Rechtliche Risiken beim Einsatz von künstlicher Intelligenz

Immer mehr Tools drängen auf den Markt, die auf künstlicher Intelligenz (KI) basieren. Sie sind geeignet, Produktentwicklung, Markenbildung und Vermarktungsstrategien von Unternehmen zu revolutionieren. Tools wie ChatGPT, Midjourney oder perplexity.ai ermöglichen dabei eine effizientere und kostengünstigere Erstellung von Inhalten, Designs und Analysen. Kann ihr riesiges Potential nicht geleugnet werden, so ist gleichzeitig Vorsicht geboten. Denn Einsatz und Ergebnisse dieser Technologien werfen erhebliche rechtliche Fragestellungen auf, die sowohl in Rechtswissenschaft als auch in der Gesetzgebung Gegenstand einer dynamischen Auseinandersetzung sind.

Übersicht der rechtlichen Leitplanken

Der Einsatz künstlicher Intelligenz erfährt zwei wesentliche rechtliche Leitplanken:

Auf der Ebene der Europäischen Union wurde mit dem im August 2024 in Kraft getretenen EU AI Act ein risikobasierter Ansatz für die Regulierung von KI geschaffen. Gemäß Art. 1 Abs. 1 des EU AI Act soll die Einführung einer auf den Menschen ausgerichteten und vertrauenswürdigen KI gefördert werden. Die Wirkung ist umfassend: Regelungsadressaten sind nach Art. 2 Abs. 1 des EU AI Act Produkthersteller, Anbieter, Händler und Betreiber von KI-Systemen, unabhängig davon, ob sie ihren Sitz in der Union haben oder nicht. Maßgeblich ist allein, dass das jeweilige KI-System in einem Mitgliedstaat der Union verwendet wird.

Auf nationaler Ebene gelten bisherige Regelwerke auch für den Einsatz von KI-Technologien. Erheblich erschwert wird die Rechtsanwendung durch den Umstand, dass bei der Entstehung der einschlägigen Gesetze der disruptive Charakter von KI noch nicht berücksichtigt worden ist. In Zukunft wird zudem die Umsetzung der neuen EU-Produkthaftungsrichtlinie Einfluss nehmen. Herausforderungen entstehen dabei insbesondere in den folgenden Rechtsmaterien:

• Recht des geistigen Eigentums
  
• Wettbewerbsrecht
  
• Datenschutzrecht
  
• Zivilrechtliche Haftungsgrundsätze
  
• Arbeitsrecht (etwa Betriebsvereinbarungen zur KI-Nutzung)
  

Typische rechtliche Risiken beim KI-Einsatz

Geistiges Eigentum

Insbesondere bei der Nutzung generativer KI auf dem Rechtsgebiet des geistigen Eigentums ist Vorsicht geboten. Die Gefahr, dass eine KI beispielsweise identische oder verwechslungsfähig ähnliche, bereits für Dritte geschützte Marken zur Nutzung vorschlägt oder urheberrechtlich geschützte Werke wie Texte, Bilder oder Videos verwendet oder reproduziert, liegt auf der Hand. Denn die derzeit im Einsatz befindlichen Technologien wurden mit beinahe unendlichen Datenmengen trainiert, darunter eben auch rechtlich geschützte Inhalte.

Der Verletzer muss mit empfindlichen Rechtsfolgen rechnen. Er haftet – neben Vernichtung, Beseitigung, Auskunft und Unterlassung – auch auf Schadensersatz. Eine Kostentragungspflicht kann für ihn bereits durch die Abmahnung entstehen, mit der beispielsweise eine Urheberrechtsverletzung erstmals geltend gemacht wird (vgl. etwa § 97a Abs. 3 Satz 1 UrhG). Doch damit nicht genug: Es drohen auch strafrechtliche Konsequenzen. So stellt zum Beispiel § 106 Abs. 1 UrhG die Vervielfältigung, Verbreitung oder öffentliche Wiedergabe eines Werks, einer Bearbeitung oder einer Umgestaltung eines Werks ohne Einwilligung des Berechtigten und außerhalb der gesetzlich zugelassenen Fälle unter Strafe.

Lauterkeitsrecht

In lauterkeitsrechtlicher Hinsicht haben die Nutzer von KI-Tools nicht nur Pflichten gegenüber Mitbewerbern zu berücksichtigen. Auch im B2C-Bereich sind zahlreiche unlautere Geschäftspraktiken definiert, die es zu berücksichtigen gilt. Dabei besteht vor allem die Gefahr, dass die von der KI generierten Inhalte unwahr oder irreführend sind und ihre Verwendung den Tatbestand einer unlauteren geschäftlichen Handlung nach § 5 Gesetz gegen den unlauteren Wettbewerb (UWG) erfüllt. In einem solchen Fall sehen sich die Verwender Beseitigungs-, Unterlassungs- und Schadensersatzansprüchen ausgesetzt, die gemäß § 8 Abs. 3 UWG unter anderem von Mitbewerbern und bestimmten Verbraucherverbänden geltend gemacht werden können.

Schutz personenbezogener Daten

Auch im Zusammenhang mit der Verarbeitung personenbezogener Daten ist Vorsicht geboten. Zwar kann KI beispielsweise das Handling von Kunden- oder auch Angestelltendaten erleichtern und auch erhebliche Datenmengen in kurzer Zeit analysieren – jedoch gilt es gerade hier, Verstöße gegen die Datenschutz-Grundverordnung (DSGVO) und den EU AI Act zu vermeiden, die aufgrund unterschiedlicher Schutzrichtungen nebeneinander anwendbar sind. Die Verbindung entsteht gerade durch den Umstand, dass KI-Tools für ihren Betrieb und ihre Verbesserung auf Daten, auch solche mit Personenbezug, angewiesen sind. Rechtserhebliche Schwierigkeiten können sich vor allem im Hinblick auf die zulässigen Nutzungszwecke sowie die Rechte der betroffenen Personen ergeben. Aufgrund der möglichen Geldbußen von bis zu 20.000.000 Euro respektive bis zu 4% des Jahres(gruppen-)umsatzes gemäß Art. 83 Abs. 5 DSGVO sollte bei der Implementierung von KI-Systemen ein großes Augenmerk auf den Schutz personenbezogener Daten gelegt werden. Dies gilt nicht zuletzt aufgrund des weiten Anwendungsbereichs der Grundsätze für die Verarbeitung personenbezogener Daten gemäß Art. 5 DSGVO.

Zivilrechtliche Haftungsgrundsätze

Mangels eigener Rechtspersönlichkeit haftet die KI zwar nicht selbst für die im Rahmen ihrer Verwendung verursachten Rechtsverletzungen. Für die mit ihr erzeugten Inhalte haftet jedenfalls aber (auch) der Verwender der künstlichen Intelligenz. So bejahte beispielsweise das Landgericht Kiel in einem jüngeren Urteil die Haftung eines Unternehmens für eine Persönlichkeitsrechtsverletzung, die durch eine unrichtige Veröffentlichung im Internet entstanden war, wobei der veröffentlichte Inhalt das Ergebnis einer KI-Anwendung war – und das, obwohl das Unternehmen, das die KI eingesetzt hatte, keine Kenntnis von der Unrichtigkeit der veröffentlichten Information hatte (LG Kiel, Urteil vom 29.02.2024 – 6 O 151/23).

In Zukunft wird die Haftung für KI-Systeme aufgrund der Vorgaben der EU-Produkthaftungsrichtlinie verschärft werden (siehe hierzu auch den Beitrag von Philipp Reusch in dieser Ausgabe) Diese sieht eine Transformation ihrer Vorgaben in deutsches Recht bis zum 09.12.2026 vor. Neu wird sein, dass KI-Systeme als Software unter den Produktbegriff zu subsumieren sind. Neben der Erweiterung des Kreises potentieller Haftungsadressaten sieht die Richtlinie auf prozessualer Ebene umfassende Beweiserleichterungen für den Geschädigten durch Vermutungsregelungen und Offenlegungspflichten vor.

Selbstverständlich bleibt in diesem Spannungsfeld auch die Verantwortung der Geschäftsleitung ein zentrales Thema: Die allgemeine Überwachungspflicht der Geschäftsleitung, wodurch rechtskonformes Verhalten der Mitarbeitenden sowie des gesamten Unternehmens sichergestellt werden soll, gilt auch dort, wo der Einsatz von KI-Tools die Arbeit des Unternehmens erleichtert.

Arbeitsrecht

Der Einsatz von KI dürfte auch die Arbeitswelt nachhaltig verändern und neben dem Wegfall von Arbeitsplätzen dafür sorgen, dass Arbeitnehmer neue Qualifikationen erlernen müssen.

Werden KI-Tools zur Überwachung und Kontrolle von Arbeitszeiten eingesetzt, ist vor allem darauf zu achten, dass die Regelungen zum Datenschutz und das Recht auf Privatsphäre der Arbeitnehmer gewahrt werden. Die Nutzung zur Rekrutierung neuer Arbeitnehmer birgt zudem das Risiko, dass das jeweilige KI-Tool nicht ausreichend divers trainiert ist. Dadurch könnte es zu Diskriminierungen kommen, die einen Haftungstatbestand des Allgemeinen Gleichbehandlungsgesetzes erfüllen.

Handlungsempfehlung: Umfassendes Compliance-Management

Die erforderlichen Maßnahmen, um bei dem Einsatz von künstlicher Intelligenz ein effektives Compliance-Management zu errichten, lassen sich wie folgt zusammenfassen:

• Vorbeugen: Klare unternehmensinterne Vorgaben für die Nutzung von KI-Tools sind essentiell. Eine unternehmensinterne KI-Richtlinie sollte im Hinblick auf die dynamische Entwicklung der technischen sowie rechtlichen Aspekte fortlaufend aktualisiert und angepasst werden.
  
• Sensibilisieren: Ein fester Bestandteil des Compliance-Managements sollten regelmäßige Schulungen der Mitarbeitenden sowie des Führungspersonals im Umgang mit KI sein. Sämtliche Beteiligte sollten stets für die klassischen Probleme der KI-Nutzung, wie beispielsweise die latente Gefahr von IP- oder Datenschutzverletzungen, sensibilisiert werden.
  
• Recherchieren: Zur Wahrung fremder Rechte ist die Recherche bereits geschützter Marken, vorbestehender Designs oder Patente unerlässlich. Auch das wettbewerbliche Umfeld sollte bei dem Einsatz von KI jederzeit ermittelt und geprüft werden.
  
• Absichern: Gerade beim Bezug und der Nutzung fremder KI-Systeme sollten Haftungsfragen hinreichend vertraglich geklärt sein. Vertragsrechtliche Regelungen mit KI-Anbietern sollten die Haftung eindeutig klären und können gegebenenfalls auch einen Rückgriff ermöglichen.
  
• Vorausschauen: Mögliche rechtliche Konsequenzen sind bereits bei der Entscheidungsfindung miteinzubeziehen. Bei der Entwicklung und dem Inverkehrbringen eigener KI-Systeme wird insbesondere die europäische Regulierung relevant, die durch den EU AI Act und die Produkthaftungsrichtlinie umfassende Anforderungen stellt.
  

Schließlich könnte ein eigener KI-Beauftragter in vielen Unternehmen sinnvoll sein, um den Überblick über die Compliance zu behalten. Im Unterschied zur DSGVO ist eine solche Funktion zwar bislang nicht gesetzlich vorgesehen. Ab dem 02.02.2025 müssen Anbieter und Betreiber von KI-Systemen gemäß Art. 4 KI-VO Maßnahmen ergreifen, die sicherstellen, dass „ihr Personal und andere Personen, die in ihrem Auftrag mit dem Betrieb und der Nutzung von KI-Systemen befasst sind, über ein ausreichendes Maß an KI-Kompetenz verfügen“. Das ist auch sinnvoll, denn das Thema KI ist derart haftungsträchtig, dass es mit der gebotenen Sorgfalt, Personalstärke und Expertise bearbeitet werden sollte.

Fazit: Chancen nutzen, Risiken minimieren

Scheint das Potential von KI-Tools für Unternehmen grenzenlos, stellt deren Einsatz ihre Verwender jedoch vor unternehmerische und regulatorische Herausforderungen. Um Potentiale der KI optimal auszuschöpfen, gilt es gleichzeitig, rechtliche Risiken zu minimieren. Dazu gehört es, den dynamischen tatsächlichen und rechtlichen Diskurs nicht aus den Augen zu verlieren, um neue gesetzliche Anforderungen aus Unions- und nationalem Recht rechtzeitig und gesetzeskonform umsetzen zu können.