Künstliche Intelligenz: Was wichtiger ist als das KI–Gesetz

Das EU-Gesetz über Künstliche Intelligenz (AI Act) ist vor allem für Anbieter und Betreiber von KI-Systemen relevant. Ein Großteil der praktischen und rechtlichen Probleme beim Einsatz von KI wird hierdurch jedoch nicht geregelt. Diese müssen nach wie vor zwischen den Parteien ausgehandelt werden.

Intern: Klare Regelungen

Überall da, wo Mitarbeitenden ein Internet-Zugang zur Verfügung gestellt wird, wird dieser genutzt –auch, um mit KI wenigstens zu experimentieren, also insbesondere auszuprobieren, was ChatGPT, Copilot, Claude, Dall-E-, Midjourney u. a. leisten können. Ebenso hat sich inzwischen weitgehend herumgesprochen, dass mit der Nutzung Risiken für das Unternehmen verbunden sein können. Nicht wenige hat das bereits ihren Job gekostet. Umso erstaunlicher ist es, dass viele Unternehmen noch keine internen Vorgaben zum korrekten Einsatz von Künstlicher Intelligenz bei der Arbeit machen. Unbedingt geregelt gehört dabei der Umgang mit sensiblen Informationen und die Verwendung der Arbeitsergebnisse von KI, am besten aber auch Zuständigkeiten, Verantwortlichkeiten und Dokumentationserfordernisse. Denn eins ist sicher: Genutzt werden diese Systeme in jedem Fall. Ein Totalverbot ist nicht durchsetzbar und wäre auch produktivitätshemmend.

Mitbestimmung

Bei Betrieben, die der Mitbestimmung unterliegen, kann die Einführung von KI durchaus aufwendig sein. Denn: Muss der Betriebsrat zur Durchführung seiner Aufgaben die Einführung oder Anwendung von Künstlicher Intelligenz beurteilen, gilt insoweit die Hinzuziehung eines Sachverständigen als erforderlich (§ 80 Abs 3 S. 2 BetrVG).

Verlässliche Verträge

Viele Unternehmen kaufen KI-Lösungen von Dritten ein bzw. lizenzieren Software, in der KI enthalten ist. Dafür sollten Verträge verwendet werden, die den speziellen Themen beim Einsatz von KI Rechnung tragen - und nicht etwa veraltete Standard-Einkaufsbedingungen für IT, die zum Thema KI noch schweigen. Natürlich spricht nichts dagegen, etwaige veraltete Standard-Einkaufsbedingungen für IT gleich an die zahlreichen neuen praktischen und gesetzlichen Anforderungen anzupassen.

Einige wichtige Herausforderungen:

Bei Systemen generativer KI (die oben bereits genannten, wie ChatGPT u. ä.) sollte sich kein Lizenznehmer oder Anwender darauf verlassen, dass diese rechtskonform sind. Insbesondere ist fraglich, ob die zum Training verwendeten Daten rechtmäßig beschafft und genutzt wurden, insbesondere in Bezug auf Datenschutz, Persönlichkeitsrechte und Urheberrechte Dritter. Das heißt nicht, dass ein Unternehmen grundsätzlich vom Einsatz Abstand nehmen muss. Aber die Risikoverteilung muss vernünftig geregelt werden.

Ebenso liefert Künstliche Intelligenz gelegentlich unerwünschte Resultate oder zeigt merkwürdiges Verhalten. Beispielsweise können Arbeitsergebnisse von KI regelmäßig Rechte Dritter verletzen. Ein Rechteclearing kann hier wesentlich schwieriger als bei von Menschen erzeugten Arbeitsergebnissen sein, weil die KI erst gar nicht offenlegt oder offenlegen kann, bei welchen Urhebern sie sich bedient hat (besonderes Problem: Die korrekte Offenlegung der Nutzung von Open Source Code wird so nahezu unmöglich und die Nutzung damit unzulässig). Es sind auch Aussagen von auf Unternehmenswebsites eingesetzten Chatbots überliefert, die den Unternehmen buchstäblich auf die Füße gefallen sind – weil der Chatbot Kunden Rechte zugestanden hat, die die Kunden vertraglich an sich gar nicht gehabt hätten. Schließlich macht KI auch Fehler, was aber auch unerwartete Folgen haben kann: Bei manchen Systemen wird vor diesem Hintergrund regelmäßig eine gewisse Fehlertoleranz in Kauf genommen. Wenn allerdings ein KI-System, bspw. zur Betrugsprävention, so „scharf“ eingestellt wird, dass es Vorgänge nur dann freigibt, wenn ein Betrugsversuch zu 100 % ausgeschlossen werden kann, wird es wahrscheinlich nie einen Vorgang freigeben. Zugleich bedeutet aber ein geringerer Wert eine bewusste Inkaufnahme von Fehlentscheidungen, was beispielsweise den ansonsten für Fehlentscheidungen bestehenden Versicherungsschutz aushebeln kann. 

Ganz generell geht es darum, dass KI zwar effektiv ist, häufig aber intransparent arbeitet und früher oder später auch Fehler produzieren wird. Vertraglich muss also geregelt werden, wie mit der Intransparenz umzugehen ist bzw. wer das Risiko trägt, wenn nicht ermittelt werden kann, wo der Fehler lag – und auch, welcher Grad an Fehleranfälligkeit noch akzeptabel ist.

Die üblichen Maßstäbe von Vorsatz und grober Fahrlässigkeit, die sich in den meisten Standardverträgen finden, passen hier nicht: Beide Parteien wissen ja, dass es zu Fehler kommen kann. Geregelt werden muss also, welche Fehler welcher Vertragspartei zugerechnet werden. Das kann beispielsweise in Regelungen über Datenqualität, Servicelevels und Freistellungsklauseln erfolgen. Eine Standardlösung für jeglichen Einsatz von KI gibt es natürlich nicht. Wichtig ist aber, dass das Thema mitgedacht und angemessen geregelt wird.

Ebenfalls wichtig: Zu regeln, inwieweit die KI anhand der Daten des Lizenznehmers „trainiert“ werden darf und ob das so von der KI Gelernte dann auch anderen Kunden zugutekommen darf. Schlimmstenfalls könnten die zum Training eingesetzten Daten gegenüber anderen Kunden oder deren Endnutzern der KI offengelegt werden, was eine Verletzung von Persönlichkeitsrechten, Rechten des geistigen Eigentums oder Geschäftsgeheimnissen darstellen kann. Soweit der Datensatz des Lizenznehmers auch personenbezogene Daten umfasst, dürfen diese regelmäßig ohnehin nicht zum Training der KI für andere Kunden herangezogen werden.  

In Zusammenhang mit dem AI Act hat die Europäische Kommission übrigens den Entwurf von Standardvertragsklauseln für die Beschaffung von KI-Systemen durch öffentliche Einrichtungen vorgelegt (KI-SCCs). Die darin festgelegten Anforderungen sollen die Konformität der Vertragsbedingungen mit den Anforderungen des AI Act gewährleisten, wobei für Hochrisiko-KI-Systeme und nicht-Hochrisiko-KI-Systeme je eine Version der KI-SCCs veröffentlicht wurde.

Die KI-SCCs können nicht als alleinige vertragliche Grundlage für den Einsatz von den KIs herangezogen werden, da viele vertragsrechtlich relevante Themen (z.B. Haftung, geistiges Eigentum) gar nicht oder nicht hinreichend behandelt werden. Dennoch können die KI-SCCs bei der Aushandlung von Vertragsbedingungen – auch zwischen privaten Unternehmen – nützliche Orientierungspunkte liefern.

HR-Software

Einleitend wurde bereits gesagt, dass das EU-Gesetz über Künstliche Intelligenz nicht flächendeckend relevant sein wird, sondern insbesondere Anbieter und Betreiber von KI-Systemen verpflichtet. Ein Einsatzbereich soll vorlegend aber besonders erwähnt werden: Software im HR-Bereich gilt häufig als Hochrisiko-System, insbesondere Recruiting Tools (für die Einstellung und Auswahl von Bewerbern bzw. die Schaltung gezielter Stellenanzeigen) und Personalmanagement-Tools. Hochrisiko-Systeme unterliegen besonders strengen Anforderungen.