KI-Tools erobern die Arbeitswelt, doch damit kommen zugleich rechtliche und ethische Fragen auf. Wie können Unternehmen die Vorteile von KI nutzen und gleichzeitig Risiken minimieren? Die Antwort liegt in einer klaren KI-Richtlinie, die von Datenschutz und Urheberrecht über die Kennzeichnung von KI-generiertem Output bis hin zu ethischen Grundsätzen alle wichtigen Aspekte abdeckt. Dieser Beitrag von Rechtsanwältin Julia Dönch zeigt Schritt für Schritt, wie Unternehmen eine effektive KI-Richtlinie erstellen und damit für einen sicheren und verantwortungsvollen Umgang mit Künstlicher Intelligenz sorgen.
Inhaltsverzeichnis
Zusammenfassung
- Unternehmen müssen entscheiden, ob und wie sie KI-Tools einsetzen wollen.
- Eine KI-Richtlinie regelt die Nutzung von KI-Tools (z.B. Whitelist/Blacklist) und den Umgang mit Kosten und Registrierungen.
- Die Richtlinie sollte ethische Fragen der KI-Nutzung, wie z.B. Bias, berücksichtigen und den Einsatz von KI reflektieren.
- Urheberrechtliche Fragen (Kennzeichnungspflicht, Plagiatsrisiko) und Datenschutz (DSGVO-konforme Nutzung, Schutz von Geschäftsgeheimnissen) müssen geregelt sein.
- Die KI-Richtlinie sollte Sanktionen bei Verstößen definieren und regelmäßig an den technischen Fortschritt und neue rechtliche Anforderungen angepasst werden.
Einführung
Manchmal fragt man sich, wie ein Leben ohne KI überhaupt möglich war. Rasend schnell haben KI-Tools in unseren Alltag Einzug gehalten. Und Hand aufs Herz: Wer hat noch nie ein KI-Tool genutzt, um eine Aufgabe am Arbeitsplatz mal eben rasch erledigen zu lassen?
Viele Mitarbeitende von Unternehmen setzen KI-Tools wie ChatGPT auch in ihrem Arbeitsalltag ein und registrieren sich dafür mit ihrem privaten E-Mail-Account – und zwar ohne, dass Unternehmen hiervon wissen oder dieser Nutzung gar zugestimmt haben.
Hieraus können sich erhebliche Risiken z.B. für die Informationssicherheit oder durch die weitere Nutzung von KI-generiertem Output ergeben. Und wo Risiken bestehen, ist das Thema Compliance nicht weit.
Zur Minimierung des Risikos bei der Nutzung von KI-Tools müssen daher auch im Compliance-Management-System von Unternehmen Maßnahmen ergriffen werden.
Eine wirkungsvolle wie nützliche Maßnahme ist dabei die KI-Richtlinie. Mittels einer KI-Richtlinie machen Unternehmen gegenüber ihren Mitarbeitenden transparent, wie KI-Tools im Unternehmen genutzt werden dürfen.
Diese KI-Richtlinie ist dabei etwas für jedes Unternehmen – unabhängig von seiner Größe oder der Branche. Das Ziel der KI-Richtlinie ist einfach: Statt Wildwuchs der KI-Tools klare Regelungen!
Grundsatzentscheidung: KI ja oder nein?
Wenig überraschend steht am Anfang eine Grundsatzentscheidung: Wollen wir in unserem Unternehmen mit KI-Tools arbeiten oder nicht?
Die Frage ist groß und vielschichtig. Denn KI-Tools kommen mittlerweile nicht nur als Stand-alone-Tools in die Arbeitswelt, sondern auch als Feature anderer Angebote. Ein prominentes Beispiel für die letztgenannte Variante ist Microsoft Copilot.
Die KI-Richtlinie ist das richtige Mittel, um diese Grundsatzentscheidung des Unternehmens zu dokumentieren.
Je umfangreicher sich das Unternehmen bereits mit KI-Tools beschäftigt, geprüft und diese ggf. auch vor Geltung der KI-Richtlinie bereits eingeführt hat, desto eher bietet sich eine Whitelist und/oder Blacklist für bestimmte KI-Tools als Anhang zur KI-Richtlinie an:
- Mitarbeitende können einer Whitelist diejenigen KI-Tools entnehmen, für die das Unternehmen zentral eine Freigabe erteilt hat.
- Umgekehrt gibt die Blacklist Auskunft darüber, welche KI-Tools keinesfalls im Unternehmen eingesetzt werden dürfen. Dies erleichtert den Arbeitsalltag.
Die KI-Richtlinie sollte daher auch regeln, ob bei KI-Tools, für deren Nutzung eine Registrierung erfolgen muss, Unternehmens-E-Mail-Adressen benutzt werden sollen oder ob auch private Accounts zum Einsatz kommen dürfen, und wie mit etwaigen Kosten für die Nutzung der KI-Tools umgegangen werden soll.
Dabei gilt aber keineswegs „One size fits all.“ So kann es z.B. sein, dass nicht alle Abteilungen oder Teams eines Unternehmens dieselben KI-Tools einsetzen dürfen. Eine Differenzierung nach Arbeitsaufgaben oder organisatorischen Einheiten kann in einer Blacklist oder Whitelist ohne weiteres erfolgen.
Ethik immer im Blick
Bevor wir uns einige Rechtsgebiete anschauen, die eine KI-Richtlinie adressieren sollte, lohnt es sich, den Blick zunächst auf ethische Aspekte der KI-Nutzung zu lenken. Denn KI-Tools können in ihrer Entscheidungsfindung Biases folgen oder zu unangemessenen Ergebnissen führen.
Eine KI-Richtline sollte daher nicht nur die Anforderungen bestimmter Gesetze spiegeln, sondern sich auch diesem übergeordneten Thema widmen.
So kann in der KI-Richtlinie z.B. in der Präambel geregelt werden, dass die von dem Unternehmen eingesetzten KI-Tools nicht dazu verwendet werden dürfen, Entscheidungen ab einer gewissen Tragweite ohne finale Überprüfung durch einen Menschen zu treffen. Weiterhin kann in der Präambel für durch die KI-Tools manifestierte Biases sensibilisiert werden, um zu einem möglichst reflektierten Einsatz von KI zu kommen.
Urheberrecht ist facettenreich
Zu den Hot Topics in der rechtlichen Diskussion um KI gehört in jedem Fall das Thema Urheberrecht. Wem gehört eigentlich KI-generiertes Output? Darf dies von jedem verwendet werden? Können sich aus der Nutzung von KI-generiertem Output auch rechtliche Risiken ergeben? Antworten auf diese Fragen sollten sich in einer guten KI-Richtlinie finden.
Urheberrechtlich ist die Einordnung von KI-generiertem Output klar: Urheberrechtlicher Schutz kann nur an Werken entstehen, die von Menschen erstellt wurden. Bei KI-Tools beschränkt sich der menschliche Beitrag auf das Prompting. Zwar kann ein KI-Tool zu jedem Prompt mehrere „Lösungen“ liefern und diese können sich deutlich voneinander unterscheiden, aber dieser menschliche Beitrag reicht für das Entstehen eines urheberrechtlichen Schutzes für KI-Output nicht aus.
Kurz: KI-Output ist urheberrechtlich nicht geschützt.
Auf den ersten Blick klingt dies beruhigend – wenn das KI-Output nicht geschützt ist, kann dies einfach verwendet werden. Auf den zweiten Blick ist diese Ausgangssituation aber nicht nur verlockend. Denn wenn KI-Output niemandem gehört, kann es auch von jedem benutzt werden!
Daraus ergibt sich ein wichtiger Regelungspunkt für eine KI-Richtlinie: Denken wir z.B. an Werbeagenturen oder Copywriter, die für ihre Kunden Content kreieren. Entsteht dieser Content mittels KI-Tools, können die Kunden an dem Content keine Exklusivrechte erwerben. Vielmehr könnte der KI-generierte Output auch von Dritten verwendet werden.
Daher sollten Werbe- und Copywritingagenturen in ihren KI-Richtlinien klar regeln, auf welche Art und Weise KI-Tools im Rahmen der kreativen Arbeit eingesetzt werden dürfen und wie KI-Output zu kennzeichnen ist. Diese Empfehlung gilt darüber hinaus für alle anderen Unternehmen, die KI-Output in ihre Produkte integrieren.
Sobald allerdings KI-Output von einem Menschen nicht nur marginal bearbeitet wird, entsteht an dieser Bearbeitung nach den allgemeinen Spielregeln des Urheberrechts ein urheberrechtlicher Schutz. Dass zuvor ein KI-Tool in den Entstehungsprozess des Endergebnisses eingeschaltet war, spielt dann keine Rolle mehr.
Urheberrechtlich ist bei der Nutzung von KI-Tools noch eine andere Thematik zu beachten: Selbst wenn KI-generiertes Output niemandem gehört, kann dieses Output dennoch Rechte von Urheberinnen und Urhebern verletzen.
Stellen wir uns zum Beispiel vor, dass wir mit einem KI-Tool einen Text zu nachhaltigen SEO-Strategien erstellen lassen und diesen Text unverändert publizieren. Wenn dieser KI-generierte Text Passagen aus dem Text einer Autorin übernommen hat, weil deren Text Teil der Trainingsdaten war, kann dies zu einer Urheberrechtsverletzung führen. Konsequenzen wären u.a. Unterlassungs- und Schadensersatzansprüche der plagiierten Autorin.
Zwar bewerben Anbieter von KI-Tools ihre Tools mehr oder weniger deutlich mit dem Label „plagiatsfrei“. Aber sicher wissen kann man dies aufgrund der Funktionsweise von KI-Tools nicht.
Daher muss insbesondere bei der unveränderten und kommerziellen Nutzung von KI-Output überprüft werden, ob das KI-Tool nicht einfach abgeschrieben hat. Eine solche Prüfung ist nicht immer einfach möglich und stößt an Grenzen. Aber selbst mit gängigen Suchmaschinen können zumindest Texte und Bilder auf bestehende Ähnlichkeiten mit bereits veröffentlichten Inhalten grob gescreent werden – ein Aufwand, der sich lohnt.
In einem Artikel zum Thema „Contentklau“ bei uns findest du Tipps für die Suche nach Plagiaten. Die kannst du ebenfalls dafür verwenden, um KI-erstellte Texte auf ihre Einzigartigkeit hin zu überprüfen.
Keine KI-Richtlinie ohne DSGVO-Themen
Zum Thema „Datenschutz und KI“ kann man viele Seiten füllen. In einer KI-Richtlinie sollten aber mindestens zwei Themen geregelt werden.
Bei dem ersten Thema handelt es sich um den Datenschutz-Check, der vor der Nutzung eines jeden KI-Tools im Unternehmen durchgeführt werden muss. Die KI-Richtlinie definiert, wer die Nutzung von KI-Tools im Unternehmen freigibt und welcher Freigabeprozess eingehalten werden soll.
Dies ist kein unnötiger Bürokratismus, sondern datenschutzrechtlich strikt erforderlich. Denn um den Anforderungen der DSGVO und etwaig anderer anwendbarer Datenschutzgesetze zu genügen, muss vor der ersten Nutzung des KI-Tools geprüft und dokumentiert werden, dass das KI-Tool den datenschutzrechtlichen Vorschriften genügt.
Je nach KI-Tool kann auch eine „Datenschutzfolgenabschätzung“ erforderlich werden.
Entgegen der Dauerthese, dass Datenschutz technik- und innovationsfeindlich sei, beinhalten die datenschutzrechtlichen Maßstäbe nicht zwangsläufig K.O.-Kriterien für die betriebliche Nutzung von KI-Tools. Vielmehr helfen die Regelungen der DSGVO dabei, sich die Datenströme bei der Nutzung von KI-Tools möglichst transparent vor Augen zu führen. Hiervon profitieren Unternehmen ebenso wie ihre Kunden.
Das zweite Datenschutz-Thema für KI-Richtlinien führt uns in die Praxis des Promptens: Je nach Anwendungsgebiet des KI-Tools ist es verlockend, in Prompts auch personenbezogene Daten aufzunehmen, um möglichst schnell präzise Ergebnisse zu erhalten.
So kann es z.B. bei KI-gestützten HR-Tools dazu kommen, dass personenbezogene Daten von Mitarbeitenden über Prompts in den Datenverarbeitungsprozess durch die KI gelangen. Die DSGVO geht aber von dem Grundprinzip aus, dass ohne Rechtsgrundlage personenbezogene Daten nicht verarbeitet werden dürfen. Hier darf nicht leichtfertig die Rechtsgrundlage des berechtigten Interesses aus Art. 6 Abs. 1 lit. f) DSGVO herangezogen werden.
Wer daher sichergehen will, dass es durch Prompts nicht zu Datenschutzverstößen kommt, sollte in der KI-Richtlinie regeln, dass Prompts keine personenbezogenen Daten enthalten dürfen, sondern nur anonymisiert KI-Output erzeugen dürfen.
Bei Datenschutzverstößen sind die Risiken übrigens nicht zu vernachlässigen: Neben Bußgeldern drohen Schadensersatzansprüche der betroffenen Personen. Hier sollten Unternehmen keine offene Flanke bieten.
Tools, Tipps, News zu KI für Kreative
Der kostenlose Smart Content Report liefert dir alle 14 Tage:
- eine Anleitung mit Tipps aus der Praxis
- aktuelle News rund um neue Tools, Angebote und Entwicklungen
- Links auf lesenswerte Artikel
Kein Spam! 100% nützlich. Schon über 200 Leser:innen sind dabei.
Und noch mehr Daten: Geschäftsgeheimnisse und KI
KI-Tools können aber nicht nur personenbezogene Daten gefährden, sondern auch Geschäftsgeheimnisse. Sie werden in Deutschland durch das Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG) geschützt.
Damit eine Information ein Geschäftsgeheimnis im Sinne des GeschGehG darstellen kann, muss diese Information u.a. durch den Umständen nach angemessene Geheimhaltungsmaßnahmen geschützt sein. Solche Geheimhaltungsmaßnahmen können technischer (z.B. Passwortschutz für den Zugang zu Daten) oder organisatorischer Natur sein.
Hier greift die KI-Richtlinie von Unternehmen: Durch eine solche Richtlinie wird organisatorisch sichergestellt, dass keine eigenen Geschäftsgeheimnisse des Unternehmens oder Geschäftsgeheimnisse Dritter durch KI-Tools geleakt werden.
Denn ebenso wie bei personenbezogenen Daten liegt das Risiko bei den Geschäftsgeheimnissen beim Prompten. Werden Geschäftsgeheimnisse Teil eines Prompts, kann bei offenen KI-Tools, die nicht technisch abgegrenzt ausschließlich für das Unternehmen selbst betrieben werden, nicht ausgeschlossen werden, dass sich das jeweilige KI-Tool mit diesen Geschäftsgeheimnissen selbst trainiert – und somit diese Geschäftsgeheimnisse dann auch Dritten im Rahmen von KI-Output zur Verfügung stehen könnten.
Daher gilt bei solchen KI-Systemen, dass auch zum Geschäftsgeheimnisschutz Anonymisierung Trumpf ist: Statt Geschäftsgeheimnisse einfach in einen Prompt zu übernehmen, muss mit abstrakten Angaben gearbeitet werden. Wo dies nicht möglich ist, muss die KI-Richtlinie vorsehen, dass die Nutzung von KI-Tools untersagt ist.
Der Schutz personenbezogener Daten und von Geschäftsgeheimnissen ist deshalb auch ein Argument für KI-Systeme, die entweder direkt auf den betreffenden Rechnern laufen oder auf einem selbstbetriebenen Server. In diesem Fall werden diese Informationen nicht automatisch zu einem externen Service geschickt und können auch nicht in künftigen Trainingsdaten landen.
Stichwort „Kennzeichnungspflicht“
Im Zusammenhang mit urheberrechtlichen Aspekten einer KI-Richtlinie haben wir das Thema „Kennzeichnung von KI-Output“ schon kurz angerissen. Hier geht es darum, festzulegen, bei welchen Arbeitsergebnissen der KI-Einsatz transparent gemacht werden soll. Ist es für das Unternehmen wichtig zu wissen, ob bei diesem oder jenen Arbeitsergebnis KI im Spiel war?
Denn dies ist nicht nur für urheberrechtlichen Schutz relevant, sondern z.B. auch für den patentrechtlichen Schutz von Erfindungen. Auch für Erfindungen gilt, dass für diese nur Patentschutz erlangt werden kann, wenn ein Mensch als Erfinder agierte – und nicht etwa eine KI.
Doch das unternehmerische Interesse an einer Kennzeichnungspflicht kann sich z.B. auch aus Gründen der Unternehmenssteuerung ergeben. Wird durch eine Kennzeichnung transparent, dass bestimmte Aufgaben ausschließlich durch KI-Tools erledigt werden, sollte dies bei der Personal- und Ressourcenplanung berücksichtigt werden können.
Auch wenn es unangenehm ist: Sanktionen
Eine unternehmensinterne Richtlinie wie die KI-Richtlinie wird nur dann zu einer guten Richtlinie, wenn sie Sanktionen für etwaige Verstöße gegen die Richtlinie umreißt. Für Mitarbeitende, die gegen die KI-Richtlinie ihres Unternehmens verstoßen, muss klar sein, dass bei einem Verstoß arbeitsrechtliche Sanktionen wie z.B. Abmahnungen oder Kündigungen drohen können. Denn die KI-Richtlinie soll schließlich kein zahnloser Tiger sein.
Regelmäßiger Review
Wie jede andere Compliance-Richtlinie muss auch die KI-Richtlinie regelmäßig überprüft und bei Bedarf angepasst werden. Bei der regelmäßigen Überprüfung spielen insbesondere technischer Fortschritt und etwaig veränderte rechtliche Anforderungen an den Einsatz von KI-Tools eine zentrale Rolle. Zugleich können Unternehmen mit dem Review-Prozess auch dokumentieren, dass sie die Anforderungen von Art. 4 der neuen KI-Verordnung ernst nehmen und die KI-Kompetenz ihrer Mitarbeitenden durch den regelmäßigen Review-Prozess fortlaufend weiter ausbauen.
KI-Richtlinie als Teil des KI-Management
Unternehmen sollten sich also lieber früher als später eine KI-Richtlinie geben. Allerdings ist die KI-Richtlinie nur ein Teil des KI-Managements in Unternehmen. So müssen Unternehmen z.B. auch prüfen, ob die von ihnen eingesetzten KI-Tools die Anforderungen der neuen KI-Verordnung der EU erfüllen. Zudem kann es erforderlich sein, vor der Einführung eines KI-Tools die Zustimmung des Betriebsrats einzuholen.
Auch wenn KI manchmal noch ein wenig so erscheint, als sei sie vom Himmel gefallen, dürfen die Rahmenbedingungen ihrer Nutzung nicht dem Zufall überlassen bleiben. Die KI-Richtlinie ist dafür ein wichtiges Instrument.
Dieser Artikel gehört zu: UPLOAD Magazin 115
- Weitere Artikel aus dieser Ausgabe kostenlos auf der Website lesen ...
- Bleib auf dem Laufenden über neue Inhalte mit dem „Update am Montag“ …
Schon gewusst? Mit einem Zugang zu UPLOAD Magazin Plus oder zur Content Academy lädst du Ausgaben als PDF und E-Book herunter und hast viele weitere Vorteile!
Julia Dönch ist Rechtsanwältin und spezialisiert auf den Gewerblichen Rechtsschutz und das Urheberrecht. Eine zentrale Bedeutung in der Praxis von Julia Dönch hat das Thema Künstliche Intelligenz. Geht es um Innovationen, steht sie sowohl etablierten Marktteilnehmern als auch Start-ups zur Seite, etwa beim Schutz von Know-how und Geschäftsgeheimnissen.
A N Z E I G E