the word security spelled out in scrabble letters
Photo by Markus Winkler on Pexels.com
Posted inDatenschutz IT Audit / Compliance / Security

Cyber-Sicherheit: CER, KRITIS, NIS2, DORA – Ein Überblick

KI im Unternehmen: Compliance und Datenschutz – Was man wissen muss!

Künstliche Intelligenz (KI) hat sich in vielen Geschäftsbereichen etabliert und ermöglicht die Generierung vielfältiger Inhalte, von Texten bis zu Bildern. Doch mit den Vorteilen kommen auch komplexe rechtliche Fragen auf, insbesondere im Hinblick auf Urheberrecht und Datenschutz. Für Unternehmen ist es von entscheidender Bedeutung, hier die Compliance zu wahren, um sich vor rechtlichen und finanziellen Risiken zu schützen. Man fragt sich vielleicht: Welche Regeln gelten für den KI-Einsatz und wie stellt man die Einhaltung sicher?

Urheberrechtliche Herausforderungen: Wer ist der Schöpfer?

Ein zentraler Punkt im deutschen Urheberrecht ist die Frage nach dem Urheber. Man muss verstehen, dass eine Künstliche Intelligenz im rechtlichen Sinne kein Urheber sein kann. Das deutsche Urheberrechtsgesetz (UrhG) erfordert eine „persönliche geistige Schöpfung“, was einer KI naturgemäß fehlt.

Ist man selbst als Nutzer der Urheber? Hier wird es differenziert betrachtet. Während amerikanische KI-Anbieter wie OpenAI ihren Nutzern oft die vollen Rechte an generierten Inhalten einräumen – einschließlich der kommerziellen Nutzung und sogar der Übertragung des Urheberrechts, was im US-amerikanischen Recht, anders als in Deutschland, möglich ist – sieht die Situation im deutschen Urheberrecht anders aus. Man muss bedenken, dass in Deutschland nach dem Urheberrechtsgesetz nur Nutzungsrechte übertragen werden können.

Zudem reicht die bloße Eingabe von Befehlen (sogenannten Prompts) in der Regel nicht aus, um den Nutzer als Urheber zu qualifizieren, da die eigentliche Erstellung des Werkes durch die KI erfolgt. Man kann jedoch zum Urheber werden, wenn die KI lediglich als Werkzeug dient und man das generierte Ergebnis maßgeblich verändert oder in ein eigenes kreatives Werk integriert. Hierbei ist stets eine Einzelfallprüfung nötig.

Urheberrechtsverletzungen durch Trainingsdaten und KI-Nutzung

Ein großes Feld der Compliance betrifft die Trainingsdaten von KI-Systemen. Man muss sicherstellen, dass die KI-Modelle, die man nutzt oder selbst trainiert, nur mit Daten versehen wurden, für die die notwendigen Urheber- oder Nutzungsrechte vorliegen. Die GEMA hat beispielsweise klargestellt, dass ihre geschützten Werke nur nach Lizenzerwerb für das Training von KI-Systemen genutzt werden dürfen. Nur in wenigen Ausnahmefällen, etwa für wissenschaftliches Text- und Data-Mining, greifen Schrankenbestimmungen des Urheberrechtsgesetzes.

Auch als Nutzer von KI-Systemen muss man Urheberrechte Dritter beachten. Dies gilt sowohl für den Input als auch für den Output.

  • Input-Verstöße: Man begeht eine unzulässige Vervielfältigung, wenn man urheberrechtlich geschützte Texte, wie ein Skript oder Drehbuch, ohne Zustimmung des Urhebers in eine KI-Anwendung hochlädt, um es zusammenzufassen.
  • Output-Verstöße: Wenn das generierte Ergebnis einer KI konkret einem vorbestehenden geschützten Werk entspricht, liegt ebenfalls eine Urheberrechtsverletzung vor. Auch wenn die Wahrscheinlichkeit bei großen Modellen wie ChatGPT gering ist, da sie in der Regel keine exakten Kopien generieren, kann es zu Problemen kommen, beispielsweise wenn ein generierter Text irrtümlicherweise einen nicht zutreffenden Urheberrechtshinweis enthält.
  • Bearbeitungs-Verstöße: Viel wahrscheinlicher ist eine Verletzung, wenn man die KI gezielt dazu nutzt, einen bestehenden Text abzuändern, ohne vorher die Zustimmung des Urhebers eingeholt zu haben. Dies könnte eine unzulässige Bearbeitung oder Umgestaltung darstellen.

Datenschutzrechtliche Aspekte beim KI-Einsatz

Neben dem Urheberrecht spielt auch der Datenschutz eine zentrale Rolle. Jedes Unternehmen unterliegt der Datenschutz-Grundverordnung (DSGVO), sobald personenbezogene Daten verarbeitet werden.

  • Eingabe personenbezogener Daten: Man darf grundsätzlich keine personenbezogenen Daten – wie Namen, Kontaktdaten oder andere identifizierende Informationen – in KI-Tools wie ChatGPT eingeben, ohne eine gültige Rechtsgrundlage dafür zu haben.
  • Auftragsverarbeitung: Sollte man personenbezogene Daten über eine KI verarbeiten lassen, ist es unerlässlich, einen Auftragsverarbeitungsvertrag (AVV) mit dem Anbieter abzuschließen. Dies ist eine grundlegende Anforderung der DSGVO, um die rechtmäßige Verarbeitung von Daten durch Dritte sicherzustellen.
  • Geschäftsgeheimnisse: Man muss auch vorsichtig sein, wenn man Betriebs- oder Geschäftsgeheimnisse in KI-Anwendungen eingibt. Ohne entsprechende vertragliche Vereinbarungen mit dem KI-Anbieter können diese Informationen ihren Schutzstatus verlieren und von Dritten frei genutzt werden. Das kann zu Schadensersatzforderungen oder Vertragsstrafen führen.

Der AI Act: Neue Compliance-Pflichten in Sicht

Der europäische AI Act (KI-Verordnung) bringt ebenfalls wichtige Compliance-Vorgaben mit sich. Man sollte sich bewusst sein, dass dieser in bestimmten Fällen eine Kennzeichnungspflicht für KI-generierte Inhalte vorsieht. Besonders relevant ist dies bei Deepfakes oder KI-generierten Texten, die der Information der Öffentlichkeit dienen, etwa in der Pressearbeit. Hier muss explizit darauf hingewiesen werden, dass der Inhalt künstlich erzeugt oder manipuliert wurde.

Zudem verpflichtet der AI Act Anbieter von KI-Modellen mit allgemeinem Verwendungszweck dazu, eine Strategie zur Einhaltung des Urheberrechts zu implementieren, beispielsweise durch interne Unternehmensrichtlinien.

Handlungsempfehlungen für Unternehmen: So bleibt man compliant

Um die rechtlichen Risiken zu minimieren und die Compliance beim KI-Einsatz zu gewährleisten, sollte man folgende Maßnahmen in Erwägung ziehen:

  • Interne Richtlinien festlegen: Man sollte klare Regeln für den KI-Einsatz im Unternehmen definieren, die festlegen, welche KI-Systeme für welche Zwecke genutzt werden dürfen, welche Input-Quellen zulässig sind und wie mit urheberrechtlich geschützten Inhalten umzugehen ist.
  • Mitarbeitende sensibilisieren: Regelmäßige Schulungen und Sensibilisierung der Belegschaft für urheberrechtliche und datenschutzrechtliche Risiken sind unerlässlich.
  • KI-Outputs prüfen: Generierte Inhalte sollte man wie externe Werke behandeln und auf mögliche Urheberrechtsverletzungen prüfen, idealerweise mit manuellen Kontrollen oder Plagiatsscans.
  • Input-Quellen verifizieren: Beim Hochladen eigener oder fremder Inhalte in KI-Systeme muss man sicherstellen, dass diese gemeinfrei, lizenziert oder selbst erstellt sind.
  • Dienstleister sorgfältig auswählen: Bevor man externe KI-Dienstleister nutzt, sollte man deren Nutzungsbedingungen genau prüfen und sicherstellen, dass die Rechte an Input und Output klar geregelt sind und eine kommerzielle Nutzung des Outputs rechtssicher erlaubt ist. Dies sollte man auch entsprechend dokumentieren.
  • Lizenzierte Trainingsdaten bevorzugen: Man sollte grundsätzlich solche KI-Systeme bevorzugen, die auf lizenzierten oder gemeinfreien Trainingsdaten basieren, um das Risiko von Urheberrechtsverletzungen zu minimieren.

Fazit: Proaktives Handeln schützt

Die Verantwortung für die Einhaltung von Urheberrecht und Datenschutz beim KI-Einsatz liegt bei den Nutzern und Betreibern von KI-Systemen. Aktuell laufen bereits bedeutende Klagen, wie die der GEMA gegen OpenAI und Suno Inc., was die Relevanz dieser Themen unterstreicht und ein nicht zu unterschätzendes Risiko für Unternehmen darstellt.

Man muss jetzt handeln. Durch proaktive Maßnahmen und eine klare Compliance-Strategie kann man rechtlichen Auseinandersetzungen vorbeugen, finanzielle Risiken minimieren und das Vertrauen der Kunden in die eigene digitale Kompetenz stärken.

Tippe /, um einen Block auszuwählen