Beim Einsatz von KI rechtliche Folgen vermeiden und wie ein KI-Beauftragter dabei unterstützt

Unternehmen aller Branchen fragen sich zunehmend nicht ob, sondern wie sie von KI-Technologien profitieren können. Die Anwendungsmöglichkeiten scheinen nahezu unbegrenzt: vom Kundenservice über die Produktentwicklung bis zur Finanzanalyse. Doch dieser vielversprechende Einsatz birgt auch Risiken, insbesondere aus einer rechtlichen Perspektive.

Damit Unternehmen  KI erfolgreich einsetzen können, müssen sich Unternehmen mit den damit verbundenen Compliance-Herausforderungen rechtzeitig auseinandersetzen, bevor durch unüberlegte Nutzerinteraktionen eine rechtliche Problematik entsteht.

Ein (externer) KI-Beauftragter unterstützt im Umgang mit künstlicher Intelligenz während des gesamten Prozesses – von der Einführung der KI bis hin zur datenschutzkonformen Nutzung im Arbeitsalltag.

Auf diese Gesetze sollten Sie in Bezug auf künstliche Intelligenz achten

Welche rechtlichen Aspekte sind also bei der Einführung von künstlicher Intelligenz im unternehmerischen Kontext wichtig? Was muss bei der Nutzung von KI berücksichtig werden und wie unterstützt ein KI-Beauftragter konkret?

EU KI-VO als erstes globales Regelwerk für KI

Die KI-Verordnung der EU ist das weltweit erste umfassende Gesetz zur Regulierung von künstlicher Intelligenz. Sie betrifft alle Unternehmen, die KI-Systeme in der EU herstellen, vertreiben, in Betrieb nehmen oder nutzen. Konkret betroffen sind Anbieter, Importeure, Händler und Endnutzer von KI-basierten Produkten und Diensten.

Die Verordnung verfolgt einen risikobasierten Ansatz und unterteilt KI-Systeme je nach Anwendungsbereich in verschiedene Risikokategorien. Während KI-Systeme mit unannehmbarem Risiko – beispielsweise soziale Bewertungssysteme oder manipulative Technologien – grundsätzlich verboten sind, müssen Hochrisiko-Anwendungen, etwa in der Medizin oder kritischen Infrastruktur, besonders strenge Compliance-Anforderungen erfüllen.

Für General Purpose AI (GPAI), also vielseitig einsetzbare KI-Modelle wie große Sprach- oder Bildgeneratoren, gelten spezifische Regelungen, zu denen beispielsweise die Transparenzpflicht gehört. Dabei wird jedoch zwischen den Standard-GPAI-Modellen mit moderaten Anforderungen und systemisch riskanten GPAI-Modellen mit strengeren Auflagen unterschieden. Letztere werden als Hochrisiko-KI-Systeme eingestuft. Neben den Pflichten eines Standard-GPAI-Modells fallen für diese nicht nur beim Betreiben Pflichten wie die menschliche Überwachung an, sondern auch  besondere gesetzliche Pflichten beim Entwickeln und Trainieren der KI.

Datenschutz und DSGVO im Kontext von KI

Die DSGVO verlangt, dass die Weitergabe personenbezogener Daten nur auf einer klaren Rechtsgrundlage, beruhen darf, beispielsweise einem Gesetz oder einer Einwilligung Bei der Verwendung von KI-Systemen wie ChatGPT oder Google Gemini werden Nutzerdaten häufig an Drittunternehmene in die USA übermittelt, um Texte zu generieren und die Modelle zu trainieren. In der Regel erteilen die Nutzer dabei keine Einwilligung, da ihnen oft nicht bekannt ist, was mit ihren Daten geschieht. Da die Daten häufig intransparent und ohne Rechtsgrundlage verarbeitet werden, verstößt dies gegen die DSGVO.

Viele Unternehmen haben dieses Problem vermeintlich mit einer internen KI gelöst. Die Schlussfolgerung erscheint zunächst logisch: Wird die KI auf eigenen Servern betrieben, werden die Daten auch nur dort verarbeitet. Somit verlassen bei diesem Prozess keine personenbezogenen oder streng geheimen internen Daten das Unternehmen. Doch selbst bei der Nutzung einer internen KI muss bedacht werden, dass die Eingabe von Kundendaten , eine Zweckänderung darstellt und daher eine eigene Rechtsgrundlage benötigt.

Ebenfalls zu bedenken sind weitere Punkte, wie die mögliche Notwendigkeit einer Datenschutz-Folgenabschätzung oder die Tatsache, dass auch eine interne KI fehlerhafte Entscheidungen treffen könnte.

Urheberrecht: Wem gehören die Werke?

Generative KI kann urheberrechtlich geschützte Inhalte nicht von frei verfügbarem Material unterscheiden. Besonders kritisch ist die Verwendung reproduzierter Werke, Übersetzungen und stark angelehnter Inhalte wie Songtexte und Drehbuchszenen. Fachtexte sind in der Regel weniger problematisch.

Werke, die ausschließlich durch KI generiert wurden, ohne dass menschliche Kreativität beteiligt war, sind nach den hiesigen Gesetzen urheberrechtlich nicht schützbar, da ihnen die menschliche Schöpfungshöhe fehlt.

KI im Recruiting und die Auswirkungen von Bias

Künstliche Intelligenz wird zunehmend in Personalprozesse integriert – etwa bei der Bewerberauswahl im Recruiting. Hier lauern erhebliche Risiken: Orientiert sich die KI an historischen Daten (z. B. überwiegend weiße Männer in Führungspositionen), verstößt sie gegen das Allgemeine Gleichbehandlungsgesetz (AGG) und verstärkt systematisch bestehende Vorurteile. Solche Bias-Effekte sind nicht nur rechtlich problematisch, sondern auch ethisch bedenklich.

Viele Anwendungen, viel zu bedenken

Diese und weitere Gesetze können sich auf den Einsatz von KI auswirken. Da KI in vielen Sektoren und für unterschiedlichste Aufgaben eingesetzt wird, ist es nicht immer einfach, den Überblick darüber zu bewahren, wie Compliance umgesetzt werden muss, um eine vollständige Abdeckung zu erhalten. Hier muss immer im Einzelfall betrachtet werden, was genau zu tun ist. Ein konkretes Beispiel sehen Sie in unserem Vortrag „Compliance beim Programmieren von KI und Programmieren mithilfe von KI“.

Was kann ich vorbeugend unternehmen? Ein paar grundlegende Tipps

1. Risikoklassifizierung & Einhaltung der DSGVO

   Um rechtliche Risiken beim Einsatz von KI zu vermeiden, sollten Unternehmen eine Risikoklassifizierung gemäß der EU-KI-Verordnung vornehmen und klare Datenschutzstandards (DSGVO) einhalten, beispielsweise durch transparente Datenverarbeitung und kontrollierte Übermittlungen.

2. KI-Bias aktiv minimieren

   Bias in Algorithmen lässt sich durch diverse Trainingsdaten und regelmäßige Fairness-Checks, beispielsweise mithilfe von Tools, minimieren. Gleichzeitig helfen erklärbare KI-Modelle und klare Nutzungsrechte dabei, rechtliche Hürden im Urheberrecht zu überwinden.

3. Schulung der Mitarbeitenden

   Neben der klaren Definition von Compliance-Anforderungen durch Gesetze und Verordnungen, ist eine umfassende Schulung Ihrer Mitarbeiter rund um künstliche Intelligenz essentiell. Die erfolgreiche Implementierung von KI-Systemen hängt maßgeblich von der Kompetenz des Teams ab. Mitarbeiter müssen verstehen, wie KI-Systeme funktionieren, welche rechtlichen Aspekte bei der Nutzung zu beachten sind, wie sie potenzielle Bias-Effekte in Algorithmen erkennen und minimieren können, um Diskriminierung zu vermeiden.

4. Technisch-organisatorische Maßnahmen umsetzen

   Technisch-organisatorische Maßnahmen wie Zugangskontrollen, Protokollierung und Schulungen runden die Strategie ab. So lassen sich Compliance-Anforderungen effizient erfüllen und das Vertrauen wird gestärkt.

5. Externer KI-Beauftragter

   Uns ist  bewusst, dass all die genannten Punkte leichter gesagt als getan sind. Deshalb helfen wir Unternehmen dabei, die Compliance im Bereich der künstlichen Intelligenz umzusetzen. Dafür stellen wir Ihnen einen zertifizierten KI-Beauftragten zur Verfügung, der sämtliche Maßnahmenim Bereich Compliance überblickt und Ihnen als persönlicher Ansprechpartner dient. Gemeinsam bewerten Sie systematisch durch KI entstehende Risiken und passen interne Prozesse so an, dass Innovation und Compliance zugleich gefördert werden.