KI sicher nutzen: Rechtliche Herausforderungen

Der Einsatz von KI nimmt deutschlandweit so rasant Fahrt auf, dass selbst die Expert:innen überrascht sind. Laut einer IDC-Studie setzen hierzulande bereits 78 Prozent aller Firmen auf Generative KI (GenAI). Die neue Technologie ist damit auf dem besten Weg, zur Normalität in der deutschen Arbeitswelt zu werden.

Mit der Einführung von ChatGPT, Google Gemini und anderen GenAI-Anwendungen betreten die Unternehmen allerdings nicht nur technisches Neuland, sie bewegen sich auch in einem Bereich, der neue Verantwortlichkeiten erfordert und Entscheidungsträger:innen wie Mitarbeitende vor rechtliche Herausforderungen stellt.

Verschiedene Medien haben berichtet, dass Samsung vor Kurzem die interne Nutzung von ChatGPT auf Eis gelegt hat. Der Grund: Ingenieur:innen hatten vertrauliche Besprechungsnotizen und geheimen Quellcode zum Debugging in das Chatfenster eingegeben, ohne zu bedenken, dass OpenAI diese Informationen zum Training seiner Software nutzen und ungehindert weiterverbreiten darf. 

Dieser Fall zeigt, wie schnell sich ein Unternehmen dem Vorwurf unzulänglicher Geheimhaltungsmaßnahmen ausgesetzt sehen kann. Denn den Anbietenden von GenAI kann man aufgrund der Nutzungsbedingungen in diesem Fall keine Rechtsverletzung vorwerfen. In der Verantwortung stehen die Mitarbeitenden, Manager:innen und die Geschäftsleitung der Unternehmen, die die Dienstleistung nutzen. Das gilt auch, wenn sie Betriebsgeheimnisse, personenbezogene oder vertrauliche Daten der Kund:innen preisgeben. Abhängig vom Ausmaß des Schadens und vom Tatmotiv reichen die Folgen von der Abmahnung über die fristlose Kündigung bis zu Schadenersatz und Freiheitsstrafe. 

Zwar ist es möglich, solche Informationen nachträglich löschen zu lassen, der beste Schutz besteht allerdings immer noch darin, in Prompts keine vertraulichen Inhalte zu verwenden. Ehe ein GenAI-Tool mit sensiblen Informationen über Kund:innen, Lieferant:innen und andere Stakeholder:innen gefüttert wird, muss anhand der Verträge und Vertraulichkeitsverpflichtungen geprüft werden, ob und in welchem Umfang solche Daten genutzt werden dürfen. 

In seinen allgemeinen Geschäftsbedingungen räumt OpenAI den Anwender:innen alle Nutzungsrechte am Text-Output von ChatGPT ein. Das klingt gut, hat aber einen Haken, denn nach deutschem Recht fällt KI-generierter Content nicht unter das Urheberrecht. Demnach dürfen Unternehmen ihre von der KI erzeugten Inhalte, etwa journalistische Artikel oder Softwarecode, zwar uneingeschränkt nutzen, allerdings genießt dieser Output keinerlei Schutz, weil das Urheberrecht nur persönliche geistige Schöpfungen schützt, also ausschließlich für Menschen gilt. 

Im Klartext bedeutet das: KI-generierte Inhalte können jederzeit vom Wettbewerb verwendet werden. Auch Unternehmen, die GenAI anbieten, dürfen die Inhalte als Trainingsmaterial frei nutzen, sofern nicht per Opt-out aktiv widersprochen wird. 

Ein weiteres Risiko besteht in der Verletzung von Urheberrechten Dritter. Dazu kommt es, wenn die KI auf Basis von urheberrechtlich geschützten Trainingsdaten neue Inhalte erstellt, die keinen ausreichenden Abstand zum Ursprungswerk wahren. In diesem Fall haftet das Unternehmen, das diese Trainingsdaten nutzt, weil es sie, unter Verletzung der Sorgfaltspflicht, ungeprüft veröffentlicht und verwertet hat.

Die Datenschutz-Grundverordnung (DSGVO) setzt hohe Standards für den Umgang mit personenbezogenen Daten. Entsprechend stehen die Unternehmen auch bei KI-Systemen in der Pflicht. Sie haben dafür zu sorgen, dass die Nutzung der KI-Systeme nur im Rahmen der DSGVO-Vorgaben geschieht. 

So ist zum Beispiel darauf zu achten, dass die Persönlichkeitsrechte von Mitarbeitenden, Kund:innen oder Bewerbenden gewahrt bleiben und niemand diskriminiert oder benachteiligt werden kann. Reichen die getroffenen Schutzmaßnahmen nicht aus, kann das Unternehmen gerichtlich belangt werden.

Ein zusätzliches Risiko besteht darin, dass die Verarbeitung von personenbezogenen Daten mit GenAI-Anwendungen selbstverständlich auch außerhalb der EU und damit ihrer Rechtsprechung erfolgen kann. 

Mit dem EU AI Act will die Europäische Union den Einsatz von KI-basierten Anwendungen in sichere Bahnen lenken. Ende 2023 einigten sich das Europäische Parlament und die EU-Mitgliedstaaten auf eine Version, die einen Ausblick auf das Gesetz gibt, das 2026 in Kraft treten soll. Darin werden KI-Anwendungen in drei Risikokategorien eingeteilt:

Unakzeptabel hohes Risiko:

KI-Anwendungen, die als Bedrohung für die Grundrechte und die Sicherheit von EU-Bürger:innen gesehen werden und für Unternehmen verboten sind, wie etwa Überwachungssysteme oder Social Scoring

Hohes Risiko: 

KI-Anwendungen, die nicht explizit verboten sind, aber zu Benachteiligungen führen können, zum Beispiel KI-Anwendungen zur Unterstützung der Auswahl im Rahmen von Bewerbungsverfahren

Geringes Risiko:

 Alle weiteren KI-Systeme, darunter Chatbots oder Videospiele mit KI

Um Sicherheitsrisiken und Verstöße gegen den Datenschutz zu vermeiden, sollten sich die betroffenen Unternehmen bei ihren internen Bewertungen bereits jetzt am risikobasierten Ansatz des EU AI Act orientieren. KI-Anwendungen mit unakzeptabel hohem Risiko sollten deaktiviert werden. Bei Hochrisiko-KI, etwa People Analytics oder HR-Recruiting, sind insbesondere die künftigen Anforderungen für die Nutzung zu beachten. So müssen Unternehmen für Transparenz sorgen und Vorgaben für technische Dokumentation und Ereignis-Aufzeichnungen einhalten. Zudem sollten sie sich mit den künftigen Anforderungen an die Genauigkeit, Robustheit und Cybersecurity der Systeme auseinandersetzen und ihre Prozesse an die Vorgaben der EU-Richtlinie anpassen.

Unabhängig davon empfiehlt es sich, ein grundsätzliches Framework für den Einsatz von GenAI-Anwendungen am Arbeitsplatz auszuarbeiten, dass Risiken minimiert und Fehlentwicklungen verhindert. Folgende Punkte sollten aufgenommen werden:

• Führen Sie ein umfassendes Compliance Risk Management Assessment durch und dokumentieren Sie die Ergebnisse.
• Erstellen Sie einen regulatorischen Leitfaden für die Nutzung von GenAI-Anwendungen.
• Rufen Sie eine KI-Taskforce ins Leben, die den Leitfaden durch Kommunikation und Steuerung fest in der Unternehmens- und Arbeitskultur verankert.
• Sorgen Sie für ein durchgängiges Monitoring der operativen Abläufe und definieren Sie die erforderlichen Melde- und Eskalationsprozesse.  
• Klären Sie, wer welchen Zugriff auf GenAI-Anwendungen im Unternehmen haben soll und für welche Mitarbeitenden die Nutzung zur Wahrung von Geschäftsgeheimnissen eingeschränkt oder verboten werden muss. Passen Sie die Richtlinien und Arbeitsanweisungen entsprechend an.

Zusammenfassend lässt sich sagen, dass bei der Nutzung von GenAI-Anwendungen im Unternehmen einige Punkte zu beachten sind. Die Risiken sind erheblich, sie wirksam einzudämmen ein schwieriges Unterfangen. Das sieht auch die Gesetzgebung so. Deshalb verpflichtet der EU AI Act Unternehmen künftig dazu, die Mitarbeitenden im Umgang mit GenAI zu schulen.  

Angesichts der dynamischen technologischen Entwicklung, der tiefgreifenden Auswirkungen auf die Arbeitsroutinen und der damit verbundenen Unsicherheiten dürften klassische Trainingsmaßnahmen hier jedoch schnell an ihre Grenzen stoßen. Die Unternehmen sollten deshalb frühzeitig in eine Lösung investieren, die ihre Mitarbeitenden bei Fragen zur korrekten, rechtskonformen Nutzung von GenAI-Anwendungen sowie zu entsprechenden Prozessen, Richtlinien und Verfahren direkt im Arbeitsablauf unterstützt.

Eine Digital Adoption Platform wie die tts performance suite kann mit genau dieser Unterstützung aufwarten: Sie bietet ganzheitliche Hilfe direkt im Workflow und sorgt dafür, dass die neuen Technologien effizient und Compliance-konform eingesetzt werden. Der einzigartige Side-by-Side-Ansatz der tts performance suite platziert ein Hilfefenster wie eine Sidebar neben der KI-Anwendung. So stehen den Nutzer:innen beispielsweise Informationen zu freigegebenen KI-Tools und Compliance-Regelungen sowie Hilfe zum Prompting und Sample Prompts zur Verfügung – ohne dass sie das KI-Tool verlassen müssen. Auf diese Weise wird sichergestellt, dass die Mitarbeitenden das GenAI-Programm jederzeit sicher und souverän im Einklang mit den KI-Richtlinien nutzen.