06/12/2023
Eigene KI-Sprachmodelle von Unternehmen
Spätestens seit der öffentlichen Verfügbarkeit mächtiger Sprachmodelle und ihrer für die meisten Menschen erstaunlichen Leistungsfähigkeit besteht wenig Zweifel, dass Unternehmen aller Branchen ihre Produktivität mit Künstlicher Intelligenz (KI) erheblich steigern können. Wie aber sieht der richtige Weg zur Implementierung aus? Geschäftsgeheimnis- und Datenschutz sprechen bei manchen Unternehmen gegen eine Nutzung kommerzieller Cloud-Anwendungen US-amerikanischer Anbieter. Eine Alternative können eigene KI-Modelle als interne Lösung sein, die z.B. von Drogeriemarktketten, Automobilzulieferern oder Kanzleien bereits eingesetzt werden, aber ebenfalls technische und rechtliche Herausforderungen bereithalten. Wir geben einen Überblick über Regelungen, die derzeit bestehen oder mit der Europäischen KI-Verordnung (KI-VO) auf KI-entwickelnde und -einsetzende Unternehmen zukommen. Der risikobasierte Ansatz der KI-VO Am 9. Dezember 2023 haben der Rat und das Parlament eine politische Einigung zur KI-VO erzielt, die klare Regeln zur Vermeidung von Diskriminierung, Überwachung und anderen potenziell schädlichen Auswirkungen insbesondere auf Grundrechte aufstellen soll. Die KI-VO kategorisiert KI-Systeme nach Risikopotenzial. Anbieter von Hochrisiko-KI-Systemen treffen besonders umfangreiche Pflichten, deren Erfüllung einigen Verwaltungsaufwand und finanzielle Ressourcen erfordern wird. KI-Entwicklern ist in Data Governance Systemen genau vorzugeben, mit welchen Daten auf welche Weise trainiert werden darf. Dies empfiehlt sich unabhängig von der KI-VO: Verstößt ein KI-Modell gegen Rechte Dritter, trifft den Anbieter und mittelbar das entwickelnde Unternehmen eine Exkulpationspflicht. Der Vorschlag der Europäischen KI-Haftungsrichtlinie sieht hierfür teils sogar einen Anscheinsbeweis vor, der entkräftet werden müsste. Solche Vorgaben sind kritisch, da die KI-Entwicklung sehr kostspielig ist und sich Fehler in der Auswahl der Trainingsdaten durch den gesamten Trainingsprozess ziehen. Von Datenqualität zu Datenschutz Zum Training von KI werden in der Regel große Datenmengen ausgewertet, wobei neben der Datenqualität die Rechtmäßigkeit der Datenverarbeitung zu gewährleisten ist. Wer auf eigene KI-Sprachmodelle setzt, verarbeitet sowohl beim Training als auch bei der späteren Nutzung regelmäßig personenbezogene Daten und muss als Verantwortlicher die Europäische Datenschutz-Grundverordnung (DSGVO) beachten. Lassen Daten Rückschlüsse auf natürliche Personen zu, ist technisch nicht ausgeschlossen, dass diese aus dem trainierten Modell gezogen werden können (z.B. durch sog. Inference Attacks). Aufgrund der strengen Anforderungen der DSGVO empfiehlt sich für das Training die ausschließliche Verwendung anonymisierter Daten. Die DSGVO enthält zudem KI-spezifische Vorschriften: Automatisierte Entscheidungen i.S.d. Art. 22 Abs. 1 DSGVO, die gegenüber den Betroffenen rechtliche Wirkung entfalten oder sie in ähnlicher Weise erheblich beeinträchtigen, sind grundsätzlich untersagt. KI darf insbesondere Entscheidungen über Einstellungen, Beförderungen, Kündigungen oder Abmahnungen nicht final treffen, es sei denn, die automatisierte Entscheidung ist für den Abschluss oder die Erfüllung eines Vertrags zwischen Betroffenen und dem Verantwortlichen erforderlich oder das Unternehmen kann sich auf eine ausdrückliche Einwilligung der Betroffenen berufen. Überdies gelten besondere Informations- und Auskunftspflichten zum Bestehen der automatisierten Entscheidungsfindung einschließlich Profiling sowie zu aussagekräftigen Informationen über die involvierte Logik, Tragweite und angestrebten Auswirkungen für Betroffene. Zudem kann eine Datenschutz-Folgenabschätzung i.S.d. Art. 35 DSGVO erforderlich sein. KI-Sprachmodelle im Unternehmen und arbeitsrechtliche Pflichten Neben datenschutzrechtlichen Regeln müssen Arbeitgeber weitere Vorgaben beim Einsatz eigener KI-Sprachmodelle beachten. In Betrieben ohne Betriebsrat kann der Arbeitgeber diese aufgrund des Weisungsrechts einführen, was neben der Nutzung auch die konkreten Regeln betrifft, an die sich Arbeitnehmerinnen und Arbeitnehmer halten müssen. In Betrieben mit Betriebsrat ist die Implementierung regelmäßig mitbestimmungspflichtig, wenn die KI Rückschlüsse auf Verhalten oder Leistung von einzelnen Beschäftigten ermöglicht, z.B. wer das Modell wann zur Erledigung welcher Aufgaben nutzt. Daneben hat der Betriebsrat KI-spezifische Beteiligungsrechte wie die Hinzuziehung eines KI-Sachverständigen (§ 80 Abs. 3 S. 2 BetrVG), Unterrichtungs- und Beratungsrechte (§ 90 Abs. 1 Nr. 3 BetrVG) und das Zustimmungsrecht bei von der KI aufgestellten Auswahlrichtlinien (§ 95 Abs. 2a BetrVG). Schließlich sollten Arbeitgeber ethische Aspekte beachten. Auswirkungen des Urheberrechts auf den Einsatz von KI-Sprachmodellen Nutzer oder Auftraggeber haben oft nicht die von ihnen erwartete urheberrechtliche Stellung, weil die Ergebnisse einer KI, wie z.B. erzeugte Grafiken, mangels persönlicher geistiger Schöpfung eines Menschen in der Regel kein geschütztes Werk nach § 2 Abs. 2 UrhG darstellen. Das Training mit Inhalten Dritter könnte allerdings unter die Schranken der §§ 44b, 60d UrhG fallen. Die gesetzliche Widerspruchslösung und gewisse Speicherbeschränkungen verlangen Entwicklern erhöhte Sorgfalt ab. Die KI-VO enthielt in ihrem Entwurf aus dem Sommer 2023 abgesehen von den Offenlegungs- und Dokumentierungspflichten in Art. 28b Ziff. 4c) kaum Regelungen zu KI und Urheberrecht. Die Einhaltung des EU-Urheberrechts wird aber als eine der Leitplanken für Allzweck-KI-Systeme angesehen. All dies zeigt: Unternehmen haben bei eigenen KI-Sprachmodellen eine Vielzahl rechtlicher Regelungen zu beachten. Aufgrund der hohen Sanktionen bei Verstößen gegen die KI-VO und des wirtschaftlichen Risikos von Trainingswiederholungen (wurde ein Modell mit „rechtswidrigen“ Daten trainiert, muss es ggf. vollständig neu trainiert werden) sowie der Exkulpationspflichten bei Rechtsverletzungen lohnt sich eine frühzeitige Vorbereitung auf die rechtlichen und technischen Herausforderungen.
Social-Media-Cookies sammeln Informationen darüber, wie Sie Inhalte von unserer Website über die sozialen Medien teilen, oder liefern Analysedaten zu Ihrem Nutzungsverhalten, wenn Sie zwischen Social-Media-Plattformen oder unseren Social-Media-Kampagnen und unseren eigenen Websites navigieren. Wir setzen diese Cookies ein, um die Mischung der Kommunikationswege zu optimieren, über die wir Ihnen unsere Inhalte zukommen lassen. Genauere Informationen zu den eingesetzten Tools finden Sie in unserer Datenschutzerklärung.