025 | KPMG Law Insights

EuGH verschärft kartellrechtliche Haftung für Informationsaustausch

Der EuGH (C-298/22) hat zuletzt strenge Maßstäbe für den zulässigen Informationsaustausch zwischen Unternehmen festgelegt. Dadurch stehen Unternehmen jetzt umso mehr vor der Frage: Über was…

Kontakt

Francois Heynike, LL.M. (Stellenbosch)

Partner
Leiter Technologierecht

THE SQUAIRE Am Flughafen
60549 Frankfurt am Main

Tel.: +49-69-951195770
fheynike@kpmg-law.com

Dr. Daniel Taraz

Senior Manager

Fuhlentwiete 5
20355 Hamburg

Tel.: +49 40 360994-5483
danieltaraz@kpmg-law.com

© 2025 KPMG Law Rechtsanwaltsgesellschaft mbH, assoziiert mit der KPMG AG Wirtschaftsprüfungsgesellschaft, einer Aktiengesellschaft nach deutschem Recht und ein Mitglied der globalen KPMG-Organisation unabhängiger Mitgliedsfirmen, die KPMG International Limited, einer Private English Company Limited by Guarantee, angeschlossen sind. Alle Rechte vorbehalten. Für weitere Einzelheiten über die Struktur der globalen Organisation von KPMG besuchen Sie bitte https://home.kpmg/governance.

KPMG International erbringt keine Dienstleistungen für Kunden. Keine Mitgliedsfirma ist befugt, KPMG International oder eine andere Mitgliedsfirma gegenüber Dritten zu verpflichten oder vertraglich zu binden, ebenso wie KPMG International nicht autorisiert ist, andere Mitgliedsfirmen zu verpflichten oder vertraglich zu binden.

Scroll