Die Gefahr wächst
Warum Unternehmen die KI-Nutzung im Büro jetzt regeln sollten
Nicht alle Unternehmen haben Richtlinien zur Nutzung von künstlicher Intelligenz. Dabei wächst die Zahl der Beschäftigten, die ChatGPT und Co. auch in der Arbeit einsetzen. Das birgt rechtliche Risiken, im schlimmsten Fall sogar Kündigung, sagt Rechtsanwalt Christos Paloubis von FX legal.
Markt&Technik, Herr Paloubis, was genau regelt der neue europäische AI Act? Was müssen Unternehmen dazu wissen?
Christos Paloubis: Der AI Act teilt KI-gesteuerte Systeme in verschiedene Risikogruppen und legt je nach Einordnung strenge Anforderungen fest. Davon besonders betroffen sind KI-Systeme, die in kritischen Infrastrukturen oder im Bildungs- und Gesundheitswesen eingesetzt werden. Zudem verbietet er bestimmte KI-Anwendungen, die EU-Werten widersprechen, wie etwa die Bewertung des sozialen Verhaltens (»Social Scoring«) oder die Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen.
Es besteht die Pflicht, verbotene Systeme innerhalb der zweijährigen Umsetzungsfrist schrittweise außer Betrieb zu nehmen. Im Verlauf sollen auch Sanktionen gegen Unternehmen eingeführt werden, die sich nicht an die Vorschriften halten. Dabei sollen Geldstrafen von bis zu 7 Prozent des weltweiten Umsatzes möglich sein. Unternehmen müssen sich darauf einstellen, ihre Dateninfrastruktur an die neuen Regelungen anzupassen und den neuen Protokollierungs- und Dokumentationspflichten ordnungsgemäß nachzukommen. Die Vorschriften müssen auch von Unternehmen außerhalb der EU eingehalten werden, die auf dem europäischen Markt aktiv sind.
Wie sollten Unternehmen den Einsatz von KI jetzt regeln?
Sie müssen sicherstellen, dass eingesetzte KI-Systeme den bestehenden Gesetzen und den neuen Vorschriften entsprechen und die erforderlichen Anforderungen erfüllen. Dies könnte die Überprüfung und Anpassung bestehender Systeme sowie die Implementierung neuer Prozesse und Technologien umfassen. Es sollte beispielsweise sichergestellt werden, dass keine datenschutzrechtlichen Verstöße durch die Nutzung von KI-Technologien entstehen. Kann eine regelkonforme Nutzung nicht sichergestellt werden, wie z. B. beim Einsatz von visuell generativen KI-Modellen wie Midjourney und Dall-E 3 in Hinblick auf das Urheberrecht, so sollte das Unternehmen auf sie verzichten.
Welche (Compliance-)rechtlichen Anordnungen sind beim Einsatz von KI relevant?
Zum Beispiel der erwähnte AI Act, der bestimmte Anforderungen und Verbote für KI-Systeme festlegt. Desweiteren Datenschutz: KI-Systeme verarbeiten die von den Nutzern eingegebenen Informationen, um Antworten zu generieren und ihr Modell weiterzuentwickeln. Werden dabei personenbezogene Daten offengelegt, so besteht die Gefahr, dass diese Daten von der KI gespeichert und verwertet werden. Diese Daten könnte der Bot später einem anderen Nutzer im Rahmen einer generierten Antwort zur Verfügung stellen, was ein datenschutzrechtliches Risiko darstellt. Insbesondere bei der Verwendung der KI im geschäftlichen Verkehr sollte also streng darauf geachtet werden, dass keine persönlichen Daten zum Beispiel von Mitarbeitern oder Kunden eingegeben werden. Das betrifft auch Bewerbungsprozesse oder die Erstellung von Zeugnissen, hier muss besondere Vorsicht angewendet werden. Im Übrigen hat gemäß Art. 22 Abs. 1 DSGVO jede Person das Recht, nicht einer Entscheidung unterworfen zu werden, die ausschließlich auf einer automatisierten Verarbeitung erfolgt ist und für sie rechtliche Folgen nach sich zieht (z. B. Scoring). Weiter sind Gesetze zum Schutz des geistigen Eigentums und arbeitsrechtliche Regelungen zu beachten. Hierunter fällt z. B. die Pflicht des Arbeitnehmers sensible Unternehmensdaten zu schützen.
Könnten auch Betriebs- oder Geschäftsgeheimnisse aus Versehen publik gemacht werden?
Auch das könnte passieren, deshalb sollte streng darauf geachtet werden, dazu keine Angaben zu machen. Speziell bei ChatGPT ist zu beachten, dass OpenAI ein US-amerikanisches Unternehmen ist. Bei der Nutzung von KI-Technologien US-amerikanischer Unternehmen, wie z. B. OpenAI besteht die Möglichkeit, dass Daten in die USA übermittelt werden. Nach der früheren Rechtslage war es insoweit problematisch, als die Daten an Geheimdienste weitergeleitet werden konnten. Das aktuelle Datenschutzabkommen mit den USA macht es derzeit jedoch zu einem sicheren Drittland für Datentransfer. Aber nicht allein der Datentransfer in die USA birgt Gefahren. Die unkontrollierte Verarbeitung gewonnener Information ist generell ein Problem für jegliche sensiblen Daten.
Was können Unternehmer tun, um die Verbreitung von Schatten-KI am Arbeitsplatz zu verhindern?
Als Schatten-KI bezeichnet man die unbemerkte, oft sogar heimliche KI-Nutzung durch Arbeitnehmer für ihre betrieblichen Aufgaben, sei es für E-Mails, Kundenkorrespondenz, betriebliche Analysen und Managementzusammenfassungen. Das wird immer beliebter, obwohl die Nutzung wie gezeigt auch enorme Gefahren birgt. Der Arbeitgeber ist Kraft seines Weisungsrechts befugt, die Nutzung von KI am Arbeitsplatz zu beschränken oder zu verbieten, insbesondere zum Schutz von Geschäftsgeheimnissen oder Urheberrechten. Das könnte z. B. im Rahmen einer internen Richtlinie mit Handlungsempfehlungen für die Nutzung der KI-Tools erfolgen. Der Erlass einer solchen Richtlinie ist im Übrigen ohne Zustimmung des Betriebsrates möglich, das entschied das Arbeitsgericht Hamburg (Urt. v. 16.01.2024, Az.: 24 BVGa 1/24) vor Kurzem. Denn die Vorgaben zur Nutzung von ChatGPT und vergleichbarer Tools fallen unter das mitbestimmungsfreie Arbeitsverhalten.
Was ist mit privat genutzten KI-Accounts von Mitarbeitern auf dem Arbeitsrechner?
Privat genutzte KI-Accounts von Mitarbeitern könnten ebenfalls von den oben genannten Regelungen betroffen sein. Dabei kommt es jedoch darauf an, ob die KI-Nutzung im Rahmen einer betrieblichen Aufgabe oder einer privaten Nutzung erfolgte. Im Falle einer privaten Nutzung [auf dem betrieblichen Rechner] muss sich der Arbeitgeber nicht unbedingt für etwaige Verstöße verantworten. Es ist dann im Verantwortungsbereich der Arbeitnehmer als Privatperson den Vorschriften zu entsprechen. Ob der Mitarbeiter dann tatsächlich auch selbst haftet, hängt vom Einzelfall ab.
Was ist beim Einsatz von KI bezüglich geistigem Eigentum und Urheberrecht zu beachten?
Der Schutzbereich des Urheberrechts ist extrem weit. Deshalb kommen Entwickler von KI-Systemen kaum darum herum, urheberrechtlich geschütztes Material für das Training der KI zu verwenden.
Problematisch ist dabei, dass nur selten die dafür erforderlichen Lizenzen erworben werden. Diese unerlaubte Nutzung von urheberrechtlich geschützten Werken versuchen einige Entwickler mit dem »Fair use«-Grundsatz zu begründen. Achtung – der »Fair use«-Grundsatz existiert nicht im deutschsprachigen Raum.
Es werden also urheberrechtlich geschützte Werke nahezu unverändert von der KI wiedergegeben, ohne den direkten Befehl dazu und ohne jegliche Quellenangaben. Die nahezu unveränderte Erzeugung von Werken kann eine Vervielfältigung gem. § 16 UrhG darstellen. Daraus ergeben sich Unterlassungs- und Beseitigungsansprüche sowie Schadensersatzansprüche des Urhebers. Aufgrund der bislang fehlenden Transparenz bleibt für Nutzer unklar, ob die generierten Werke gegen das Urheberrecht verstoßen oder nicht. Urheberrechtliche Ansprüche könnten im Rahmen vom KI-generierten Texten z. B. dadurch umgangen werden, dass die Texte durch eigene Gedanken oder Formulierungen ergänzt werden. Unternehmen sollten deshalb klare Leitlinien für den Umgang mit KI-generierten Materialien festlegen, um die Kreativität sowie die Rechte der Urheber zu schützen.
Wer haftet bei Schäden wie Urheberrechtsverletzungen? Kann das Unternehmen den Mitarbeiter haftbar machen?
Grundsätzlich ist das Unternehmen verantwortlich für Schäden gegenüber Dritten. Etwas anderes gilt nur, wenn der Arbeitnehmer bei dem Verstoß objektiv nicht für den Arbeitgeber tätig wird, also außerhalb seiner arbeitsvertraglichen oder dienstlichen Pflichten handelt. Erfolgt der Verstoß im arbeitsrechtlichen Verhältnis, so kann der Arbeitgeber im Rahmen des sogenannten innerbetrieblichen Schadensersatzes Regress an seinem Arbeitnehmer nehmen.
Kann sich in dem Fall der Mitarbeiter darauf berufen, dass das Unternehmen (noch) keine Regelung zur Nutzung von KI getroffen hat?
Im Rahmen des innerbetrieblichen Schadensausgleichs ist eine Haftungsmilderung zugunsten des Arbeitnehmers vorgesehen. Demzufolge kann der Arbeitgeber grundsätzlich nicht jeden noch so kleinen Schaden gegenüber dem Arbeitnehmer geltend machen. Vielmehr ist auf den Grad des Verschuldens des Mitarbeiters abzustellen. Dabei wird in drei Stufen unterschieden zwischen leichter Fahrlässigkeit, mittlerer Fahrlässigkeit sowie grober Fahrlässigkeit und Vorsatz. Handelte der Arbeitnehmer nur mit leichter Fahrlässigkeit, so ist er von seiner Haftung gegenüber dem Arbeitgeber frei. Darüber hinaus trägt im Falle eines Prozesses der Arbeitgeber die Darlegungs- und Beweislast, dass der Mitarbeiter mit Vorsatz oder Fahrlässigkeit handelte und damit haftbar ist. Kurzum: es kommt grundsätzlich auf den Einzelfall an. Hat das Unternehmen keine klaren Handlungsanweisungen bzgl. der KI-Nutzung geäußert und ist der Mitarbeiter offensichtlich nicht sehr versiert im IT-Bereich und den damit zusammenhängenden rechtlichen Fragen, stehen die Chancen gut, dass er sich auf leichte Fahrlässigkeit berufen kann. Damit wäre er von der Haftung gegenüber dem Arbeitgeber befreit.
Was könnte Mitarbeitern, die KI (am Ende) missbräuchlich nutzen, im schlimmsten Fall passieren?
Neben schadensersatzrechtlichen Ansprüchen können den Arbeitnehmer auch arbeitsrechtliche Konsequenzen wie eine Abmahnung oder Kündigung drohen.
(Fragen: Corinne Schindlbeck)
Jobangebote+ passend zum Thema
Lesen Sie mehr zum Thema
Das könnte Sie auch interessieren
»Wir stehen erst am Anfang«
Amazon lässt KI Werbung erzeugen
Songs mit Hilfe Künstlicher Intelligenz
Musikindustrie zieht vor Gericht gegen KI-Start-ups
Bitkom-Umfrage
Startups sind Vorreiter bei KI-Nutzung
Plattform Lernende Systeme
Was regelt der neue EU AI Act? Kurz und knapp erklärt
Spezialisierung ist der Schlüssel
So wird KI zum Karriere-Turbo
Schatten-KI am Arbeitsplatz jetzt regeln
»Betrachten Sie KI wie einen schlauen Praktikanten«
Entwicklerkonferenz Google I/O
Google-Chef: Menschen werden Beziehung zu KI-Assistenten aufbauen
Entwicklerkonferenz Google I/O
Google geht in die KI-Offensive
Elektronik AI Solution Days - 2.+3. Juli
Welche Chancen bietet Generative AI?
