Die rasante Entwicklung von KI-Anwendungen wie ChatGPT, Gemini, Claude oder Midjourney eröffnet faszinierende Möglichkeiten zur Effizienzsteigerung und Innovation. Eine KI-Richtlinie sollte zunächst die strategischen Ziele des Unternehmens beim Einsatz von KI-Anwendungen definieren. Dabei gilt es, Innovation zu ermöglichen und gleichzeitig klare Grenzen zu setzen. Unternehmen sollten festlegen, in welchen Bereichen KI eingesetzt werden darf und welche Ziele damit verfolgt werden.
Künstliche Intelligenz (KI) prägt zunehmend den Unternehmensalltag – oft durch Initiative einzelner Mitarbeitender. Eine aktuelle repräsentative Befragung von 604 Unternehmen ab 20 Beschäftigten in Deutschland, durchgeführt vom Digitalverband Bitkom, zeigt ein deutliches Bild: In jedem dritten Unternehmen greifen Beschäftigte auf private KI-Zugänge für berufliche Zwecke zurück. Gleichzeitig haben bislang nur 15 % der Unternehmen verbindliche Regelungen für den Umgang mit KI-Anwendungen etabliert (2023 lag der Wert noch bei 1 %). Diese Diskrepanz birgt erhebliche rechtliche und wirtschaftliche Risiken.
Kernelemente einer zukunftsorientierten KI-Richtlinie
Hinweis: Zu den folgenden Punkten siehe auch unseren Beitrag „Recht riskant: Der Einsatz von ChatGPT im Unternehmen“ vom 27.03.2024
Datenschutzrechtliche Aspekte
Die Eingabe personenbezogener Daten in KI-Anwendungen stellt eine Datenverarbeitung dar, die datenschutzrechtlich legitimiert sein muss. Eine Datenverarbeitung in diesem Sinne kann sowohl die Eingabe bei ChatGPT („Input“ – der sogenannte „Prompt“) als auch die Verwendung des von ChatGPT generierten Inhalts („Output“) darstellen. Viele KI-Anbieter behalten sich in ihren Nutzungsbedingungen vor, eingegebene Daten für das Training ihrer Systeme zu verwenden. Dies kann zu schwerwiegenden Datenschutzverstößen führen, wenn beispielsweise Kundendaten oder Mitarbeiterinformationen ohne entsprechende Rechtsgrundlage verarbeitet werden.
Schutz des Know-hows
Besonders kritisch ist die Eingabe vertraulicher Unternehmensinformationen in KI-Systeme. Durch die Weiterverwendung der Daten durch die Anbieter können Geschäftsgeheimnisse ihren rechtlichen Schutz verlieren. Zudem drohen bei Verletzung von Vertraulichkeitsvereinbarungen erhebliche Vertragsstrafen.
Urheberrecht im digitalen Zeitalter
Der Umgang mit KI-generierten Inhalten wirft komplexe urheberrechtliche Fragen auf. Einerseits ist der Output von KI-Systemen in der Regel nicht urheberrechtlich geschützt, da es sich nicht um persönliche geistige Schöpfungen handelt. Dies kann zu ungewollten Folgen führen, etwa wenn der Output weiterverwendet werden soll, z. B. auf der eigenen Homepage. Andererseits können bei der Eingabe urheberrechtlich geschützter Werke Rechtsverletzungen entstehen. Der Nutzer kann dies im Einzelfall kaum überprüfen und geht damit das Risiko ein, gegen Urheberrechte Dritter zu verstoßen.
Qualitätssicherung und Validierung
KI-Systeme neigen zu Halluzinationen und können fehlerhafte oder verzerrte Ergebnisse produzieren. Werden diese ungeprüft übernommen, drohen erhebliche Haftungsrisiken. Den Anwendern muss stets klar sein, dass Ergebnisse der KI stets genau geprüft werden müssen. Am Ende sollte immer ein Mensch die Entscheidung treffen, ob und wie das Ergebnis verwendet werden kann (sog. „Human in the loop“).
Integration in die Compliance-Struktur
Eine KI-Richtlinie steht nicht für sich allein, sondern muss sich nahtlos in die bestehende Compliance-Struktur des Unternehmens einfügen. Die Integration in das übergeordnete Compliance-Management-System muss dabei die Konsistenz mit anderen Unternehmensrichtlinien gewährleisten und erleichtert die praktische Umsetzung. Bestehende Prozesse und Kontrollmechanismen lassen sich dabei oft effizient für die Überwachung der KI-Richtlinien nutzen.
Besonders wichtig ist dabei die Betrachtung der gesamten Nutzungskette. Unternehmen müssen sicherstellen, dass auch externe KI-Anbieter den Anforderungen der Compliance entsprechen. Ein Versäumnis in der Bewertung der Zulieferer kann zu Haftungsrisiken führen, falls deren Systeme fehlerhaft sind oder zu rechtlichen Problemen führen.
Ethische Dimensionen
Die ethische Komponente der KI-Nutzung gewinnt zunehmend an Bedeutung. Eine zeitgemäße KI-Richtlinie berücksichtigt neben rechtlichen auch ethische Aspekte, wie:
- Transparente Entscheidungsprozesse bei der KI-Nutzung
- Faire und diskriminierungsfreie Anwendung
- Respektvoller Umgang mit Stakeholder-Interessen
- Nachvollziehbarkeit von KI-gestützten Entscheidungen
Praktische Umsetzung
Die Richtlinie muss präzise Vorgaben enthalten, welche KI-Anwendungen unter welchen Bedingungen genutzt werden dürfen. Dabei sind die oben aufgezeigten Aspekte zu berücksichtigen. Ein Hauptaugenmerk liegt in der Praxis häufig auf:
- Datenschutzkonforme Nutzung: Klare Regeln für die Eingabe personenbezogener Daten, Vorgaben zur Anonymisierung von Informationen und Dokumentationspflichten bei der Verarbeitung personenbezogener Daten.
- Schutz vertraulicher Informationen: Die Richtlinie sollte konkrete Vorgaben enthalten, welche Arten von Unternehmensinformationen nicht in KI-Systeme eingegeben werden dürfen. Besonderes Augenmerk ist auf Geschäftsgeheimnisse und vertrauliche Kundeninformationen zu legen.
- Qualitätssicherung: Unternehmen sollten verbindliche Prozesse zur Überprüfung KI-generierter Inhalte etablieren. Dies umfasst sowohl die fachliche Kontrolle als auch die rechtliche Prüfung, insbesondere bei der externen Verwendung.
Eine große Herausforderung ist hierbei, dass die Richtlinie sehr individuell auf die Einsatzbereiche von KI im jeweiligen Unternehmen abgestimmt sein muss. Dabei darf die KI-Richtlinie aber nicht so eng formuliert sein, dass sie den technologischen Fortschritt in diesem Bereich nicht oder zu einschränkend umfasst.
Schulung und Entwicklung
Für die erfolgreiche Umsetzung einer KI-Richtlinie ist die Sensibilisierung der Mitarbeitenden entscheidend. Regelmäßige Schulungen sollten sicherstellen, dass Mitarbeitende ein grundlegendes Verständnis der Funktionsweise von KI-Systemen haben und sich der rechtlichen Risiken bewusst sind. Zudem sollten praktische Handlungsanweisungen für den Arbeitsalltag vermittelt werden. Die Schulungen müssen regelmäßig aktualisiert werden, um sicherzustellen, dass die Mitarbeitenden auf dem neuesten Stand der technologischen Entwicklungen sind.
Achtung: Dies ist nicht nur aus Compliance-Gesichtspunkten eine Empfehlung. Art. 4 der europäischen KI-Verordnung („Verordnung über künstliche Intelligenz (Verordnung (EU) 2024/1689), Fassung des Amtsblatts vom 13. Juni 2024“) bestimmt, dass Arbeitgeber in deren Betrieb KI eingesetzt wird, nach bestem Wissen und Gewissen sicherzustellen haben, dass ihr Personal und andere Personen, die in ihrem Auftrag mit dem Betrieb und der Nutzung von KI-Systemen befasst sind, über ausreichende KI-Kenntnisse verfügen, wobei ihre technischen Kenntnisse, ihre Erfahrung, ihre Aus- und Weiterbildung und der Kontext, in dem die KI-Systeme eingesetzt werden sollen, sowie die Personen oder Personengruppen, bei denen die KI-Systeme eingesetzt werden sollen, berücksichtigt werden.
Diese Verpflichtung besteht bereits ab dem 2. Februar 2025!
Haftungsrisiken und Verantwortung
Die Einführung angemessener Compliance-Maßnahmen gehört zu den Kernpflichten der Unternehmensführung. Werden notwendige Regelungen zum Umgang mit KI-Anwendungen nicht oder nur unzureichend implementiert, können sich daraus erhebliche Haftungsrisiken ergeben – nicht nur für das Unternehmen selbst, sondern auch persönlich für die Geschäftsführung bzw. den Vorstand. Nach § 43 GmbHG bzw. § 93 AktG müssen Geschäftsführer und Vorstände die Sorgfalt eines ordentlichen Geschäftsmannes anwenden. Dazu gehört auch die Implementierung angemessener Organisationsstrukturen zur Risikovermeidung.
Fazit und Ausblick
Die Implementierung einer KI-Richtlinie ist für Unternehmen keine optionale Maßnahme mehr, sondern wird zur zwingenden Notwendigkeit, um eine angemessene Organisationsstruktur umzusetzen. Nur durch klare Regelungen können Unternehmen die Chancen der KI-Technologie nutzen und gleichzeitig Haftungsrisiken minimieren. Wir unterstützen Sie gerne bei der Entwicklung maßgeschneiderter Regelungen.