Menschliche Intelligenz schöpft aus Erfahrung, Emotion und Intuition. Künstliche Intelligenz (KI) hingegen verarbeitet Unmengen an Daten in Sekundenbruchteilen. Menschliche Intelligenz denkt voraus, zieht Schlüsse und wägt rechtliche und moralische Konsequenzen ab. Künstliche Intelligenz hingegen handelt exakt so, wie sie programmiert wurde und berücksichtigt rechtliche Stolpersteine nur, wenn der Mensch sie antizipiert hat. Menschliche Intelligenz kann sich flexibel an unvorhergesehene Situationen anpassen, während KI stur bestehende Muster reproduziert – selbst dann, wenn diese gegen Gesetze oder ethische Standards verstoßen. Hier zeigt sich, wie wichtig KI-Compliance ist.
Der Einsatz von KI-Systemen kann neben dem 2024 in Kraft getretenen AI Act zahlreiche weitere Rechtsvorschriften in unterschiedlichen Gesetzen verletzen. Die Regulierungsdichte nimmt stetig zu und mit ihr auch das Risiko von Compliance-Verstößen, Sanktionen und Klagen.
Datenschutz: Vorsicht bei der Eingabe von Informationen
Für die Verarbeitung personenbezogener Daten gilt die Datenschutz-Grundverordnung (DSGVO). Diese verlangt für die Weitergabe personenbezogener Daten eine Rechtsgrundlage, also entweder ein Gesetz oder die Einwilligung der Dateninhaber:innen. Für die Datenübermittlung in Drittländer gelten weitere spezielle Anforderungen.
Gibt man Informationen in Large Language Modelle wie ChatGPT, Copilot und Google Gemini ein, werden diese an die Server der Betreiber übermittelt und dort zur Erstellung der geforderten Texte verarbeitet. Die KI nutzt und speichert die Informationen außerdem zu Trainingszwecken. Die Server befinden sich oftmals in den USA, sodass die Daten die EU verlassen. Willigen die Nutzer:innen eventuell in die Datenverarbeitung ein, indem sie die Informationen in den Chatbot eingeben? Wohl eher nicht. Denn die Nutzer:innen können zum Zeitpunkt der Eingabe ihrer Daten nur schwer nachvollziehen, was damit passiert. Und sie wissen nicht, ob bei der Verarbeitung die Vorschriften der DSGVO eingehalten werden. An einer Einwilligung fehlt es offensichtlich, wenn die Person in den Chatbot gar nicht ihre eigenen Daten eingibt, sondern fremde.
Die KI verarbeitet Daten also regelmäßig ohne die erforderliche Rechtsgrundlage. Das ist ein Problem sowohl für den Betreiber des KI-Systems als auch für die Nutzer:innen.
Geistiges Eigentum: KI bedient sich auch bei geschützten Werken
Generative KI, die Texte, Bilder oder Videos erstellt, bedient sich sowohl bei den von Nutzer:innen eingegebenen Materialien als auch bei Inhalten aus dem Internet. Die Tools können aktuell nicht differenzieren zwischen geschützten und nicht-geschützten Inhalten. Zwar verarbeitet die KI die Inhalte zu neuen Werken. Die Urheberrechte der Originalurheber:innen können aber in Einzelfällen auch nach der Bearbeitung fortbestehen. Bei reinen Reproduktionen und Übersetzungen urheberrechtlich geschützter Werke ist das der Fall. Urheberrechtlich kritisch ist es auch, wenn eine KI einen Songtext wiedergibt, der noch nicht gemeinfrei ist, oder eine Szene aus einem bestehenden Drehbuch umschreibt. Wenn der Output nah am Originalwerk orientiert ist, kann die Umgestaltung nicht frei verwendet werden, insbesondere wenn wiedererkennbare Charaktere mit eigenem Urheberrechtsschutz betroffen sind. Die Erstellung von Fachtexten durch generative KI ist weniger problematisch, da Fachtexte nach dem EuGH hohe Anforderungen erfüllen müssen, um Urheberrechtsschutz zu genießen.
Klärungsbedürftig könnte im Einzelfall auch die Frage sein, wer Urheber der KI-generierten Werke ist. Insbesondere ob am Output der KI überhaupt ein Urheberrecht entstehen kann. Nach deutschem Urheberrecht kann lediglich ein Mensch Schöpfer eines Werkes und damit Urheber sein. Auch der EuGH verlangt eine freie kreative Entscheidung für die Entstehung eines Urheberrechts. Werke, die allein durch KI entstanden sind, erfüllen diese Voraussetzung eher nicht.
Arbeitsrecht: Wenn die KI rassistisch agiert
Immer öfter übernimmt die KI auch Tätigkeiten des HR-Bereichs, zum Beispiel im Recruiting. Wird sie zur Bewerberauswahl eingesetzt, orientiert sie sich möglicherweise an Merkmalen der in der Vergangenheit eingestellten Kandidat:innen. Waren das in der Mehrzahl weiße Männer, bevorzugt das KI-Tool aufgrund fehlender anderweitiger Programmierung eventuell männliche Kandidaten mit weißer Hautfarbe. In Deutschland wäre das ein klarer Verstoß gegen das Allgemeine Gleichbehandlungsgesetz (AGG). Generell hat künstliche Intelligenz ein hohes Diskriminierungspotenzial. Solche Verstöße sollten Unternehmen daher unbedingt antizipieren und die KI entsprechend programmieren.
Beim Einsatz von KI im Unternehmen hat auch der Betriebsrat mitzubestimmen. Zumindest dann, wenn der Arbeitgeber die Nutzung vorschreibt oder aber eigene KI-Systeme zur Verfügung stellt.
Der AI Act ist eine große rechtliche Herausforderung
Aktuell die größte regulatorische Herausforderung ist wohl die am 1. August 2024 in Kraft getretene KI-Verordnung (AI Act) und die zugehörige KI-Haftungsrichtlinie. Die Regelungen des AI Act werden gestaffelt wirksam; die ersten Vorgaben gelten bereits ab Februar 2025. Bis zu 35 Millionen Euro oder 7 Prozent des gesamten weltweiten Jahresumsatzes sollen die Bußgelder betragen können – mehr als nach der DSGVO.
Der AI Act betrifft nahezu alle Unternehmen, die KI-Systeme in der EU in Verkehr bringen, anbieten oder nutzen. Verpflichtet sind Anbieter, Einführer, Händler und Nutzende von KI-Produkten und -Diensten in der EU.
Die Verordnung verfolgt einen risikobasierten Ansatz und teilt KI-Systeme in Risikoklassen ein. Entscheidend ist dabei die Art der Anwendung. Systeme mit unannehmbarem Risiko werden verboten, während Hochrisikosysteme strenge Anforderungen erfüllen müssen. Für General Purpose AI (GPAI)-Modelle gelten eigene Anforderungen. Diese Modelle, die vielseitige Aufgaben erfüllen können, werden in gewöhnliche und systemisch riskante GPAI-Modelle eingeteilt.
KI-Compliance gehört in die Due Diligence
Wer im Zeitalter von KI ein Unternehmen erwirbt, kauft im Prinzip eine Black Box und erfährt erst später, ob sie einen Schatz oder eine tickende Zeitbombe enthält. Es sei denn, Käufer und Investoren berücksichtigen in der Due Diligence die KI-Compliance ausreichend. Sie sollten vor einer Kaufentscheidung sicherstellen, dass die im Target eingesetzten KI-Technologien im Einklang mit geltendem Recht stehen.
Wer haftet für fehlerhafte Entscheidungen der KI?
KI-Systeme agieren meistens nicht aufgrund menschlicher Einzelentscheidungen, sondern auf der Basis komplexer Algorithmen, die nicht immer vollständig nachvollziehbar sind. Wer also haftet für fehlerhafte Entscheidungen der KI?
Geltende nationale Haftungsvorschriften scheinen hier nicht zu passen. Insbesondere die Vorschriften über die verschuldensabhängige Haftung eignen sich nicht für die Beurteilung von Haftungsansprüchen für durch KI verursachte Schäden. Auch die neue Produkthaftungsrichtlinie ändert daran nicht viel, denn KI-Systeme sind oft nicht so transparent, dass Fehler in der Programmierung bzw. Entwicklung nachgewiesen werden können. Eine neue EU-Richtlinie könnte den Beweis erleichtern. Die geplante KI-Haftungsrichtlinie (KI-Haft-RL) soll künftig die außervertragliche Haftung für Schäden durch den Einsatz von künstlicher Intelligenz europaweit regeln. Art. 4 des Vorschlags regelt die Beweislast. Unter bestimmten Umständen soll ein ursächlicher Zusammenhang zwischen dem Verschulden des Beklagten und dem vom KI-System hervorgebrachten Ergebnis vermutet werden.
Der weitere Verlauf des Prozesses zur KI-Haftungsrichtlinie ist derzeit jedoch ungewiss. Es ist momentan nicht absehbar, ob und in welchem Zeitraum eine solche Richtlinie verabschiedet werden wird. Damit kann nicht prognostiziert werden, wann eine verbindliche Haftungsregelung für künstliche Intelligenz auf EU-Ebene tatsächlich bestehen wird.
Auch ethische Aspekte spielen eine Rolle
Neben rechtlichen Risiken bringen KI-Tools oftmals auch ethische Fragen mit sich. Die Folge von unethischem Verhalten sind Reputationsschäden.
Unternehmen sollten frühzeitig KI-Strategien und entsprechende Governance-Strukturen entwickeln, um sämtliche rechtlichen und ethischen Aspekte beim Einsatz von KI-Systemen ausreichend zu würdigen und damit Risiken zu vermeiden. Hierfür sollten Rechtsanwält:innen idealerweise Hand in Hand mit Compliance- & IT-Expert:innen, Data Scientists und Spezialist:innen für Cyber Security beraten.
Weitere Beiträge zum Thema
Der AI Act kommt: EU möchte Risiken von KI in den Griff bekommen
AI Act und generative KI: Was Unternehmen jetzt wissen sollten
ChatGPT bei der Arbeit nutzen? Nicht immer eine gute Idee
KI und Arbeitsrecht: Das bedeutet der AI Act für den HR-Bereich
Warum KI-Compliance zu jeder Due-Diligence-Prüfung gehört
Warum der einzigartige EU AI Act so folgenreich für die Compliance ist
Künstliche Intelligenz verantwortungsbewusst nutzen
AI Act: Das gilt für KI in Hochschulen und Forschung
