Die Integration von KI in die Unternehmensstrategie bietet große Chancen, birgt aber
auch Herausforderungen an Compliance und Regulatorik. Die rechtssichere Integration von
KI in die Unternehmensstrategie ist kein Luxus, sondern eine juristische Notwendigkeit, denn
in vielen Fällen drohen bei Nichtbeachtung drakonische Strafen.
Bei den Verantwortlichen für KI-Systeme erzeugen die Fragen zu Compliance und
Regulatorik daher eher ungute Gefühle. Wer ist sich schon sicher, an alles gedacht zu haben?
Sind die richtigen Maßnahmen getroffen worden, um die nötigen Rahmenbedingungen zum
sicheren Betrieb von KI-Systemen zu schaffen und den Regelungen zu genügen?
Dieser Beitrag ist Teil II der gemeinsamen Blog-Serie der internationalen Großkanzlei CMS
und viadee. Wir beleuchten darin die besonderen Herausforderungen, die der Einsatz von KI
mit sich bringt, und zeigen ab der nächsten Folge anhand konkreter Anwendungsbeispiele auf,
wie – ausgewählte – rechtliche Anforderungen in die Praxis umgesetzt werden können.
Fortsetzen möchten wir den Teil 1 der Serie mit einem Blick auf Datenschutz, gesetzlichen
Grundlagen und Haftung.
3. Datenschutz
KI-Systeme, die auf großen Datenmengen basieren, müssen sicherstellen, dass der Schutz
personenbezogener Daten gewährleistet ist. Zu beachten ist insofern insbesondere:
- Rechtmäßigkeit der Verarbeitung: KI-gestützte Systeme dürfen personenbezogene Daten
nur dann verarbeiten, wenn eine gültige Rechtsgrundlage vorliegt, z.B. die Einwilligung der
betroffenen Person oder die Erforderlichkeit der Verarbeitung zur Erfüllung eines Vertrages. - Transparenz: Unternehmen müssen darüber informieren, wie personenbezogene Daten
verarbeitet werden. - Automatisierte Entscheidungen: Die DSGVO legt fest, dass grundsätzlich keine
ausschließlich auf automatisierten Verarbeitungen beruhenden Entscheidungen getroffen
werden dürfen, die rechtliche Folgen haben. Wenn KI-Systeme in diesem Bereich tätig
werden, müssen somit ausreichende Schutzmechanismen wie die Möglichkeit zur
menschlichen Intervention bestehen. - Datenminimierung: Die Datenmenge, die für das Training und die Nutzung von KI benötigt
wird, muss auf das Notwendigste beschränkt sein. - Datenanonymisierung: Die Anonymisierung von Daten wird häufig als der ideale
Lösungsansatz angesehen, um personenbezogene Informationen zu schützen. Allerdings
sind die Anforderungen an eine datenschutzrechtlich wirksame Anonymisierung äußerst hoch. Eine solche ist insbesondere dann schwierig, wenn der Ursprungsdatensatz weiterhin vorliegt.
4. Schaffung vertraglicher Grundlagen für den Einsatz von KI
Im Falle der Nutzung von KI-Lösungen dritter Anbieter (z.B. Microsoft, OpenAI, Google, etc.) sind
auch die vertraglichen Grundlagen einer Prüfung zu unterziehen. Zu beachten ist insofern
insbesondere:
- Lizenzen: Es muss sichergestellt werden, dass die erworbene Lizenz für die Nutzung der KI-
Lösung den vorgesehenen Nutzungszwecken entspricht. Besonders relevant ist hierbei die
Frage der Rechte am Output: Darf der Output wie geplant verwendet werden? Ist es gestattet, den Output an Dritte weiterzugeben? Und behält sich der Anbieter der KI möglicherweise eigene Rechte am Output vor? In diesem Kontext stellen sich auch eine Reihe urheberrechtlicher Grundsatzfragen. - Erforderliche Rechte am Input: Wenn Daten für KI-Anfragen oder zu Trainings- bzw.
Validierungszwecken verwendet werden sollen, muss über die datenschutzrechtlichen
Bestimmungen hinaus gewährleistet sein, dass bei der Nutzung der Daten keine Rechte
Dritter verletzt werden. Bei der Verwendung von Dritt-Daten sollte geprüft werden, ob
ausreichende Rechte zur Nutzung der Daten vorliegen oder ob ggf. noch eine explizite
Erlaubnis des jeweiligen Rechteinhabers eingeholt werden muss. - Auftragsverarbeitungsvereinbarung: Sofern im KI-System eines Dritten personenbezogene Daten verarbeitet werden, ist in der Regel der Abschluss einer AVV notwendig.
5. Haftung und Verantwortung
Ein weiterer wichtiger rechtlicher Aspekt bei der Nutzung von KI ist die Frage der Haftung. Wer ist
verantwortlich, wenn ein KI-System Fehler macht, Schäden verursacht oder gegen gesetzliche
Vorgaben verstößt? Zu beachten ist insofern z.B.:
- Herstellerhaftung: In vielen Fällen ist der Hersteller eines KI-Systems für die Fehlerhaftigkeit seiner Produkte verantwortlich. Dies betrifft insbesondere KI-Anwendungen, die autonom agieren, wie etwa in der Automobilbranche bei selbstfahrenden Autos. Hier stellt sich die Frage, ob der Hersteller, der Entwickler oder auch der Betreiber für den Schaden haftet.
- Produkt- und Betriebshaftung: In vielen Jurisdiktionen können Unternehmen für durch
fehlerhafte KI-Systeme oder fehlerhaften Output verursachte Schäden auch außerhalb der
Herstellerhaftung haftbar gemacht werden. - Verantwortlichkeit und Zurechnung: Wenn ein KI-Modell voreingenommene oder
ungerechte Entscheidungen trifft (z.B. bei der Kreditvergabe oder der Einstellung von
Personal), stellt sich die Frage, ob und in welchem Maße Unternehmen zur Verantwortung
gezogen werden können. Ebenso ist in Betracht zu ziehen, ob und unter welchen
Bedingungen Erklärungen einer KI dem einsetzenden Unternehmen zugerechnet werden
können/müssen.
In dem nächsten Teil der Serie widmen wir uns einem ersten Praxisbeispiel und werden
dieses analysieren.
Ansprechpartner
Thorsten Hemme ist Experte für IT-Recht und Digital Business. Zu den Schwerpunkten seiner Tätigkeit gehört die Gestaltung von IT-Verträgen aller Art, u.a. Softwareentwicklungs-, Integrations-/Implementierungs-, Cloud-/SaaS- sowie (sonstige) IT-Outsourcing-Verträge. Als IT-Rechtsexperte war Thorsten Hemme an zahlreichen komplexen und großvolumigen IT-Projekten beteiligt und verfügt daher über umfassende Erfahrung über die besonderen Herausforderungen solcher Projekte .
Dirk Langheim ist beratender Manager bei der viadee IT-Unternehmensberatung und unterstützt Kunden bei organisatorischen und strategischen Themen mit den Schwerpunkten Product Ownership und agile Skalierung. Er berät Kunden bei der Einführung von Innovationmanagementsystemen und ist seit über 25 Jahren in verschiedenen Rollen in der IT unterwegs.
Wenn Sie an weiteren Formaten zu diesem Thema interessiert sind, melden sich gerne bei unserem Webinar dem gleichnamigen Titel „KI-Anwendungen rechtssicher einsetzen“ an, in dem weiter auf dieses Thema eingegangen wird.
Hat man die rechtliche Seite sicher im Griff, bieten KI-Systeme insbesondere große Chancen.
Anregungen dazu finden sie in unserem Blogpost und das gleiche Thema adressieren wir im Webinar "Künstliche Intelligenz im Unternehmen: Praxisnahe Use Cases für messbaren Business Value".
Sie benötigen eine individuelle Einschätzung der Rechtslage zum Einsatz Ihrer gekauften oder
selbst entwickelten KI-Systeme? Sie wollen sicherstellen, dass Ihre Ausgangsdaten und Ihr
KI-System möglichst Bias-frei ist? Sie fragen sich, wie Sie organisatorisch und technisch ein
angemessenes Risikomanagement umsetzen können?
Wenn Sie solche oder ähnliche individuelle Fragen zu Rechtsthemen und/oder der Umsetzung
von Compliance Maßnahmen für KI-Anwendungen haben, melden Sie sich gerne bei unserem
Partner CMS, oder bei uns, der viadee. Die Autoren dieses Blog-Posts (Thorsten Hemme von
CMS und Dirk Langheim von der viadee) freuen sich über Ihre Kontaktaufnahme.
Dieser Blog stellt keine Rechtsberatung dar und ersetzt eine solche auch nicht. Wenden Sie
sich bei konkreten Rechtsfragen an einen Rechtsberater.
zurück zur Blogübersicht