Rechtssicherheit für die KI-Zukunft: Was Unternehmen jetzt wissen müssen
Künstliche Intelligenz birgt ein enormes wirtschaftliches Potenzial, sorgt aber für große Unsicherheit bei Unternehmen. Besonders mögliche rechtliche Stolperfallen stellen eine Herausforderung dar. Laut einer Befragung des Statistischen Bundesamts nennen 51 Prozent der Firmen, die keine KI nutzen, Unklarheiten über rechtlichen Folgen als Grund für ihre Zurückhaltung.
Wie können diese und andere Firmen die Vorteile und Chancen der KI nutzen und gleichzeitig rechtliche Sicherheit schaffen? Wir haben mit Joerg Heidrich, Fachanwalt für IT-Recht bei der Kanzlei Heidrich Rechtsanwälte, zertifizierter KI-Manager und Datenschutzauditor, über folgende Themen gesprochen:
- Warum eine rechtliche Vorbereitung auf die Nutzung von KI jetzt schon vorteilhaft sein kann.
- Aktuelle Fallbeispiele, bei denen Unternehmen durch die Verwendung von KI in rechtliche Schwierigkeiten geraten sind.
- Wichtige Verordnungen und Gesetze, mit denen sich Firmen bei der Verwendung von KI auseinandersetzen sollten.
- Erste Handlungsschritte, um Rechtssicherheit beim Einsatz von künstlicher Intelligenz zu schaffen.
Zweck und Vorteile einer KI-Richtlinie für Unternehmen
Künstliche Intelligenz soll Unternehmen die Arbeit erleichtern. Doch sie stehen zunehmend vor gesetzlichen Regulierungen, die das Gegenteil bewirken könnten. Um diese umzusetzen und den Mitarbeiter:innen Vorgaben für einen sicheren Umgang mit KI an die Hand zu geben, empfiehlt Joerg Heidrich die Einführung von KI-Richtlinien innerhalb der Unternehmen. Diese setzen Leitplanken, an denen sie sich orientieren können – mit positivem Effekt auf die Mitarbeitenden, wie der Experte erläutert. „Mitarbeiter:innen fühlen sich deutlich sicherer. Darf ich generierte Inhalte für die Website nutzen? Muss ich Bilder kennzeichnen? Welche Programme sind erlaubt?‘ – solche Fragen klären interne KI-Richtlinien.“
Aktuelle Fallbeispiele und Entwicklungen
Fallstricke für eine Nutzung von KI im betrieblichen Einsatz sieht Joerg Heidrich in der Unsicherheit rund um urheberrechtliche und datenschutzrechtliche Fragen. „Viele Firmen fragen sich, ob KI-generierte Inhalte urheberrechtlich geschützt sind oder frei genutzt werden dürfen. Grundsätzlich sind sie nicht geschützt – bis auf wenige Ausnahmen. Dennoch entsteht ein immer dichteres Minenfeld neuer Fragen, insbesondere beim Datenschutz. Hier ist die DSGVO ein großes Hindernis, da sie sich nur schwer mit KI vereinbaren lässt.“
Die schrittweise in Kraft tretende KI-Verordnung, der sogenannte EU AI-Act, ist eine noch größere Herausforderung. „Diese Verordnung stellt strenge Compliance-Anforderungen an Unternehmen und KI-Betreiber.“ Aus Expertensicht fallen die Hürden für Anbieter und Nutzer:innen in einigen Bereichen so hoch aus, dass der gesamte Fortschritt bei der Entwicklung und dem Einsatz von KI beeinträchtigt wird. Schon jetzt ergeben sich im Arbeitsalltag riskante Szenarien. Die Haftungsfrage hängt stark vom jeweiligen Einsatzbereich ab.
Falschinformationen von Chatbots
„Gerade wenn KI nach außen genutzt wird, etwa durch einen Chatbot, trägt das Unternehmen die Verantwortung“, warnt Joerg Heidrich. Der Experte verweist auf ein Urteil des Landgerichts in Kiel von 2024, das die Problematik verdeutlicht: Eine Firma betrieb eine Website mit KI-generierten Wirtschaftsinformationen und nutzte dafür unter anderem das Handelsregister. Fälschlicherweise erklärte die KI ein erfolgreiches Unternehmen für insolvent. Die geschädigte Partei klagte erfolgreich – das Gericht entschied, dass der Auskunftsdienst für Fehler der KI haftet. Der Versuch, die KI als eigenständigen Mitarbeitenden darzustellen, wurde abgelehnt. „Unternehmen haften für schlecht programmierte oder eingesetzte Technologie oder wenn sie das Risiko des Halluzinierens in Kauf nehmen“, so Joerg Heidrich.
Auch international gibt es Beispiele: In Kanada fragte ein Kunde den Chatbot von Air Canada nach Sondertarifen für Beerdigungen. Die KI bestätigte fälschlicherweise ein solches Angebot. Vor Gericht argumentierte die Airline, der Chatbot sei eine eigenständige juristische Person – ohne Erfolg. Air Canada musste Schadenersatz zahlen. Regressionsansprüche der KI-Nutzer:innen gegen die Anbieter von künstlicher Intelligenz sind laut Experte oft schwierig, da Haftungsklauseln in deren AGB dies meist ausschließen.
Transparenz bei der Verwendung von Chatbots
Derzeit bestehe zwar keine gesetzliche Pflicht, aber Unternehmen, die Chatbots im Kundenservice einsetzen, müssen dies künftig klar kennzeichnen. „Mit Inkrafttreten des entsprechenden Bereichs der KI-Verordnung muss die Interaktion mit KI-Systemen klar erkennbar sein“, erklärt KI-Rechtsexperte Joerg Heidrich. Er rät Firmen, bereits jetzt proaktiv Transparenz zu schaffen – nicht zuletzt, um das Vertrauen der Kund:innen zu wahren.
Vorsicht beim Thema Datenschutz
Unternehmen sollten bei der Nutzung von Kundendaten für KI-Analysen besonders vorsichtig sein. Joerg Heidrich hält diese Praxis grundsätzlich für sinnvoll. Er betont aber, dass die Datenauswahl mit großer Sorgfalt erfolgen muss. „Personenbezogene Daten sollten möglichst vermieden werden, da sie rechtliche Herausforderungen mit sich bringen. Es ist zum Beispiel keine gute Idee, einfach die gesamte Kundenbasis einzuspielen, die Daten zu vermischen und auf beliebige Ergebnisse zu hoffen.“
Auch das Urheberrecht erfordert Aufmerksamkeit. Dennoch gibt es viele rechtlich unbedenkliche Anwendungsfälle, wie der Experte anmerkt. „Maschinendaten sind unproblematisch. Kritisch wird es bei personenbezogenen Daten oder Geschäftsgeheimnissen – diese sollten Unternehmer:innen und Mitarbeitende keinesfalls in solchen Prozessen verwenden.“
Zentrale Verordnungen und Gesetze
Mehrere zentrale Richtlinien und Verordnungen seien für die Nutzung von KI relevant. Joerg Heidrich nennt das KI-Gesetz der EU, das Urheberrecht und den Datenschutz als die drei wichtigsten Handlungsfelder für Unternehmen.
KI-Verordnung (aktueller Stand)
Die KI-Verordnung konzentriert sich auf Hochrisiko-KI und verbietet unter anderem soziale Bewertungssysteme, sogenanntes social scoring, sowie manipulative KI. Ein kleinerer Teil regelt Transparenzpflichten für weniger riskante KI-Systeme. Entwickler:innen und Betreiber:innen müssen Nutzer:innen informieren, wenn sie mit KI interagieren. Systeme mit geringen Risiken, wie Spam-Filter, bleiben vom AI-Act ausgeschlossen.
Anbieter von GPAI-Modellen (General Purpose AI) müssen technische Unterlagen und Gebrauchsanweisungen bereitstellen, urheberrechtliche Vorgaben einhalten und eine Zusammenfassung der Trainingsdaten veröffentlichen. Hierbei handelt es sich um vielseitig einsetzbare Modelle, die als Grundlage für spezialisierte Anwendungen in Bereichen wie Sprachverarbeitung, Medizin, Finanzen und Softwareentwicklung dienen.
Zudem müssen Arbeitgeber, die KI betreiben, die KI-Kompetenz ihrer Mitarbeitenden sicherstellen und nachweisen, was sich aus Artikel 4 des EU AI Actes ergibt. Ein auf das Unternehmen zugeschnittenes Schulungs- und Weiterbildungskonzept kombiniert mit einer KI-Richtlinie kann im Schadensfall Bußgelder abwenden und Risiken minimieren.
Die am 12. Juli 2024 veröffentlichte Verordnung gewährt eine 24-monatige Übergangsfrist bis zum 2. August 2026. Bestimmungen zu verbotenen KI-Praktiken treten bereits am 2. Februar 2025 in Kraft. Hierzu zählen unter anderem Emotionserkennung, Verhaltensmanipulation und Social Scoring, also die Einstufung von Menschen aufgrund ihres Verhaltens, ihres sozial ökonomischen Status oder ihrer persönlichen Merkmale.
Urheberrecht
Das Urheberrecht regelt bei KI-Anwendungen die Nutzung von Trainingsdaten und fremden Inhalten im Lernprozess der KI. Rechteinhaber:innen können die Verwendung ihrer Inhalte über ein Opt-out auf ihrer Internetpräsenz untersagen. Bei täuschend echten Medieninhalten, die mithilfe von Künstlicher Intelligenz abgeändert, erzeugt oder verfälscht wurden, ist das Urheberrecht zu beachten, sofern geschütztes Material verwendet wurde. Bei diesen sogenannten Deepfakes können Rechteinhaber:innen Unterlassung oder Schadenersatz fordern. Zudem müssen Nutzer:innen KI-generierte Ergebnisse prüfen, um übermäßige Ähnlichkeit mit bestehenden Werken zu vermeiden. Das Urheberrecht gilt für KI-generierte Werke nur, wenn die KI als Hilfsmittel dient und die kreative Gestaltung überwiegend vom Menschen stammt.
KI-Datenschutz
In einem KI-Kontext dient der Datenschutz dazu, die Grundrechte und Freiheiten von Personen zu schützen, deren personenbezogenen Daten bei der Entwicklung und Nutzung von künstlicher Intelligenz verarbeitet werden. Die DSGVO legt hierfür strenge Vorgaben fest, wie die Einhaltung der Grundsätze der Datenverarbeitung (z. B. Rechtmäßigkeit, Transparenz, Zweckbindung und Datenminimierung).
„Vieles mag eine Rolle spielen, doch diese drei Aspekte sind die wesentlichen Kernbereiche – und das ist völlig ausreichend“, betont der Experte. Besonders der Datenschutz stelle eine große Herausforderung dar. „Das ist der Endgegner der KI“, ergänzt Joerg Heidrich. Unternehmen können sich jedoch durch eigene Recherchen, Weiterbildungen und spezialisierte Kurse vorbereiten. Diese vermitteln Grundlagen und ermöglichen tiefere Einblicke.
TÜV NORD – Ihr Partner für berufliche Weiterbildungen
- Über 900 qualifizierte Referentinnen und Referenten geben ihr Know-how in über 520 verschiedenen Seminarthemen täglich an Sie weiter.
- Wir bieten Ihnen volle Flexibilität. Entscheiden Sie selbst, ob Sie an unserem OnlineCampus, einer Präsenzschulung oder an einer für Sie konzipierten Inhouse-Schulung teilnehmen möchten.
- Wir stehen für Qualität. Unsere Zertifikate und Bescheinigungen sind Qualitätssiegel für Sie und Ihr Unternehmen.
Unsere Seminar-Empfehlungen für Sie
Im Webinar KI-Regulierung im Unternehmen zeigen wir Ihnen praxisnahe Wege durch das Dickicht der rechtlichen Vorgaben rund um den geschäftlichen Einsatz von generativer künstlicher Intelligenz. Gewinnen Sie Sicherheit im Umgang und Einsatz mit KI-gestützter Software und nutzen Sie die Gelegenheit, Ihre Fragen zu platzieren
Im Seminar KI-Management erhalten Sie einen fundierten Überblick über die technischen, rechtlichen und organisatorischen Aspekte von Künstlicher Intelligenz (KI). Sie lernen die wesentlichen Risiken und Chancen des Einsatzes von KI-Systemen kennen.
Die Teilnahmebescheinigung dient als Nachweis zum Erwerb von KI-Kompetenz im Sinne von Art. 4 der KI-Verordnung.
Diese Ausbildung für KI-Spezialisten soll gewährleisten, dass KI-Vorhaben gemäß den Anforderungen der KI-Verordnung und weiterer Regelungen konzipiert, eingeführt, durchgeführt und dokumentiert werden. Zusätzlich erfahren Sie praxisnah, wie Sie als zertifizierte KI-Spezialistin bzw. zertifizierter KI-Spezialist ein fundiertes rechtliches, technisches und organisatorisches Wissen aufbauen.
Mögliche Konsequenzen bei Non-Compliance
Vieles sei noch unklar, und entsprechend bleiben auch die rechtlichen Konsequenzen bei Nichtbeachtung oft vage. Es gebe jedoch bereits erste Anzeichen, wie sich die Situation entwickeln könnte. „Im urheberrechtlichen Bereich sind Abmahnungen möglich, und theoretisch können Bußgelder drohen. Der AI-Act tritt schrittweise in Kraft und wird erst in zwei Jahren vollständig wirksam. Mittelfristig sind jedoch Strafen und Sanktionen zu erwarten“, erläutert Joerg Heidrich.
Erste Handlungsschritte
Wie können sich Unternehmen auf kommende gesetzliche Anforderungen vorbereiten? Informationen und gezielte Recherchen bieten eine fundierte Basis. Joerg Heidrich rät jedoch zur Gelassenheit.
Es gibt Fortbildungspflichten in der KI-Verordnung, und Unternehmen benötigen KI-Kompetenz bzw. eine sogenannte AI-Literacy. Sie müssen verstehen, was mit der künstlichen Intelligenz auf sie zukommt.
Weiterbildungen und Webinare für Mitarbeitende seien daher sinnvoll. „Wenn etwa Fragen zum Urheberrecht geklärt werden, verlassen die Teilnehmenden die Schulungen mit einem guten Gefühl, weil sie ihr Wissen direkt anwenden können, ohne sich Sorgen über Rechtsverletzungen zu machen.“
Entscheidend sei auch der Nutzungskontext: „Wer KI in riskanten Bereichen einsetzt, sollte sich frühzeitig mit rechtlichen Fragen befassen. Unternehmen können schnell in der Liste der sogenannten Hochrisiko-KI auftauchen – insbesondere im HR-Bereich. Der Einsatz zur Qualifikationsüberwachung oder Ähnlichem könnte besonders heikel werden.“
Auch die Rolle der KI im Unternehmen beeinflusse den Beratungsbedarf. „Ist es ein Feature, das Mitarbeiter:innen unterstützt, oder ein zentraler Bestandteil des Geschäfts? Im zweiten Fall empfehle ich dringend eine externe Beratung“, so Joerg Heidrich. Firmen, die KI lediglich als Add-on nutzen oder erste Erfahrungen sammeln, können zunächst mit Fortbildungen auskommen.
Rechtliche Zukunft der KI
Aus rechtlicher und regulatorischer Sicht stehen der KI noch spannende Entwicklungen bevor. Die Technologie selbst sei jedoch zu weit fortgeschritten, dass sie kaum noch zu stoppen sei. Unternehmen sollten daher frühzeitig rechtliche Leitplanken entwickeln. Eine klare KI-Richtlinie reduziert Unsicherheiten bei Mitarbeitenden und minimiert Compliance-Risiken. Es ist essenziell, sich mit zentralen Regulierungen wie der KI-Verordnung, dem Datenschutz und dem Urheberrecht vertraut zu machen.
Da sich die rechtlichen und regulatorischen Rahmenbedingungen ebenfalls weiterentwickeln können, müssen Unternehmen ihre internen KI-Vorgaben regelmäßig überprüfen und anpassen. Fortlaufende Schulungen sowie sorgfältige Beobachtung der Gesetzeslage gewährleisten einen rechtlich sicheren und verantwortungsvollen Einsatz von KI.
Ihre Ansprechpartnerin
Portfoliomanagement
II. Hagen 7, 45127 Essen
Tel.: +49 201 3195544
dkirmse@tuev-nord.de