Rechtliche Aspekte bei der Verwendung von KI-Systemen in Unternehmen

Montag, 03. Juni 2024 um 08:00 von Michael Rohrlich in Webentwicklung

KI-und-Recht — Bild: Shutterstock, Sansoen Saengsakaorat

Bilder und Videos erzeugen, Texte übersetzen, Ideen sammeln und noch vieles mehr – es scheint aktuell nichts zu geben, was eine Künstliche Intelligenz (KI) nicht kann. KI-Anwendungen, wie ChatGPT, Midjourney, Gemini, Sora, Stable Diffusion, Llama & Co. sind zwar erst seit Ende 2022 auf dem Massenmarkt verfügbar, sind aber schon jetzt kaum mehr wegzudenken. Haben anfangs viele noch eher privat ausprobiert, deren Möglichkeiten auszuloten, erkennt man immer mehr den beruflichen und geschäftlichen Mehrwert von KI, insbesondere durch Effizienzsteigerungen. Moderne KI-Tools können vielleicht noch längst nicht alles, erledigen jedoch viele Aufgaben schneller und kostengünstiger als Menschen.

Es hängt entscheidend davon ab, wie präzise die Arbeitsanweisungen für KI-Anwendungen formuliert werden. Je genauer diese Vorgaben ausfallen und je besser also die Textbefehle (sog. Prompts) sind, desto besser ist auch das Ergebnis. Es gibt hier zwei wichtige Dinge zu beachten:

1. Die meisten KI-Tools sind keine Online-Suchmaschinen wie Google, Bing & Co. Sie haben einen bestimmten Wissensstand, der zwar aus einer schier unüberschaubaren Menge an Daten besteht, der aber eben nicht in Echtzeit mit den aktuellen Informationen aus dem Internet übereinstimmt. Es gibt Ausnahmen, die die Regel bestätigen: Microsoft hat beispielsweise die OpenAI-Tools ChatGPT und Dall-E mit seiner Suchmaschine Bing verbunden, d. h. die Vorteile beider Technologien miteinander kombiniert. Überdies existieren Angebote, wie Perplexity oder YouPro, die ebenfalls eine KI-Live-Suche beinhalten. Zudem wird OpenAI selbst wohl bald eine KI-gestützte Suchmaschine herausbringen. Aber auch ChatGPT erlaubt in seiner kostenpflichtigen Version verschiedene Erweiterungen einzubinden, u. a. eine Online-Suche.

2. KI-Tools sind »Blackboxes«. Das heißt, außer den Herstellern/Anbietern weiß wohl niemand so genau, was »unter der Motorhaube« passiert. Bei KI-Erzeugnissen spielt jedenfalls auch immer ein gewisser Zufallsfaktor eine Rolle. Deshalb kommen bei jedem Einsatz zumindest leicht unterschiedliche Ergebnisse heraus, auch wenn man exakt denselben Prompt eingibt.

KI-Anwendungen sind nicht intelligent im menschlichen Sinne. Sie haben lediglich für bestimmte Aufgaben mit Hilfe von riesigen Datenmengen trainiert, um bestimmte Muster zu erkennen, daraus Erkenntnisse abzuleiten und auf Anforderung »neue« Inhalte zu erzeugen. Werden Text-zu-Bild-Generatoren, wie etwa Midjourney oder Dall-E, aufgefordert, das Bild einer schlafenden Katze zu erzeugen, dann liefern diese Tools entsprechende Ergebnisse. Allerdings »versteht« die KI nicht, was eine Katze ist, sie hat lediglich die charakteristischen Eigenschaften einer Katze antrainiert bekommen.

Bei aller Begeisterung für die Einsatzmöglichkeiten von KI darf der juristische Rahmen nicht außer Acht gelassen werden. Wer sich von Künstlicher Intelligenz eine Produktbeschreibung formulieren, einen fremdsprachigen Text ins Deutsche übersetzen oder ein Bild nach seinen Vorstellungen erstellen lässt, sollte insbesondere im geschäftlichen Umfeld bestimmte Regeln befolgen, um nicht in die Abmahnfalle zu tappen. Denn es drohen vielfältige Gefahren, vornehmlich aus den Gebieten Allgemeines Persönlichkeitsrecht, Urheberrecht und Datenschutzrecht, die wir uns im Folgenden näher ansehen:

Schutz des Allgemeinen Persönlichkeitsrechts

Bei Foto- oder Videoaufnahmen, auf denen Personen erkennbar abgebildet werden, ergeben sich weitere Problemstellungen. Denn gemäß Art. 1 und 2 des Grundgesetzes (GG) steht jedem Menschen u. a. das Recht am eigenen Bild zu. Jeder hat das Recht, selbst zu entscheiden, ob ein Bild von ihm aufgenommen und wozu dies dann ggf. genutzt werden darf. Die rechtlichen Grundlagen für den Umgang mit solchen Personenaufnahmen sind im Kunsturheberrechtsgesetz (KUG) geregelt. Da Personenfotos regelmäßig auch als Daten mit Personenbezug einzustufen sind, muss parallel auch die DSGVO Beachtung finden.

Nach den KUG-Vorgaben ist die Nutzung von Foto- oder Videoaufnahmen von Personen ohne deren Zustimmung grundsätzlich nicht gestattet; das gilt auch für die Verwendung im Rahmen eines KI-Prompts. Allerdings kann im Einzelfall fraglich sein, ob die abgebildete Person »erkennbar« im Rechtssinne ist. Des Weiteren kann es sich um eine Aufnahme handeln, für deren Verwendung ausnahmsweise keine Einwilligung eingeholt werden muss. Dies ist beispielsweise der Fall, wenn die abgebildete Person bloßes »Beiwerk« neben einem im Fokus der Aufnahme stehenden Gebäude ist oder wenn es sich um eine Übersichtsaufnahme von einer öffentlichen Veranstaltung handelt (vgl. § 23 KUG).

Praxishinweis: Bei Aufnahmen von Menschen, die von einer KI erzeugt wurden und existierenden Person gleichen oder zumindest stark ähneln, kann es sich ebenfalls um eine – wenn auch zumeist unabsichtliche – Verletzung des Rechts am eigenen Bild der betreffenden Person handeln.

Das Allgemeine Persönlichkeitsrecht umfasst aber u. a. auch das Recht an der eigenen Stimme. Die Verwendung von KI-Systemen, die auf Basis von Sprachaufnahmen einer Person deren Stimme »synthetisieren« und diese dann täuschend echt imitieren können, ist rechtlich ebenfalls problematisch. Die Erstellung bzw. Nutzung der digitalen »Kopie« einer menschlichen Stimme ohne Zustimmung der betreffenden Person ist regelmäßig unzulässig. Diesbezüglich gelten die gleichen Grundsätze wie beim Recht am eigenen Bild. Jedoch gibt es für die Stimme kein dem KUG vergleichbares Gesetz.

Schutz von Content durch das Urheberrecht

Die Frage, wem das Urheberrecht an KI-Werken zusteht und wer sie nutzen darf, ist von entscheidender Bedeutung. Des Weiteren stellt sich die Frage, ob der Einsatz zu privaten oder auch zu geschäftlichen Zwecken erfolgen darf. Und: Dürfen fremde Werke für KI-Trainingszwecke genutzt werden, ohne die Urheber vorab zu fragen? Leider sind diese und noch weitere urheberrechtliche Fragestellungen bisher nicht alle abschließend geklärt.

Das deutsche Urheberrecht sieht in § 2 Abs. 1 Urheberrechtsgesetz (UrhG) verschiedene Arten von Werken vor, die generell schutzfähig sind. Dazu gehören insbesondere Texte, Musikstücke, Grafiken, Fotos, Videos oder auch Code sowie Datenbanken. Die Entstehung von Urheberrecht setzt einen hauptsächlich menschlichen Schaffensakt voraus, unabhängig von der jeweiligen Werk-Art. Wer mit einem Pinsel Farbe auf eine Leinwand malt, wer mit einem Smartphone ein Foto aufnimmt und wer eine Produktbeschreibung in eine Textverarbeitung tippt, erschafft dadurch jeweils ein urheberrechtsfähiges Werk. Sofern es sich nicht um eine alltägliche, eher routinemäßige Leistung handelt, etwa einen simplen Kreis oder eine reine Auflistung von technischen Merkmalen eines Produkts, unterfällt das Ergebnis regelmäßig dem Schutz des Urheberrechts. Denn hierbei entspringt das Ergebnis hauptsächlich menschlicher Kreativität. Einem Tier oder einer Maschine werden solche Leistungen – zumindest im Rahmen des Urheberrechts – nicht zugestanden.

Praxishinweis: Da bei der Nutzung von KI-Anwendungen regelmäßig kein menschlicher Schaffensakt vorliegt, fallen KI-Erzeugnisse auch nicht unter den Schutz des Urheberrechts. Sie werden als gemeinfrei bezeichnet, sodass sie von jedermann frei privat und auch geschäftlich genutzt werden können.

Allerdings unterfällt nicht jedes Werk automatisch dem Urheberrecht. Es muss eine sog. Schöpfungs- oder Schaffenshöhe erreicht werden. Leider gibt es keine klare Linie, um zu erkennen, wann dies der Fall ist. Daher kann erst nachträglich anhand eines konkreten Werks festgestellt werden. Allerdings sind die Anforderungen hier nicht allzu hoch.

Es ist jedoch in jedem Fall die Handlung eines Menschen erforderlich. Bei ChatGPT & Co. gibt zwar der Mensch den Prompt ein, die eigentliche »schöpferische« Leistung jedoch erbringt die KI. In Abhängigkeit von Umfang, Präzision und Kreativität des Prompts kann es zu juristischen Grenzfällen kommen, sodass der KI kaum nennenswerter Spielraum bei der Erzeugung des Werks bleibt. Es muss zukünftig durch die Gerichte entschieden werden, ob in derartigen Konstellationen unter Umständen doch eine Urheberschaft des »Prompt-Eingebers« vorliegen kann.

Schutz eigener Inhalte vor der Nutzung zum KI-Training?

Einige KI-Systeme wurden mit Hilfe von unzähligen, offen im Internet verfügbaren Inhalten trainiert – und zwar ohne die eigentlichen Urheber dieser Inhalte zu informieren oder gar zu entlohnen. Für diesen Vorgang gibt es im deutschen Urheberrecht seit Mitte 2021 entsprechende Regelungen (§§ 44d, 60d UrhG). Das sog. Text- und Data-Mining, also das »KI-Training«, ist speziell für den Bereich der wissenschaftlichen Forschung zulässig und kann von den Urhebern nicht verhindert werden. Allerdings sind die Voraussetzungen für die Forschungszwecke sowie an die Forschungsstellen sehr eng gefasst. Auch außerhalb des Bereichs der wissenschaftlichen Forschung ist das Text- und Data-Mining grundsätzlich zulässig. Allerdings besteht die Möglichkeit zum Widerspruch gegen die Nutzung der Daten (sog. Opt-out-Regelung). In diesem Fall dürfen die jeweiligen Daten nicht erfasst werden.

Praxishinweis: Die genaue Vorgehensweise zur wirksamen Erklärung eines solchen Nutzungsvorbehalts ist jedoch bisher nicht abschließend geklärt. Eine Möglichkeit wäre die Formulierung von entsprechenden Nutzungsbestimmungen, beispielsweise im Rahmen des eigenen Impressums. Eine weitere bestünde in der Einbindung entsprechender Anweisungen in der »robots.txt«, die als Datei ohnehin auf zahlreichen Web-Servern liegt und insbesondere Anweisungen für Suchmaschinen-Roboter enthält. Um den Nutzungsvorbehalt jedoch wirksam erklären zu können, bedarf es in Zukunft internationaler Standards und Rechtsvorschriften.

Schutz personenbezogener Daten durch das Datenschutzrecht

Die Vorgaben der Datenschutzgrundverordnung (DSGVO) sind bei der Verarbeitung von Daten mit Personenbezug zu berücksichtigen (z. B. Name, Anschrift, Kontaktdaten, Geburtsdaten, ärztliche Diagnosen, allgemeine äußerliche Merkmale oder auch IP-Adressen). Da dies sehr weitgehend zu verstehen ist, sollte das Datenschutzrecht immer mitgedacht werden.

Praxishinweis: Auch wenn im Einzelfall kein Personenbezug angenommen wird, können es sich gleichwohl um sensible Daten handeln, beispielsweise um Geschäftsgeheimnisse. Diese unterliegen eigenen gesetzlichen Regelungen, insbesondere dem Geschäftsgeheimnisgesetz (GeschGehG).

Auch wenn inzwischen zahlreiche KI-Tools die Annahme von Eingaben von Personendaten, z. B. Namen, verweigern: Wer beispielsweise Name, Anschrift und Geburtsdatum eines Bewerbers in einem KI-Tool nutzt, um eine Absage als Vorlage für eine entsprechende E-Mail erstellen zu lassen, der erhält – abhängig vom jeweiligen Prompt – einen zumindest professionell aussehenden Text. Allerdings kann man sich nicht sicher sein, ob die KI die aktuelle Rechtslage dabei beachtet. Außerdem müsste eine Rechtsgrundlage bestehen, damit die Bewerberdaten überhaupt in die KI eingeben dürfen. Im Zweifel benötigt man die Einwilligung der betreffenden Person, die diese im Vorfeld erteilen muss. Dies ist besonders im Rahmen eines wirtschaftlichen Abhängigkeitsverhältnisses, wie es zwischen Arbeitgeber und (zukünftigen) Arbeitnehmer besteht, leider nicht ganz einfach. So sieht etwa § 26 Bundesdatenschutzgesetz (BDSG) vor, dass für die Beurteilung der Freiwilligkeit der Einwilligung insbesondere die im Beschäftigungsverhältnis bestehende Abhängigkeit der beschäftigten Person sowie die Umstände, unter denen die Einwilligung erteilt worden ist, zu berücksichtigen sind. Freiwilligkeit kann danach z. B. dann vorliegen, wenn für die Person ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird oder sie mit dem Arbeitgeber gleichgelagerte Interessen verfolgt. Zudem hat die Einwilligung schriftlich oder elektronisch zu erfolgen. Zusätzlich muss beachtet werden, dass die Einwilligungserklärung jederzeit ohne Angabe von Gründen und ohne etwaige Nachteile frei widerrufen werden kann.

Besonders wichtig wird die Thematik des Datenschutzes beim Einsatz KI-gesteuerter Chatbots. Hier besteht ein großer Unterschied zwischen herkömmlichen regelbasierten Chatbots und den immer öfter anzutreffenden generativen, KI-gestützten Chatbots: Erstere sind regelbasiert bzw. absichtsbasiert und können nur solche Antworten liefern, die vorab hinterlegt wurden. Generative Chatbots finden auf jede Frage eine individuelle Antwort, denn sie nutzen eine spezielle Form der generativen Künstlichen Intelligenz, nämlich sogenannte Large Language Models (LLMs).

Wenn generative Chatbots genutzt werden, muss datenschutzrechtliches Fingerspitzengefühl an den Tag gelegt werden, denn diese werden häufig im Supportbereich eingesetzt, bei dem es in vielen Fällen um individuelle Situationen geht und u. U. private Informationen ausgetauscht werden. Die meisten Chatbots – im Einzelnen deren Plattform, LLM und Hosting – sind nicht auf unternehmenseigenen Servern untergebracht, sondern werden von externen Anbietern oftmals nur angemietet. Genau hier stellt sich die Frage, wo Datenspeicherung und Datennutzung stattfinden und wo sich der Hosting-Standort befindet.

Bei Nutzung eines KI-Tools aus einem Nicht-EU-Staat, beispielsweise aus den USA oder aus Asien, ist eine zusätzliche Legitimation erforderlich. Dazu sind einerseits spezielle Verträge mit dem KI-Anbieter abzuschließen. Andererseits muss sich die Einwilligung ausdrücklich auch auf den Datentransfer an einen Empfänger außerhalb der Europäischen Union beziehen. Der entsprechende juristische Klärungsaufwand für Unternehmen ist hierbei nicht unerheblich.

Praxishinweis: Bei der Verarbeitung personenbezogener Daten, sei es mit oder ohne KI-Unterstützung, ist zudem eine nachvollziehbare Dokumentation erforderlich. Insbesondere sollten genutzte KI-Anwendungen als solche im Verzeichnis von Verarbeitungstätigkeiten (VVT) nach Art. 30 DSGVO dokumentiert werden.

Nach Maßgabe von Art. 13, 14 DSGVO besteht die Pflicht, bestimmte Informationen proaktiv bereitzustellen (z. B. Anschrift und Kontaktdaten der für die Datenverarbeitung verantwortlichen Stelle, die Zwecke oder auch die Rechtsgrundlage der Verarbeitung). Auch hierbei sind etwaige genutzte KI-Tools zu berücksichtigen – auch wenn oftmals die Schwierigkeit besteht, die entsprechenden Angaben seitens der KI-Hersteller zu bekommen.

Darüber hinaus muss im Rahmen der geschäftlichen KI-Nutzung evtl. eine sog. Datenschutz-Folgenabschätzung (DSFA) durchgeführt werden. Dies gilt gemäß Art. 35 DSGVO jedenfalls dann, wenn mit der geplanten Datenverarbeitung ein hohes Risiko verbunden ist. Das »Risiko« ist in diesem Kontext nicht im Sinne des unternehmerischen Risikos zu verstehen, sondern bezeichnet das Risiko für die Menschen, deren Daten verarbeitet werden (z. B. durch Diskriminierung, Identitätsdiebstahl, Rufschädigung etc.). Die DSFA ist ein spezielles Verfahren, bei dessen Durchführung etwaige Risiken identifiziert, bewertet und nach Möglichkeit technische oder organisatorische Maßnahmen (TOMs) zur Risikoreduzierung festgelegt werden müssen. Am Ende einer solchen DSFA steht dann entweder das Ergebnis, dass zumindest kein hohes Risiko mehr besteht oder das Risiko nicht in ausreichender Weise reduziert werden konnte. Im Falle eines nach wie vor hohen Risikos muss die zuständige Datenschutzaufsichtsbehörde eingeschaltet und um Stellungnahme gebeten werden, bevor der Datenverarbeitungsvorgang in die Praxis umgesetzt wird.

Über Michael Rohrlich: Michael Rohrlich ist Mitglied im WE-Expertenrat. Als Rechtsanwalt liegen seine Tätigkeitsschwerpunkte in den Bereichen E-Commerce, Datenschutz und KI. Neben seiner anwaltlichen Tätigkeit ist er regelmäßig als Fachautor für diverse Print- und Online-Publikationen tätig und zudem Buchautor (u. a. »Online-Recht – Rechtssichere Websites, Online-Shops und Onlinemarketing-Kampagnen«, erschienen im Webmasters Press Verlag, oder auch »Recht für Webshop-Betreiber: Das umfassende Handbuch«). Darüber hinaus konzipiert und präsentiert Michael Rohrlich Video-Trainings mit juristischen Inhalten u. a. für LinkedIn Learning / Microsoft (ehem. video2brain).

Michael Rohrlich ist zudem Autor und Kursentwickler für die Weiterbildung und Zertifizierung zum »Datenschutzbeauftragten« und hat für die Weiterbildungen und Zertifizierungen zum »Experte/Expertin für Verkaufspsychologie im Web« und dem »Diploma in Digital Marketing« Classes und Inhalte zum Online-Recht beigetragen.

Weitere Aspekte zum Thema KI in der Berufswelt sind im Blogbeitrag »KI im Online Marketing: Chancen und Risiken« zu finden.

Tags: KI , Datenschutz , Online-Recht

Twittern Empfehlen Xing

Kommentare

Stephane Wietzel

Der Artikel gibt einen umfassenden Überblick über die rechtlichen Herausforderungen beim Einsatz von KI in Unternehmen.
Besonders wichtig erscheinen die Aspekte Datenschutz, Urheberrecht und Persönlichkeitsrechte.
Unternehmen sollten frühzeitig prüfen, ob ihre KI-Systeme rechtskonform sind und gegebenenfalls Anpassungen vornehmen.
Insgesamt zeigt der Artikel, dass der Einsatz von KI sorgfältig geplant und begleitet werden muss, um rechtliche Risiken zu minimieren und das volle Potenzial auszuschöpfen.
Vielen Dank, sehr interessant.

am Freitag, 14. Juni 2024, 10:26

Hinterlasse einen Kommentar:

Name:*

(notwendig)

E-Mail:*

(notwendig, wird nicht angezeigt)

E-Mail wiederholen:*

(E-Mail wiederholen)

Website:

(optional, Spam und Werbe-Links werden gelöscht)

Kommentar:*

Ich stimme den Blog-Regeln zu. *

Um Missbrauch zu vermeiden sowie den Überblick über die veröffentlichten Kommentare zu behalten, werden Name, E-Mail-Adresse, Inhalt des Kommentars und (sofern Sie diese eingegeben haben) die URL Ihrer Website gespeichert. Ich erkläre mich mit der Speicherung meiner Daten einverstanden. Die Datenschutzerklärung habe ich zur Kenntnis genommen.*

Bitte geben Sie die Zeichen aus dem folgenden Bild ein*

Online Marketing

Web- und Medieninformatik

Web-Entwicklung

Webdesign

Projektmanagement

Datenschutz

Administration