Wie der rechtssichere KI-Einsatz gelingt

Laut einer Analyse der US-amerikanischen Stanford University beliefen sich die Investitionen in KI-Technologien im Jahr 2023 auf weltweit 189 Mrd. US$. „Vor dem Hintergrund eines derart massiven Kapitalzuflusses sind alle Länder bestrebt, den verantwortungsvollen Umgang mit künstlicher Intelligenz zu regeln und gleichzeitig ihre wirtschaftliche Wettbewerbsfähigkeit zu wahren“, sagt Jan Kochta, Leiter der IT-Rechtsberatung und Partner bei Forvis Mazars. Die EU hat mit ihrem im März verabschiedeten KI-Gesetz bereits ein umfassendes Regelwerk geschaffen.

Das Ziel des EU AI Acts ist der sichere, transparente, faire und diskriminierungsfreie Einsatz von KI-Systemen und somit auch der Schutz der Grundrechte der Bürger*innen. Für deutsche Unternehmen, die KI nutzen wollen, sind die Auswirkungen größtenteils überschaubar: „Einige wenige Anwendungen, etwa zur Stimmanalyse und Emotionserkennung am Arbeitsplatz, sind aufgrund ihres inakzeptablen Risikos verboten“, sagt Kochta. Für solche Lösungen, etwa Tools zur automatisierten Kreditvergabe gilt: Wer sie einsetzt, muss erklären können, wie die Entscheidungen der KI-Systeme zustande kommen.

Verbreitete Werkzeuge wie KI-gestützte Chatbots stuft das Gesetz als solche mit geringem Risiko ein. „Unternehmen müssen lediglich für Transparenz sorgen, also etwa ihre Kund*innen informieren, wenn diese nicht mit einem Menschen kommunizieren“, erläutert der Rechtsexperte. Für viele andere Systeme wie KI-gestützte Spamfilter gelten sogar keinerlei Einschränkungen, da sie als wenig riskant eingestuft werden. Dennoch warnt Kochta: Neben diesen EU-Regeln, die erst 2026 voll in Kraft treten werden, gibt es in Deutschland bereits bestehende juristische Rahmenbedingungen, die beim KI-Einsatz relevant sind.

„Die Herausforderung für Unternehmen besteht vor allem darin, diese Rechtslage zu kennen und zu beachten“, betont der Jurist. Grundsätzlich habe die Nutzung künstlicher Intelligenz viele juristische Aspekte und könne theoretisch beinahe jedes Rechtsgebiet berühren. In der Praxis hält Jan Kochta vier Felder für besonders relevant.

1.      Geistiges Eigentum

Wenn Unternehmen generative künstliche Intelligenz nutzen – wem gehören dann die erzeugten Texte oder Bilder? Urheber*in kann in Deutschland keine KI sein, sondern nur ein Mensch, wie Kochta erläutert. KI-generierte Werke sind somit grundsätzlich nicht urheberrechtlich geschützt. Einzige Ausnahme: „Wenn ein Prompt, also eine Anweisung an die KI, eine gewisse Originalität besitzt, kann der Mensch, der ihn verfasst hat, Urheberrechtsschutz beanspruchen.“ Firmen sollten sich daher vertraglich die Nutzungsrechte von ihren Mitarbeiter*innen einräumen lassen. Zudem sollten sie sicherstellen, dass sie von den Anbietern der genutzten KI-Tools die erforderlichen Rechte an den erzeugten Werken erhalten. „Gültige Verträge sind unverzichtbar, um hier juristische Risiken auszuschließen“, betont Kochta. 

Eine zusätzliche Gefahr besteht darin, dass Unternehmen unwissentlich Rechte Dritter verletzen, indem sie KI-Systeme einsetzen, die mit urheberrechtlich geschützten Daten trainiert wurden. Zwar ist das deutsche Recht hier großzügig – Entwickler*innen dürfen grundsätzlich selbst geschützte Werke zu Trainingszwecken nutzen –, jedoch gibt es Grenzen, insbesondere bei nicht öffentlich zugänglichen Inhalten oder wenn die Rechteinhaber*innen eine solche Nutzung ausdrücklich untersagen. Zudem erfolgt das Training von KI-Modellen häufig im Ausland, wo möglicherweise strengere Regeln gelten. Wenn generierte Inhalte beim Training eingesetzten geschützten Werken zu ähnlich sind, kann auch die Nutzung dieser Inhalte das Urheberrecht verletzen. Kochta: „Eine vertragliche Zusicherung, dass Entwickler*innen geltendes Recht beachten, ist deshalb unerlässlich.“ Anbieter, bei denen eine solche Zusicherung nicht zu bekommen ist, sollten Unternehmen meiden.

2.      Datenschutz

Dürfen KI-Anwendungen personenbezogene Daten verarbeiten, beispielsweise indem sie automatisch eingehende Bewerbungen sichten und vorsortieren? „Ja, aber Unternehmen benötigen unbedingt die Einwilligung der Betroffenen“, erklärt Kochta. Im Beispiel müssten Bewerber*innen also informiert sein, bevor sie Unterlagen einsenden, und zustimmen, dass eine KI diese prüfen wird. Ähnliches gilt, wenn Firmen eigene KI-Modelle einsetzen und diese mit personenbezogenen Daten trainieren möchten. Ein solches Vorhaben erfordert neben einer gründlichen Dokumentation ebenfalls vor allem Transparenz: Unternehmen müssen die explizite Zustimmung der Betroffenen für das Training einholen. „Ohne diese Einwilligung setzen sie sich erheblichen rechtlichen Risiken aus“, warnt der Experte.

3.      Arbeitsrecht

Welche Auswirkungen hat es, wenn sich Mitarbeiter*innen von künstlicher Intelligenz im Arbeitsprozess unterstützen lassen? Kochta ordnet ein: „Grundsätzlich müssen Arbeitnehmer*innen ihre Leistung persönlich erbringen. Die entscheidende Frage lautet also, ob die KI bloß ein Hilfsmittel darstellt oder ob sie eine Aufgabe vollständig übernimmt.“ Im letzteren Fall stehe Mitarbeiter*innen rein juristisch keine Vergütung zu, erklärt Kochta. Seine Empfehlung: Unternehmen brauchen Richtlinien, welche Tätigkeiten die KI übernehmen darf und welche nicht. Klare Anweisungen des Arbeitgebers zur Delegation bestimmter Aufgaben an eine KI können den Angestellten mehr Zeit für komplexere Tätigkeiten verschaffen und Rechtssicherheit für beide Seiten herstellen.

4.      Haftungsrecht

Wer trägt die Verantwortung, wenn KI-Systeme in Unternehmen problematische Entscheidungen treffen, beispielsweise diskriminierende Bewertungen in einem Bewerbungsprozess vornehmen? „Da KI keine Rechtspersönlichkeit besitzt, haftet in Deutschland in der Regel der Anwender, also die Firma selbst“, erklärt Kochta. Nur in Ausnahmefällen gelinge es, die Entwickler*innen von KI-Systemen haftbar zu machen – bei Programmierfehlern greife etwa die sogenannte Produkthaftung. „Diese Fehler sind jedoch oft schwer nachzuweisen“, sagt Kochta. Die Rechtsprechung in diesem Bereich befinde sich noch im Entwicklungsprozess: „Wir werden voraussichtlich viele Einzelfallentscheidungen sehen, die solche Fragen klären.“ Der Rat von Expert*innen lautet daher: Um Haftungsrisiken zu minimieren, sollte ein Mensch alle kritischen Entscheidungen überprüfen.

Gerade beim KI-Einsatz gelte es, stets auf dem neuesten Stand der Gesetzgebung und Rechtsprechung zu bleiben – nicht nur in Deutschland, sondern auch in anderen Ländern, in denen Unternehmen gegebenenfalls aktiv sind, lautet Kochtas Fazit. Denn die Regulierungsdichte nehme eher zu als ab. Der Jurist empfiehlt, kleine Compliance-Teams vor Ort aufzubauen beziehungsweise auf externe Unterstützung zurückzugreifen, um Rechtsverstöße im Ausland zu vermeiden. Denn allein von Deutschland aus seien die internationalen juristischen Herausforderungen für Unternehmen, die KI nutzen, kaum zu überblicken.