Künstliche Intelligenz (KI) ist derzeit ein medial wirkstarker Begriff. Obwohl es sich nicht um ein neues Thema handelt, wurde doch bereits 1997 der amtierende Schachweltmeister Garri Kasparow durch das KI-System DeepBlue im Schach besiegt, wodurch eine Prognose von 1957, die KI würde in den nächsten zehn Jahren den Schachweltmeister stellen, wenn auch verspätet erfüllt wurde. Allerdings stehen spätestens seit 2022 KI-Assistenten zur Generierung von digitalen Inhalten öffentlich und zur freien Nutzung zur Verfügung.
Und mit diesen KI-Assistenten fangen die Herausforderungen an! KI-Assistenten locken mit Ihren grenzenlosen Möglichkeiten. Aus Compliance-Sicht wird der rechtliche Rahmen für die Nutzung von KI durch Rechtsvorschriften definiert. Die Nutzung von KI erfolgt denknotwendig nicht außerhalb des Gesetzes. Das Thema KI geht auch heute schon mit zahlreichen Haftungsrisiken einher und ist daher in besonderem Maße relevant für die Compliance eines Unternehmens!
Die Frage der rechtskonformen Anwendung erschöpft sich nicht nur in der Beachtung der KI-Richtlinie (AI Act) oder der EU-DSGVO, sondern wird auch durch eine Vielzahl anderer Rechtsvorschriften geprägt. Die Regulierungsdichte nimmt beständig zu und wird erfahrungsgemäß von entsprechender Rechtsprechung flankiert.
KI-Compliance wird damit zu einem unverzichtbaren Bestandteil einer rechtskonformen und haftungsbewussten Nutzung von Künstlicher Intelligenz.
Input: Da Unternehmen bereits voll für das verantwortlich sind, was in eine KI hineingegeben wird, sollte KI-Compliance von Anfang an fester Bestandteil der eigenen Compliance werden!
Output: Die Nutzung der durch eine KI generierten Ergebnisse darf nicht weniger neben dem Gesetz stattfinden und liegt ebenfalls im Verantwortungsbereich der die KI nutzenden Unternehmen.
KI und die Nutzung geschützter Werke
Die Nutzung geschützter Werke durch generative KI stellt die Nutzer vor besondere Herausforderungen. Bei der Erstellung von Texten, Bildern oder Videos werden vom Nutzer hochgeladene Inhalte, aber auch allgemein verfügbare Daten genutzt. Die KI kann aber in der Regel nicht zwischen geschützten und nicht geschützten Werken unterscheiden. Entscheidend ist, ob nach der Bearbeitung Urheberrechte, die an genutzten Werken bestehen, fortwirken können. Zunächst muss der Nutzer feststellen, ob die eingesetzten Werke einem Urheberrecht oder etwaigen Markenrechten unterliegen. Im Falle einer Reproduktion dieser geschützten Werke besteht das Urheberrecht weiter, wie auch bei Übersetzungen. Je näher das KI-Werk am Originalwerk angelehnt ist, desto eher besteht das Urheberrecht weiter. Klassisches Beispiel ist die Wiedergabe von Songtexten oder Melodien. Im Falle der Melodievervielfältigung ist auch ein Arrangement als sekundäres Werk genehmigungsbedürftig.
KI-Compliance: Unternehmen müssen bei der Nutzung von KI etwaig bestehende Urheberrechte beachten.
Ob bei dem durch eine KI erstellten Ergebnis auch Urheberrechte entstehen können, ist eine rechtliche Frage, die derzeit im Ergebnis wohl verneint werden muss, da hierfür grundsätzlich ein menschlicher „schöpferischer Prozess“ vorliegen muss. Ein Urheberrecht wird grundsätzlich beim Vorliegen von vier Tatbestandsmerkmalen begründet: Es muss sich um (1.) eine persönliche Schöpfung handeln, die (2.) eine wahrnehmbare Formgestaltung hat und (3.) einen geistigen Gehalt besitzt und (4.) eine schöpferische Eigentümlichkeit aufweist.
Als persönlich gilt eine Schöpfung, wenn sie von einer natürlichen Person erschaffen wird. Daher können Maschinen und Tiere keine Werke im Sinne des Urheberrechts erstellen. Der ausschließliche Einsatz von Computer oder Maschine als Hilfsmittel verändert aber nicht zwingend einen vorherigen urheberrechtlichen Schutz. Hieran wird deutlich, dass das Werk der KI nicht zwingend bisherige Schutzrechte aufhebt, weil kein neues Werk hergestellt wird und KI kein urheberrechtlich geschütztes Werk erstellen kann. Soweit die KI im Schwerpunkt lediglich reproduziert, ist die KI nur Hilfsmittel und bestehende Urheberrechte können fortbestehen. Und wenn die KI ein vollkommen neues Werk erstellt, ist dieses neue Werk urheberrechtsfrei. Die schöpferische Eigentümlichkeit ist hierbei auch nicht gegeben, weil der notwendige schöpferische Prozess hierbei nicht stattgefunden hat. Daher kann ein Urheberrecht an KI-generierten Inhalten nicht begründet werden. Auch der EuGH verneint das Urheberrecht an KI-generierten Inhalten, denn er verlangt eine freie kreative Entscheidung (eines Menschen) für die Begründung eines Urheberrechts.
KI-Compliance: Was folgt daraus für den Nutzer? Der Nutzer muss zunächst sicherstellen, dass das Werk, das ihm die KI generiert, frei von Urheber- oder Markenrechten Dritter ist. Und wenn der Nutzer ein eigenes Urheberrecht an diesem Werk begründen möchte, muss er das Werk noch insoweit bearbeiten, dass durch den eigenen Anteil eine eigene Schöpfungshöhe erreicht wird, die dann geschützt werden kann.
KI-gestützte Diskriminierung
Ein sehr herausfordernder Aspekt ist das hohe Diskriminierungspotential von KI. Diese Frage stellt sich immer dann, wenn KI den Personalbereich eines Unternehmens unterstützt. Ein denkbares Szenario ergibt sich beim Recruiting, wenn KI die Auswahl von Bewerberinnen und Bewerbern übernimmt. Die Diskriminierungsmöglichkeit ist dann gegeben, wenn die KI Merkmale zum Auswahlkriterium erhebt, die nicht mit einer objektiv messbaren Leistung der Bewerberinnen und Bewerber korrespondieren, sondern auf äußerliche Merkmale abstellen. Hier besteht die Möglichkeit einer rechtswidrigen Benachteiligung, was einen Entschädigungs- und Schadenersatzanspruch (§ 15 AGG) begründen kann. Hierbei muss auch das Verbot der automatisierten Entscheidungsfindung gem. Art. 22 EU-DSGVO beachtet werden.
KI-Compliance: Unternehmen müssen wissen, nach welchen Kriterien KI im Personalbereich funktioniert. Insbesondere darf nicht die KI entscheiden, wer ein geeigneter Bewerber ist und wer nicht.
KI und das Geschäftsgeheimnis
Unternehmen unterliegen einer Vielzahl an Vertraulichkeits- und Verschwiegenheitsverpflichtungen. Sei es vertraglicher Natur (NDA etc.) oder aufgrund von gesetzlichen Regelungen, wie dem Geschäftsgeheimnis. Bei einer nicht gesteuerten Nutzung von KI-Systemen durch die Fachbereiche eines Unternehmens besteht schnell das Risiko, dass es zu Verletzungen dieser Pflichten kommt. Die Motivation spielt dabei keine Rolle – lädt ein Mitarbeiter z. B. einen Vertragsentwurf mit sensiblen Informationen zu Preisabsprachen, Kalkulationsplänen etc. in ein KI-System, um eine Rechtschreibprüfung durchführen zu lassen, kann bereits ein Verstoß gegen das Geschäftsgeheimnisgesetz vorliegen. Das Geschäftsgeheimnis sieht hier eine klare Haftung des Unternehmens für ein fahrlässiges (versehentliches) Handeln seiner Mitarbeiter vor.
KI-Compliance: Unternehmen müssen wissen, welche Verschwiegenheits- und Vertraulichkeitsverpflichtungen konkret bestehen und diese bei der Nutzung von KI im Blick haben.
KI & Haftung
Die drei genannten Beispiele aus den Bereichen Urheberrecht, Gleichbehandlungsrecht und Geschäftsgeheimnisschutz zeigen wie wichtig KI-Compliance ist. KI-Compliance geht es über die reine Erfüllung der rechtlichen Angaben aus der KI-VO und der DSGVO hinaus.
Aus der Sicht eines Unternehmens liegt die Motivation zur Nutzung von KI gerade in einer Erleichterung und effizienteren Gestaltung der eigenen Arbeit. Bei der Nutzung der Ergebnisse stellt sich erneut die Frage der Haftung.
Schon heute ist klar: Auch eine KI macht Fehler! KI-Systeme agieren meistens nicht aufgrund menschlicher Einzelentscheidungen, sondern auf Basis komplexer Algorithmen, die nicht immer vollständig nachvollziehbar sind.
Geltende nationale Haftungsvorschriften scheinen hier nicht zu passen. Insbesondere die Vorschriften über die verschuldensabhängige Haftung eignen sich nicht für die Beurteilung von Haftungsansprüchen für durch KI verursachte Schäden.
Auch die neue Produkthaftungsrichtlinie ändert daran nicht viel, denn KI-Systeme sind oft nicht so transparent, dass Fehler in der Programmierung bzw. Entwicklung nachgewiesen werden können.
Eine neue EU-Richtlinie könnte den Beweis erleichtern. Die geplante KI-Haftungsrichtlinie (KI-Haft-RL) soll künftig die außervertragliche Haftung für Schäden durch den Einsatz von KI europaweit regeln. Art. 4 des Vorschlags regelt die Beweislast: Unter bestimmten Umständen soll ein ursächlicher Zusammenhang zwischen dem Verschulden des Beklagten und dem vom KI-System hervorgebrachten Ergebnis vermutet werden.
Es ist momentan nicht absehbar, ob und in welchem Zeitraum eine solche Richtlinie verabschiedet werden wird. Damit kann nicht prognostiziert werden, wann eine verbindliche Haftungsregelung für KI auf EU-Ebene tatsächlich bestehen wird.
KI-Compliance: In Sachen Haftung besteht aktuell große Rechtsunsicherheit. Es ist aufgrund der bisher bekannten Entwürfe zu einer KI-Haftung jedenfalls gut denkbar, dass Unternehmen, die KI nutzen, sowohl für Fehler beim Input, als auch beim Output haften. Aus Compliance-Sicht sollten Unternehmen berücksichtigen, welche Haftungsrisiken sowohl beim Input, als auch beim Output bestehen können und diese entsprechend als eigene Risiken behandeln.
KI & Ethik
Neben rechtlichen Risiken bringen KI-Tools oftmals auch ethische Fragen mit sich. Die Folge von unethischem Verhalten sind Reputationsschäden.
KI-Compliance: Unternehmen sollten frühzeitig KI-Strategien und entsprechende Governance-Strukturen entwickeln, um sämtliche rechtlichen und ethischen Aspekte beim Einsatz von KI-Systemen ausreichend zu würdigen und damit Risiken zu vermeiden. Hierfür sollten externe Compliance-Profis idealerweise Hand in Hand mit internen Compliance- & IT-Expert*innen, Data Scientists und Spezialist*innen für Cybersicherheit beraten.
KI-Compliance bei Due-Diligence
Zusammengefasst zeigen die bisher aufgezeigten Compliance-Risiken welchen Stellenwert Unternehmen einer KI-Compliance zuordnen sollten.
Die Vielfältigkeit möglicher Risiken in der KI-Compliance zeigt sich deutlich am Thema Due-Diligence: Wenn ein Unternehmen erworben werden soll, das Betreiber oder Anbieter von KI-Systemen ist, liegt die Vermutung nahe, dass der Einsatz von KI-Systemen zunehmend zum Regelfall werden wird und in allen Bereichen vorzufinden sein wird. Die Frage der KI-Compliance stellt sich hier nahezu zwingend, weil es zunehmend unwahrscheinlicher wird, Unternehmen zu erwerben, die keine KI-Systeme einsetzen.
KI-Compliance: Im Falle eines Unternehmenskaufs „erbt“ der Erwerber die Compliance-Risiken des erworbenen Unternehmens. Im Hinblick auf den Bußgeldrahmen des Art. 99 KI-VO von bis zu EUR 35.000.000 bzw. bis zu 7 % des weltweiten Gesamtjahresumsatzes bei Verstößen gegen die KI-VO, wird die Erforderlichkeit, KI-Comoliance innerhalb einer Due-Diligence zu berücksichtigen, deutlich.
Soweit die Due-Diligence KI-Compliance aufnimmt, sind
- der Nutzungsgrad der eingesetzten KI-Systeme
- der Nutzungsstatus, beispielsweise als Anbieter oder Nutzer
- die Art der Nutzung und des Einsatzzwecks des KI-Systems
- die genutzten Lizenzen für Software und Daten
- die Verträge mit den Anbietern und bestehende Serviceverträge
- die Konformitätsbewertung selbst und das gewählte Bewertungsverfahren
- der Maßnahmenplan und das Vorfalls- bzw. Krisenmanagement bei Ausfall oder Fehlfunktionen
zu bewerten.
Bei Anbietern von KI-Systemen sind darüber hinaus
- die Verträge mit Nutzern der angebotenen KI-Systeme
- die Haftung gegenüber Kunden
zu bewerten.
Bei jedem KI-Systems sind auch die Bereiche Datenschutz, Informationssicherheit u. a. zu bewerten und in das Risk-Assessment mitaufzunehmen.
Hierbei ist der erste Anknüpfungspunkt die Dokumentation des zu erwerbenden Unternehmens. Gleichwohl ist der Erwerber verpflichtet, bestehende Dokumentationen mit Erwerb zu prüfen und diese mit den bestehenden KI-Systemen abzugleichen. KI-Compliance: Der Erwerber darf sich nicht auf die Feststellungen des erworbenen Unternehmens verlassen, sondern muss eine eigene Prüfung der KI-Systeme durchführen und dokumentieren.
Sie haben Fragen zu Ihrer KI-Compliance?
Gerne unterstützen wir Sie bei der Identifikation der konkreten Risiken bei der Nutzung von KI-Systemen und helfen Ihnen bei der Integration der KI-Compliance in die Risikolandschaft Ihres Unternehmens.
Sofern Compliance Management für Sie ein neues Thema ist, dann ist jetzt eine gute Gelegenheit damit zu starten! Sprechen Sie uns gerne an!