Sinn und Grenzen einer internen KI-Richtlinie
Nach unseren Feststellungen dürfte es in Deutschland nur noch drei Kategorien von Unternehmen geben. In die erste Schublade passen die Firmen, die bereits planvoll Künstliche Intelligenz (KI) in mindestens einem Bereich verwenden. Die zweite Kategorie hat KI-Systeme gar nicht offiziell eingeführt, die Mitarbeiter nutzen diese aber bereits mehr oder weniger heimlich. Last but not least gibt es Unternehmen, die intensiv über den Einsatz von KI nachdenken und noch in der Risiko-Nutzen-Analyse stecken. Firmen ohne jede Bestrebung zur KI-Nutzung sind hingegen kaum noch denkbar – letztlich sind alle vom KI-Fieber erfasst.
Am 21.05.2024 hat der Rat der EU-Mitgliedstaaten das KI-Gesetz (KI-Verordnung, KI-VO oder AI Act) verabschiedet und damit erhebliche Pflichten für Anbieter und Betreiber (Anwender) aufgestellt, die nach einer gewissen Umsetzungsfrist Geltung erlangen werden. Spätestens jetzt müssen sich die Unternehmen der oben dargestellten drei Kategorien Gedanken darum machen, wie man mit Risiken und Haftungsfragen beim Einsatz von KI umgeht. Von vielen Seiten empfohlen wird das Aufstellen von Regeln im Rahmen einer internen KI-Richtlinie. Ob dies tatsächlich erforderlich ist und was ein solches Werk bringt, soll nachfolgend dargestellt werden.
Anforderungen und Haftungsszenarien beim KI-Einsatz
Bei allen Handlungen von Mitarbeitern – sprich natürlichen Personen – im Unternehmen ist im Rahmen der Compliance darauf zu achten, dass die relevanten Normen z.B. aus den Bereichen Datenschutz, Wettbewerbs- und Markenrecht, Urheberrecht sowie spezielle branchenbedingte Normen eingehalten werden. Setzt der Mensch nun zur Erledigung von Aufgaben KI-Systeme ein, ändert sich an den Vorgaben ja grundsätzlich nichts. Allerdings besteht die Gefahr, dass eine nur unzureichend überwachte KI rechtswidrig handelt – schließlich sagen Anbieter wie OpenAI ganz deutlich, dass solche Systeme fehleranfällig sind. Schadenersatzansprüche, Bußgelder, Rufschäden und weitere negativen Folgen drohen. Die anwendenden Mitarbeiter müssen daher dazu angehalten werden, eine möglichst engmaschige Kontrolle über das KI-System zu behalten, auf dass eine dauerhafte Rechtskonformität gewährleistet wird.
Wenn KI zur Erstellung von Werken eingesetzt wird, tauchen Fragen zu den Urheberrechten auf, die auf mehreren Ebenen Relevanz haben können (Haftung gegenüber dem Kunden, Abwertung im Rahmen einer Due Diligence, etc.). Hinzu kommen ggf. Vorgaben aus dem erwähnten KI-Gesetz in Punkto Transparenz, Dokumentation und Meldepflichten, die im Unternehmen sicher umgesetzt werden müssen. Nicht zuletzt braucht es nach Art. 4 der KI-Verordnung der EU eine gewisse KI-Kompetenz im Unternehmen. Verstöße gegen Pflichten aus dieser KI-Verordnung können Geldbußen bis zu 15 Mio. EUR oder 3% des weltweiten Konzernjahresumsatzes zur Folge haben (Art. 99 Abs. 4 KI-VO).
Lösung KI-Richtlinie - eine gesetzliche Verpflichtung
Selbstverständlich steht an keiner Stelle des KI-Gesetzes, dass es zwingend erforderlich ist, eine Mitarbeiter-Policy, eine KI-Richtlinie oder sonstige Vorgaben in textlicher Form zu erstellen und auszurollen – das Thema der Beteiligung des Betriebsrats an dieser Stelle mal ausgeklammert. Wenn man das Pferd allerdings von hinten aufzäumt und sich ansieht, welcher Vortrag erforderlich ist, um einer Haftung auf Schadenersatz oder einer empfindlichen Geldbuße zu entgehen, dann wird man nicht umhinkommen, die organisierte Umsetzung aller Anforderungen im Unternehmen nachweislich dokumentieren zu müssen.
Der Weg zur sicheren Umsetzung wird den Verantwortlichen nicht vorgegeben. Direktiven zum Umgang mit einem KI-System können auch im Wege von Einzelanweisungen erfolgen, bei mündlichen Vorgaben könnte eine nachträgliche Protokollierung vorgesehen werden – bei konkreten Einweisungen in einzelne Systeme wird man auf diese Vorgehensweise ohnehin zurückgreifen müssen. Allerdings erscheint es lohnenswert, grundsätzliche Fragen zur Nutzung, also möglichst losgelöst von der konkreten Anwendung, einmal für alle Systeme herunterzuschreiben, d.h. vor die Klammer zu ziehen. Dauerhaft zur Verfügung gestellt kann eine solche Richtlinie von jedem Nutzer innerhalb des Betriebs jederzeit zur Hand genommen werden, um eine Einhaltung der internen Vorgaben auch noch nach längerer Nutzungszeit zu gewährleisten.
Must-have-Inhalte
Das Erdenken einer solchen Richtlinie eröffnet der Geschäftsführung die passende Gelegenheit, extrem wichtige Regelungen für die Beschaffung von KI-Systemen zu erstellen. Bereits vor der Entscheidung für einen bestimmten Anbieter sind die Einsatzmöglichkeiten sowie die konkrete Nutzung zu eruieren, Risiken zu bestimmen und abzuwägen, datenschutzrechtliche Fragen zu klären und nicht zuletzt die IT-Sicherheit zu bedenken. Deutlich werden muss an dieser Stelle, dass die Einführung von KI grundsätzlich der Geschäftsführungsebene vorbehalten bleibt, da der sonst zu befürchtende Wildwuchs an Systemen ungeahnte Haftungsfolgen haben kann.
Wie bereits oben angeklungen müssen sich die Pflichten aus dem KI-Gesetz, deren Anzahl und Qualität mit dem festgestellten Risiko wachsen, für die Nutzung der KI in den Vorgaben der internen Richtlinie wiederfinden. Punkte wie die ggf. obligatorische Transparenz eines KI-Einsatzes, die wichtigen Beschränkungen für den Input (z.B. keine personenbezogenen Daten oder Geschäftsgeheimnisse), die immerwährende Qualitätskontrolle, Mitteilungspflichten und ähnliche Erfordernisse gehören in das Regelwerk.
War das alles?
Nein. Zum einen nützt die beste interne KI-Richtlinie nichts, wenn sie den Mitarbeitern nicht nachweislich zur Kenntnis gebracht oder nicht regelmäßig in Bezug auf die Einhaltung kontrolliert wird. Die eingangs erläuterte KI-Kompetenz wird darüber hinaus nicht allein durch das Zurverfügungstellen einer KI-Policy, sondern nur im Zusammenhang mit Schulungen und konkreten Einweisungen des Personals in die konkreten Systeme erreicht. Die Beteiligung der IT, insbesondere in Bezug auf die IT-Sicherheit sowie die Data Governance, und des Datenschutzbeauftragten wegen der diesbezüglichen Implikationen ergänzen den Maßnahmenkatalog weiter.
Dies alles mag auf Anhieb überzogen klingen, wenn man doch einfach nur ein paar E-Mails oder Webinhalte mit ChatGPT erstellen will – der Teufel steckt allerdings manchmal im Detail. Spätestens bei intensiverer Nutzung von KI für eigene Dienstleistungen oder Waren, bei KI-Systemen in Bezug auf das Personalwesen oder beim Einsatz zur Programmierung sollte man nichts dem Zufall überlassen.
Fazit
Wenn man in den Medien von den Flausen der KI-Systeme liest, die zu teilweise bizarren Fehlern führen, darf man ruhig den Vergleich anstellen, dass sich KI noch in der Pubertät befindet – also nicht selten schwierig unter Kontrolle zu halten. Wäre KI ein junger Mensch, würden Sie ihm auch nicht mit wesentlichen Aufgaben im Unternehmen betrauen, ohne ihm über die Schulter zu schauen.
Gerade deshalb sind vor und während des Einsatzes eines künstlichen Mitarbeiters entsprechende Vorkehrungen zu treffen, um Schäden durch unreife Handlungen zu vermeiden. Wie diese Vorkehrungen getroffen werden, bleibt den Unternehmen überlassen – eine grundlegende Unternehmensrichtlinie scheint nach alledem aber nicht die schlechteste Idee zu sein. Wenn Sie dazu noch Fragen haben - wir von MKM LEGAL stehen Ihnen immer professionell mit Rat und Tat zur Seite.
Autor: Andree Hönninger