Corporate Governance Inside Legislation & Jurisdiction

Allgemeine Rechtsfragen im Kontext von generativer KI

Die steigende Verbreitung der generativen künstlichen Intelligenz (KI) verstärkt weiterhin die aktuelle Begeisterung für die Nutzung von GenAI für immer neue Anwendungsfälle. Dies hat jedoch (nicht nur) in rechtlicher Hinsicht weitreichende Implikationen, insb. im Hinblick auf geistiges Eigentum, Datenschutz, Vertraulichkeit, Vertragsrecht und die KI-Strategie. Mit diesen Fragen müssen sich auch Aufsichtsräte beschäftigen.

Generative KI wird regelmäßig als Technologie definiert, die autonom diverse Inhalte wie Texte, Bilder, Videos etc. erzeugen kann. Aufgrund des enormen Potenzials der Lösung erforschen Unternehmen jeder Größe die Möglichkeiten dieser Technologie, während insbesondere Compliance- und Rechtsexpert:innen Bedenken zum Einsatz von generativer KI äußern. Juristischen Führungspersönlichkeiten fällt in diesem Kontext vor allem die Aufgabe zu, die Stakeholder (z.B. Geschäftsführung, leitende Angestellte, Vorstand, Aufsichtsrat etc.) kompetent über GenAI aufzuklären, Spielräume aufzuzeigen und gleichzeitig klare Grenzen zu setzen. Essenziell ist dabei das tiefe Verständnis der Funktionsweise generativer KI sowie ihrer rechtlichen Risiken.

Im Folgenden werden einige vom konkreten Anwendungsfall losgelöste rechtliche Fragen im Kontext von generativer KI aus einer globalen Perspektive beleuchtet, ohne dabei auf die konkrete rechtliche Situation in Deutschland (oder anderen Ländern) oder die weitergehenden Fragen zum einzelnen Use Case einzugehen. Da sich der anwendbare Rechtsrahmen weltweit noch in der Entwicklungsphase befindet und sich stetig weiterentwickelt, wird existierende oder geplante Regulatorik nicht diskutiert, außer dies dient dem besseren Verständnis der relevanten Risiken.

Geistiges Eigentum

Eine generative KI, die auf einem entsprechend trainierten KI-Basismodell aufgebaut ist, erstellt auf Grundlage der Eingaben des Nutzenden (sogenannter Prompt) komplexen Output, der zuvor nicht existiert hat (z.B. Texte, Bilder, Videos, Musik, Computercode usw.). Sie tut dies dabei auf Grundlage von Wahrscheinlichkeitsberechnungen. Diskussionen über Rechte am geistigen Eigentum von Input (insb. Trainingsmaterialien), den Prompts und dem Output der KI sind jedoch noch neu. Die folgende Darstellung fokussiert auf die urheberrechtlichen Aspekte, doch diese Konzepte könnten auch auf andere geschützte geistige Eigentumsformen angewendet werden.

Rechtlicher Schutz des Inputs (Trainingsmaterialien)

Es ist davon auszugehen, dass die für das Training von generativer KI genutzten Inhalte in vielen Fällen urheberrechtlich geschützt sind, wobei das Ausmaß von Land zu Land variiert. Die Nutzung und insbesondere die zwischenzeitliche oder dauerhafte Vervielfältigung dieser Materialien zum Zweck des KI-Trainings können Urheberrechtsverletzungen darstellen, außer sie fallen unter Ausnahmeregelungen wie beispielsweise das Text-/Data-Mining in der EU oder das „Fair Use"-Prinzip in den USA. Bislang herrscht noch Unsicherheit, welche Inhalte ohne Verletzung des geistigen Eigentumsrechts verwendet werden dürfen. Es kommt auf den Einzelfall an.

Rechtlicher Schutz von KI-generiertem Output

Das derzeit geltende Urheberrecht ordnet die Rechte eines Werkes der/dem menschlichen Urheber:in zu, um so deren/dessen Beziehung zur Arbeit und ihre/seine Kontrolle über die Nutzung des Werkes zu schützen. Der Output einer KI hat allerdings keinen menschlichen Urheber, weshalb sich die Frage nach einer schutzfähigen Urheberschaft stellt. Es liegt nun in den Händen der Gesetzgeber zu entscheiden, inwiefern Urheberrechte an KI-generiertem Output entstehen und wem sie zustehen. Das Europäische Parlament und das US Copyright Office etwa vertreten den Standpunkt, dass ausschließlich durch KI-erzeugte Werke mangels eines menschlichen kreativen Beitrages keinen Urheberrechtsschutz genießen können. Allerdings können Urheberrechte an Werken entstehen, bei denen ein Mensch die KI lediglich als Werkzeug einsetzt und dabei selbst die gestalterischen Entscheidungen trifft oder wenn ein KI-Output im Rahmen eines menschengeschaffenen Gesamtwerkes nur als ein künstlerisches Element dieses Gesamtwerks eingesetzt wird – entscheidend ist dabei immer, welcher Beitrag auf die geistige Leistung eines Menschen zurückzuführen ist.

Datenschutz und Vertraulichkeit

Insbesondere beim Training, aber auch bei der Generierung des Outputs verarbeitet generative KI Datenmengen von enormen Ausmaßen, die – je nach Art der Daten – einen unterschiedlichen Schutzbedarf aufweisen. Grob unterscheiden lassen sich personenbezogene und nicht-personenbezogene Daten. Nachfolgend widmen wir uns einigen der wichtigsten Herausforderungen, welche mit dieser Verarbeitung einhergehen.

Rollen und Verantwortlichkeit für personenbezogene Daten

Im europäischen Datenschutzrecht ist der Ausgangspunkt für die Rechte und Pflichten der einzelnen Personen die Zuordnung der Rollen und Verantwortlichkeiten der beteiligten Akteure für die Verarbeitung personenbezogener Daten (d.h. der oder des Verantwortlichen, der Auftragsverarbeiter, der gemeinsam Verantwortlichen etc.).

Bei einem vereinfachten Geschäftsmodell könnte dies folgendermaßen aussehen: Der Anbieter einer generativen KI ist Verantwortlicher für die initialen Trainings- und Testdatensätze, die einen Personenbezug aufweisen. Denkbar ist auch, dass er für seine Kunden als Auftragsverarbeiter auftritt, sofern die Kunden selbst personenbezogene Daten in die generative KI einbringen. Schließlich erscheint auch die Vermischung der Rollen oder eine gemeinsame Verantwortlichkeit möglich. Eine genaue Prüfung des Einzelfalls im Rahmen der normalerweise notwendigen Datenschutzfolgenabschätzung ist in jedem Fall erforderlich.

Grundsätze des Datenschutzes

Doch warum das alles? Personenbezogene Daten sind von Gesetzes wegen besonders schutzwürdig. Gerade beim Einsatz generativer KI besteht jedoch die Gefahr, dass die Grundsätze des Datenschutzes missachtet werden. Insbesondere sollte auf folgende Aspekte geachtet werden.

  • Rechtmäßigkeit: Jede Verarbeitung personenbezogener Daten muss gerechtfertigt sein. Einige Anbieter von generativer KI scheinen gegenwärtig auf ihr berechtigtes Interesse an der Verarbeitung personenbezogener Daten für KI-Trainingszwecke und auf die vertraglich notwendige Bereitstellung ihres „Dienstes“ zu pochen. Daher sollte überdacht werden, ob Firmen nach einer gründlichen internen Prüfung sich für ihre eigenen Geschäftszwecke auf dieselben rechtlichen Grundlagen berufen können. Beachtenswert ist insbesondere, ob die KI eigene Entscheidungen trifft, denn hier können je nach Rechtsordnung verschärfte Anforderungen gelten.

  • Transparenz: Zu Einsatz und Zweck der generativen KI sollte in Datenschutzerklärungen in einfacher Sprache über die Verarbeitung personenbezogener Daten aufgeklärt werden.

  • Datenminimierung: Die Verarbeitung personenbezogener Daten muss auf ein Maß minimiert werden, das zwingend zur Erreichung des mit der Verarbeitung verfolgten Zwecks erforderlich ist. Daher sollte, soweit möglich, beispielsweise der Gebrauch von personenbezogenen Daten eingeschränkt oder ganz ausgeschlossen werden. In technischer Hinsicht kommt die Filterung der Daten oder die Nutzung synthetischer Daten in Betracht. Möglicherweise muss auch die nutzerseitige Möglichkeit beschränkt werden, personenbezogene Daten in das System einzugeben.

  • Sensible Daten: Werden sensible Daten (z.B. Daten Minderjähriger, Gesundheitsdaten etc.) verarbeitet, gelten besonders strenge Anforderungen. Möglich sind Vorsichtsmaßnahmen (z.B. Altersüberprüfung, Einholung einer Einwilligung), aber auch Verbote der Verarbeitung dieser Daten, um den damit einhergehenden Risiken und rechtlichen Vorgaben angemessen Rechnung zu tragen.

  • Individuelle Rechte: In vielen Rechtsordnungen haben Einzelpersonen unmittelbare Rechte zum Schutz ihrer personenbezogenen Daten (z.B. Auskunftsrechte, Widerspruchsrechte, Recht auf Löschung etc.). Angesichts der komplexen Technologien, auf denen generative KI basiert, kann die Implementierung der Verfahren zur Durchsetzung der individuellen Rechte herausfordernd oder gar unmöglich sein.

Anwendende sind gut beraten, sich über diese Aspekte vor dem Einsatz von generativer KI Gedanken zu machen.

Vertraulichkeit

Die Wahrung der Vertraulichkeit spielt zwar auch bei personenbezogenen Daten eine Rolle, verknüpft ist diese Diskussion jedoch mit dem Schutz von nicht-personenbezogenen Daten wie etwa geschäftsbezogenen Daten, finanziellen und technischen Informationen, Know-how oder anderen Geschäftsgeheimnissen. Die Verletzung von gesetzlichen oder vertraglichen Vertraulichkeitsverpflichtungen kann dabei zivil und strafrechtliche Konsequenzen haben. Die fortlaufende Sicherstellung der Vertraulichkeit von Daten ist daher von besonderer Bedeutung, etwa um deren ungewollten Abfluss zu verhindern.

Auf die Einhaltung von Vertraulichkeitsgrundsätzen ist dabei bereits bei einem etwaigen eigenen Training zu achten, da generative KI unbeabsichtigt lernen und sensible Informationen aus den Trainingsdaten reproduzieren kann. Dies kann zur unbeabsichtigten Generierung von Ergebnissen führen, die vertrauliche Informationen enthalten. Ähnliches gilt bei der Eingabe von sog. Prompts durch die Nutzer, da (insbesondere öffentlich zugängliche) generative KI-Systeme teils so voreingestellt sind, dass diese Eingaben zum weiteren Training der Technologie genutzt werden können (was wiederum auch mit Blick auf die Verarbeitung personenbezogener Daten problematisch sein kann).

Unternehmen müssen sich auch ihrer eigenen Vertraulichkeitsverpflichtungen bewusst sein. Beinhaltet ein bestimmter Vorgang innerhalb eines Unternehmens vertrauliche Informationen, die etwa von Kunden, Lieferanten oder anderen Dritten bereitgestellt wurden oder eigene Geschäftsgeheimnisse des Unternehmens enthalten, muss das Unternehmen zunächst alle Vertraulichkeitsverpflichtungen und anderen vertraglichen Bedingungen berücksichtigen, unter denen die Informationen bereitgestellt wurden, und prüfen, ob die Verwendung dieser Daten in einer GenAI zulässig ist.

Vertragsgestaltung

Angesichts der rechtlichen Risiken, die mit dem Gebrauch generativer KI im Geschäftsumfeld einhergehen, müssen bei der Beschaffung solcher Lösungen die Vertragskonditionen genau überprüft werden. Dabei sollte neben den üblichen Themen wie Leistungsqualität und -umfang, klare Verteilung der Verantwortlichkeiten sowie verständliche Kostenmodelle, die bei jeder Beschaffung von IT-Systemen zu beachten sind, besonderer Fokus auf folgende Punkte gelegt werden:

  • Haftung und Freistellung: Geeignete Haftungs- und ggf. auch Freistellungsvereinbarungen mit dem Anbieter einer generativen KI sind essenziell, beispielsweise für die Verletzung von Rechten des geistigen Eigentums Dritter, Datenschutzvorschriften oder Vertraulichkeitsbestimmungen.

  • Versicherung: Vor allem bei kleineren Anbietern generativer KI sollte geprüft werden, ob diese in der Lage sind, etwaige Schadensersatz- und Entschädigungsforderungen zu begleichen bzw. ob eine entsprechende Versicherung besteht.

  • Business Continuity: Wird GenAI für den routinemäßigen Geschäftsbetrieb unerlässlich, müssen Regelungen für den Fall der Nichtverfügbarkeit des Systems getroffen werden.

  • Datenschutz und Vertraulichkeit: Die erwähnten Aspekte des Datenschutzes und der Vertraulichkeit sollten vertraglich berücksichtigt werden und stellen regelmäßig das Kernstück eines Beschaffungsvertrages dar.

  • KI-Regulatorik: Derzeit entstehen weltweit diverse Regelungswerke rund um KI und es ist mit einer dynamischen Entwicklung zu rechnen. Daher erscheint es wahrscheinlich, dass heute mögliche vertragliche Regelungen in Zukunft gegen die neue Regulatorik verstoßen oder dass bestimmte Aspekte der Regulatorik vertraglich beachtet werden müssen. Diese Dynamik sollte in der Vertragsgestaltung durch Öffnungsklauseln berücksichtigt werden.

KI nachhaltig gestalten

Die Rechtsabteilung spielt bei der Strategiefindung für den Einsatz von generativer KI eine zentrale Rolle. Sie legt rechtliche Rahmenbedingungen fest, bewertet Risiken und stellt die Rechtskonformität sicher. Denn beim Einsatz generativer KI gilt es immer die Vorteile mit den Risiken abzuwägen. Insbesondere folgende Maßnahmen können einen Beitrag leisten, um Risiken im Unternehmen dauerhaft zu reduzieren:

  • Iterative Beobachtung des technischen Fortschritts und der regulatorischen Entwicklung im nationalen sowie internationalen Kontext

  • Frühzeitige und vollständige Analyse der umzusetzenden Use Cases und rechtliche Analyse noch in der Designphase

  • Integration KI-spezifischer Aspekte in bestehende Datenschutz- und Compliance-Strukturen (klare Verantwortlichkeiten, Spezifikation von Richtlinien und Verfahren für den Einsatz von generativer KI, Schulung und Training von Mitarbeitenden usw.)

  • Physische und logische Zugangsbeschränkungen und Kontrollmechanismen durch effektive technisch-organisatorische Maßnahmen

  • Frühe Einbeziehung von Rechtsexpert:innen bei Beschaffung und Einsatz von KI sowie Auditierung von Anbietern

Unser Beratungsansatz

Unsere Expertise führt ein tiefgehendes rechtliches Verständnis in allen relevanten Bereichen, einschließlich Datenschutz-, Urheber- und Wettbewerbsrecht, mit der Erfahrung unserer Kolleg:innen aus den verschiedensten Disziplinen innerhalb von Deloitte zusammen, um die Anwendungsfälle in rechtliche Prozesse und Strukturen umzusetzen. Dabei nutzen wir das enorme Potenzial von generativer KI und balancieren es mit den komplexen rechtlichen Anforderungen aus. Dadurch minimieren wir potenzielle Risiken und stellen sicher, dass die Nutzung der KI den gesetzlichen Bestimmungen entspricht.

Disruptive Technologien wie generative KI, die nicht zwischen Großunternehmen und dem Mittelstand unterscheiden, verfügen gerade bei Letzterem, der durch eine große Wachstumsdynamik und hohe Innovationskraft gekennzeichnet ist, über ein enormes Potenzial.

Dr. Till Contzen Partner | Digital Law | Deloitte Legal Deutschland

E-Mail

Hier können Sie das gesamte Magazin als PDF herunterladen:

Download

Teilen Sie diesen Artikel:

<< Zurück zum Inhaltsverzeichnis

Erfahren Sie mehr zu unserem Programm