KI-Projekte rechtskonform gestalten
Die Datenschutzgrundverordnung setzt den Unternehmen in Europa Grenzen beim Einsatz von künstlicher Intelligenz. Der Zugriff der Sprachassistenten auf personenbezogene Daten muss dabei genau beachtet werden. Auch der AI Act der EU definiert klare Verantwortlichkeiten von Betreibern und Nutzern von KI-Systemen. Vor allem im internen Experimentierstadium setzen aber viele mittelständische Unternehmen auf den Grundsatz: Wo kein Kläger, da kein Richter. Doch was sollte man beachten und welche Stellschrauben sind in KI-Projekten einzustellen, um künftig rechtssicher durch die KI-Zukunft zu kommen? Der Beitrag gibt Antworten.
Geistiges Eigentum in Gefahr
Der Buchautor Benjamin von Stuckrad-Barre ist stocksauer! Ihn ärgert, wie Tech-Giganten sich frei an seinen Texten und denen von anderen Autoren bedienen, um sie als Trainingsdaten für ihre Sprachmodelle zu benutzen. Dazu werden eben nicht nur Informationen aus dem Internet abgezogen, sondern auch durch das Urheberrecht geschützte Texte zeitgenössischer Schriftsteller eingelesen. "Das gehört mir, das habe ich mir ausgedacht"schimpft der Autor auf seinem Instagram-Account, den der Norddeutsche Rundfunk zur besten Sendezeit in den Tagesthemen zitiert. "Das gilt für jeden Schriftsteller und jeden Filmemacher, für jede Fotografin und jede Autorin." Er werde gerne gefragt, ob jemand sein Material verwenden darf. "Dann sage ich ja oder nein. Das ist auch mit der Frage verbunden: Was kriege ich dafür?"
Nichts, wenn es nach den Geschäftsgebaren der KI-Unternehmen geht. Schon jetzt klagen Medienunternehmen gegen die „gewerbsmäßige Ausbeutung“ von geistigem Eigentum. Verlage versuchen bereits, ihre Werke rechtlich gegen die ungefragte Nutzung durch KI-Firmen zu schützen. Laut Experten sei das technisch möglich, aber kaum überprüfbar. Ironischerweise könnte dabei ausgerechnet künstliche Intelligenz zum Einsatz kommen. Mit ihrer Hilfe ließen sich beispielsweise Plagiatsfälle überprüfen, indem Ähnlichkeiten zwischen Schreibstilen, Wortgebrauch oder Themen identifiziert werden könnten. Andererseits ließen sich solche Auffälligkeiten nicht erkennen, wenn – zum Beispiel bei Fachbüchern oder Zeitungsartikeln lediglich die darin enthaltenen Informationen ausgewertet und ohne Quellenangabe wiedergegeben werden. Deshalb verhandeln einzelne Verlage bereits über Vergütungsmodelle - im Umlauf sind zum Beispiel Zahlen wie 3.000 Dollar pro eingespeistem Buch.
Stuckrad-Barre aber fordert, KI-Anbieter sollten erstmal alle Texte zurückgeben und sie fortan nur noch mit Erlaubnis und gegen Gebühr nutzen - die wohlgemerkt die Autoren festlegen. Sonst hätte der Schriftsteller noch eine ganz andere Idee: "Lasst uns doch das Urheberrecht abschaffen. Alles gehört allen - dann gilt das auch für Patente. Dann mache ich eben Google 2 auf, auch Facebook, und die müssen mir genau zeigen, wie sie das programmiert haben. Das kopiere ich dann einfach - und zwar ohne Nazis. Der Markt ist groß." Wenn geistiges Eigentum schon nichts mehr wert sei, dann eben für alle, findet Stuckrad-Barre.
Schon jetzt revolutioniert künstliche Intelligenz das Übersetzen eines Werkes in eine andere Sprache. Zwar braucht es Intuition und Einfühlungsvermögen, um den Erzählstil eines Buches analog in eine andere Sprache oder gar in eine andere Kultur zu übertragen. Aber eine unkritische wortwörtliche Übersetzung ist schnell und per Knopfdruck erreicht. Das wäre bei gemeinfreien Texten, also jenen, deren Autor bereits seit 70 Jahen verstorben ist, problemlos. Die durch KI automatisierte Übersetzung eines zeitgenössischen Textes bedarf aber immer noch der Genehmigung des Autors.
Firmengeheimnisse in Gefahr
Vor allem in international engagierten Unternehmengehören KI-gestützte Übersetzungen inzwischen zum Alltag. Sie erleichtern die Kommunikation zwischen Angehörigen unterschiedlicher Sprache, beschleunigen die Anpassung von Firmenunterlagen für regionale Vertriebsgebiete und helfen dabei, in multinationalen Meetings zeitnah mehrsprachige Protokolle zu generieren. Doch dabei ist Vorsicht bei der Wahl der Cloud-Plattform geboten, über die die Übersetzung erfolgt. Wer „mal eben schnell“ auf diese Weise Firmeninterna einer externen KI-Plattform anvertraut, ohne Geheimhaltungsvereinbarungen zu treffen, kann Gefahr laufen, unbeabsichtigt Geschäftsgeheimnisse preiszugeben.
Deshalb ist auch unter Datenschutzgesichtspunkten die Wahl des richtigen und zuverlässigen KI-Partners von großer Bedeutung. Doch in praktisch jeder Organisation gibt es inzwischen einen Wildwuchs an eingesetzten KI-Tools. Das beginnt bei den Apps auf dem Smartphone und setzt sich auf dem Laptop fort, wo die kleinen Helferlein für kleines Geld zum Einsatz kommen. Es ist deshalb ratsam, in der eigenen Organisation einen weitreichenden Überblick über die verwendeten KI-Werkzeuge zu erhalten.
Eine einfache und doch sinnvolle Maßnahme kann es sein, mit den Teams in den Abteilungen eine Aufstellung der dort eingesetzten KI-Apps zu erarbeiten. Eventuell lohnen sich auch Interviews mit einzelnen Mitarbeitern, um eine Vorstellung davon zu erhalten, was wo und in welchem Zusammenhang genutzt wird. Dabei geht es nicht nur um die Frage, wie die dabei verwendeten Daten bereitgestellt werden – also beispielsweise durch Texte, Mails, Zeichnungen, Produktbeschreibungen oder Videomitschnitte. Es geht auch darum, die damit verbundenen Datenverarbeitungsprozesse auf die Frage hin zu überprüfen, ob hier möglicherweise ungewollt interne Informationen abfließen könnten.
„Viele Unternehmen unterschätzen, wie tief KI bereits in die Arbeitsprozesse integriert ist, oft ohne formelle Genehmigung oder die nötige rechtliche Prüfung“, meint Rechtsanwalt Philipp Müller-Peltzer, Partner bei der Unternehmensberatung Schürmann Rosenthal Dreyer, der sich auf rechtliche Aspekte im Umgang mit künstlicher Intelligenz spezialisiert hat und dazu einen praktischen Leitfaden anbietet. „Die Bestandsaufnahme ist unerlässlich, um die Risikoklassifizierung, datenschutzrechtliche Compliance oder mögliche Haftungsrisiken zu bewerten.“
Er rät dazu, Nutzungsrichtlinien für die eigene Organisation festzulegen. Regeln könnten etwa klären, dass KI-Systeme zwar verwendet werden dürfen, die Eingabe oder Weitergabe von vertraulichen oder personenbezogenen Daten aber untersagt bleibt. Allerdings: Wer will das im Tagesablauf wirkungsvoll überprüfen? Tatsächlich aber kann die Festlegung solcher Richtlinien zur Vermeidung von Datenschutzverletzungen und Haftungsrisiken beitragen. Ohne eine solche Regelung bleibt die innerbetriebliche Nutzung von künstlicher Intelligenz ein Unsicherheitsfaktor.
Personenbezogene Daten in Gefahr
Es ist aber nun mal so, dass KI Einsätze vor allem dann einen großen Nutzen erbringen, wenn sie auf einen möglichst großen Datenpool zurückgreifen können. Dessen Analyse kann zu neuen Erkenntnissen, Innovationspotenzialen und Prozessvereinfachungen führen. Dazu ist neben qualitativ hochwertigen Daten auch eine ausreichende Datenmenge erforderlich, um zuverlässige Ergebnisse zu erzielen.
Die Crux: Diese Daten enthalten mitunter personenbezogene Informationen, die durch die strengen Bestimmungen der europäischen Datenschutz-Grundverordnung geschützt sind. Das macht den Datenschutz zu einem zentralen Aspekt des KI-Einsatzes. Allerdings legen viele Firmen den Datenschutzaspekt eher elastisch aus – insbesondere, solange sich das KI-Projekt noch im Experimentierstadium befindet. Doch auch ein KI-System, das ausschließlich für den internen Gebrauch geplant und eingesetzt wird, greift tief in den Datenbestand ein. Gerade im Marketing, im Vertrieb, in der Buchhaltung und im Personalmanagement ist die Wahrscheinlichkeit groß, dass dabei personenbezogene Daten berührt werden.
Denn egal ob bei der Erhebung von Trainingsdaten, dem KI-Training oder im produktiven Einsatz sollte eine datenschutzrechtliche Rechtsgrundlage angestrebt werden – dazu reicht oft eine einfache Einwilligung. So fordert es der Artikel 5 der DSGVO. Auch der AI Act greift, wenn KI-Systeme oder KI-Modelle mit allgemeinem Verwendungszweck (General Purpose Artificial Intelligence ) in der EU angeboten oder in Betrieb genommen und verwendet werden. Schließlich gilt für sie auch das Urheberrecht und das Gesetz gegen den unlauteren Wettbewerb auf den Umgang mit schützenswerten personenbezogenen Daten oder auf Informationen, die zum geistigen Eigentum Dritter gehören.
In der Regel werden Betroffene zum Beispiel bei der Eingabe ihrer Daten in einem Webformular um Einwilligungen zur Weiterverarbeitung der personenbezogenen Daten gebeten. Meist passiert das mit einer Einblendung unter dem etwas euphemistischen Titel „Ihre Privatsphäre ist uns wichtig“. Doch nach dem Gesetz haben die Betroffenen jederzeit das Recht und die Möglichkeit, diese Einwilligung zu widerrufen. Dann sind die Daten aber mit hoher Wahrscheinlichkeit längst verarbeitet und analysiert, was eine nachträgliche Löschung erschwert – vor allem, wenn diese Daten in den unendlichen Weiten eines neuronalen Netzes verschwunden sind.
Berechtigtes Interesse
Oftmals ist aber auch die Einholung von Einwilligungen gar nicht möglich, weil dort keine Möglichkeit zur Kontaktaufnahme mit den Betroffenen besteht – zum Beispiel, wenn das KI-System selbst Internet-Informationen einliest oder Webseiten-Analysen vornimmt. Viele Unternehmen greifen deshalb auf den Ausweg zurück, den der Artikel 6, Absatz 1 der DSGVO liefert. Danach ist eine Verarbeitung zulässig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist und die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen. Zum „berechtigten Interesse“ können auch Effizienzsteigerungen oder Kosteneinsparungen sowie die Optimierung eigener Angebote durch KI-Systeme einschließlich deren Weiterentwicklung berücksichtigt werden.
Doch die Fallstricke können auch in der Vergangenheit liegen, warnt Rechtsanwalt Philipp Müller-Peltzer in einem Beitrag für das Handelsblatt. „Wenn im Unternehmen bereits vorhandene Daten für das Training von KI genutzt werden sollen, ist der Grundsatz der Zweckbindung zu beachten. Dieser besagt, dass die Zwecke der Datenverarbeitung bereits bei der Erhebung personenbezogener Daten festgelegt, eindeutig und legitim sein müssen.“ Doch die meisten Daten im Unternehmen wurden ja nicht für KI-Trainings erhoben, sondern für andere interne Prozesse. Damit wäre also eine Zweckänderung verbunden, die nur zulässig wäre, wenn der neue Verarbeitungszweck mit dem ursprünglichen vereinbar ist. Ob die Verarbeitung von bereits vorhandenen personenbezogenen Daten – also zum Beispiel Informationen über Altkunden oder Akquisefälle – zulässig ist oder nicht, kann also durchaus eine Frage der Auslegung sein. Es gibt hier noch viel „auszuurteilen“.
Datenschutz-Check für KI
In vielen Fällen durchlaufen KI-Systeme eine Karriere vom Experimentierstadium zum marktreifen Produkt. So könnten zum Beispiel KI-Plattformen, die ursprünglich ausschließlich für den Einsatz im eigenen Unternehmen geplant waren, nach und nach auch Geschäftspartnern in der eigenen Lieferkette angeboten werden, um die Effizienzgewinne auf die gesamte Supply Chain auszudehnen. Der AI Act unterscheidet allerdings zwischen Betreibern und Nutzern von KI-Systemen und stellt unterschiedliche Anforderungen an die beiden Gruppen.
Müller-Peltzer empfiehlt auch deshalb, einen Datenschutz-Check für KI vorzunehmen. Dazu gehört ein Abgleich der AGBs des KI-Anbieters oder Plattform-Betreibers zu der Frage, ob die Dienstleistungen eine Datenverarbeitung und Speicherung vorsehen und ob eine Datenverarbeitungsvereinbarung vorliegt. Geprüft werden sollten auch Vertraulichkeitsvereinbarungen vor allem dann, wenn betriebsinterne Daten in die Verarbeitung einfließen.
„Unternehmen können unabsichtlich gegen die DSGVO verstoßen, wenn sensible Daten ohne ausreichende Zustimmung oder Schutzmaßnahmen verarbeitet werden“, warnt Rechtsanwalt Müller Peöltzer. Und: „Wer frühzeitig klare Strukturen schafft und rechtliche Stolpersteine kennt, nutzt die Chancen von KI effizienter und risikobewusster.“
