Beitrag

Die Nutzung von generativen KI-Systemen in Unternehmen – welche Aspekte für Rechtsanwälte in der Beratung wichtig sind

Neue generative KI-Systeme wie ChatGPT, GPT-4, DALL-E 2 oder Copilot sind in aller Munde und erfreuen sich großer Beliebtheit. ChatGPT hatte bereits 5 Tage nach Markteinführung eine Million Nutzer und gilt seitdem als die am schnellsten wachsende Webanwendung aller Zeiten. Facebook brauchte zehn Monate, um die magische Grenze von einer Million Nutzern zu erreichen, Twitter sogar ganze zwei Jahre.

 

Generative KI und Basismodelle im Gesetzgebungsverfahren

Mit der neuen KI-Verordnung hat sich die Europäische Union entschieden, den weltweit ersten Rechtsrahmen für KI-Technologien zu schaffen, der grundrechtliche Zielwerte absichern soll.

Der erste Entwurf der Kommission vom April 2021 hatte generative KI-Systeme und die sogenannten Basismodelle („Foundation-Models“) regulativ noch nicht abgebildet.

Am 14. Juni 2023 hat das Europäische Parlament seine Position angenommen und damit den Weg frei gemacht für die abschließenden Trilogverhandlungen. In dieser Phase werden das Europäische Parlament und der Europäische Rat über den endgültigen Gesetzestext verhandeln.

Am 18. Juli fanden die ersten Verhandlungsgespräche statt. Dort ging es unter anderem auch um neue Regeln für generative KI-Systeme und für Basismodelle. Die Entwicklungen im Gesetzgebungsverfahren veranschaulichen, wie schwer es ist, eine sich sehr schnell entwickelnde Technologie regulativ einzuhegen.

Basismodelle werden in Art. 3 Abs. 1 Nr. 1 c) KI-VO-E wie folgt definiert:

„‘foundation model’ means an AI system model that is trained on broad data at scale, is designed for generality of output, and can be adapted to a wide range of distinctive tasks.“

Generative KI-Systeme wie Chat GPT werden nun in Art. 28 Abs. 4 wie folgt definiert:

„Providers of foundation models used in AI systems specifically intended to generate, with varying levels of autonomy, content such as complex text, images, audio, or video (“generative AI”) and providers who specialise a foundation model into a generative AI system, shall in addition“ (…).

Die Basismodelle bilden die neuere Entwicklung ab, bei der KI-Systeme, die im Hinblick auf ihre vielseitigen Einsatzmöglichkeiten trainiert wurden. Solche Modelle werden auf einer sehr breiten Palette von Datenmenge trainiert, um dann ein breites Spektrum nachgelagerter Aufgaben zu erfüllen, darunter auch solche, für die sie gar nicht speziell trainiert oder entwickelt wurden. So kann z.B. ein Large Language Modell in einem Tool für Grafikdesigner implementiert werden, um Alternativvorschläge für packende Slogans zu machen. Darüber hinaus können Basismodelle in zahllosen nachgelagerten KI-Systemen wiederverwendet werden. Sie sind insofern für viele nachgelagerte Anwendungen und Systeme von großer Bedeutung.

Die neuen rechtlichen Anforderungen für Anbieter von Basismodellen und generativen KI-Systemen wie Chat GPT finden sich in dem neu eingeführten Art. 28b KI-VO-E. Der Pflichtenkatalog umfasst neben Transparenzpflichten auch Anforderungen an Daten und Daten-Governance.

Rechtsanwälte, welche den zunehmenden Einsatz von KI-Systemen in allen Lebensbereichen beratend begleiten möchten, sollten sich insofern bereits jetzt mit den Vorgaben auseinandersetzen.

 

Rechtliche Problemfelder bei der Nutzung von generativen KI-Systemen in Unternehmen

Was derzeit fehlt, ist eine Roadmap für Unternehmen, um die bereits stattfindende Nutzung von KI-Systemen unter Berücksichtigung bestimmter Vorgaben zuzulassen. Dieser Beitrag soll diese Lücke schließen.

Nutzung von Chat GPT & Co. über den Webbrowser

Denkbar sind drei unterschiedliche Stufen der Nutzung. Erstens können generative KI-Systeme wie Chat GPT (oder DeepL) über den Webbrowser genutzt werden. Zweitens können KI-Systeme über eine API in die eigene IT-Infrastruktur implementiert werden. Drittens besteht die Möglichkeit, dass Unternehmen selbst KI-Systeme als Anbieter entwickeln und auf den Markt bringen oder sie in ihre eigenen Produkte und Dienstleistungen integrieren. Die rechtliche Beratung sollte sich nach den tatsächlichen Risiken orientieren, die in Abhängigkeit dieser drei denkbaren Nutzungsstufen skalieren. Dieser Beitrag befasst sich mit rechtlichen Fragestellungen im Zusammenhang mit dem derzeit am häufigsten vorkommenden Fall: Die Nutzung von generativen KI-Systemen über den Webbrowser.

Vorteile einer Richtlinie für die Nutzung von generativen KI-Systemen

Unternehmen ist zu empfehlen, die Nutzung mit einem Regelwerk, zum Beispiel einer Richtlinie oder einem Corporate Standard einzuhegen. Damit kann verhindert werden, dass die Mitarbeitenden die KI-Systeme ohne Vorgaben teilweise über private Accounts für dienstliche Zwecke nutzen.

Zudem stellt ein solches Regelwerk gleichzeitig eine geeignete organisatorische Maßnahme dar, die den Unternehmen in datenschutzrechtlichen Verfahren gegenüber der Aufsichtsbehörde nützlich sein kann. Die Mitarbeiterinnen und Mitarbeiter gehen mit solchen unternehmensweiten Vorgaben unterschiedlich um. Um eine möglichst große Reichweite zu erzielen, bietet es sich beispielsweise an, die destillierten Kernaussagen der Richtlinie im Rahmen eines grafisch aufbereiteten Quick-Guides in der Kommunikation zu verwenden und für Rückfragen stets kompetente Ansprechpartner zu benennen.

Ein Vorteil gegenüber einem absoluten Verbot des Einsatzes generativer KI-Systeme ist, dass solche Technologien in den meisten Bereichen ohnehin Einzug halten werden. Ein offener Umgang signalisiert eine positive Einstellung gegenüber innovativen Technologien. Dennoch kann es Bereiche geben, in denen ein Verbot (zunächst) ein weitsichtiger Ansatz ist (z.B. in bestimmten Bereichen der öffentlichen Verwaltung).

Rechtliche Herausforderungen ergeben sich an zwei neuralgischen Punkten, den Inputdaten und den Outputdaten. Die folgenden sehr allgemeinen Anforderungen müssen in bestimmten Anwendungsbereichen spezifiziert werden. So hat z.B. die Rechtsabteilung eines Unternehmens oder eine Rechtsanwaltskanzlei bei der Nutzung von Chat GPT berufsspezifische Pflichten zu beachten, wie z.B. die Verschwiegenheitspflicht bei der Inanspruchnahme von Dienstleistungen (vgl. § 43e Abs. 2 BRAO).

Datenschutzrechtliche Anforderungen

Im vorliegenden Anwendungsfall sind die datenschutzrechtlichen Risiken überschaubar. Wichtig ist jedoch die Handlungsanweisung, keine personenbezogenen Daten in den sogenannten Prompts (Eingabebefehlen) zu verwenden. Hintergrund ist, dass die Verwendung personenbezogener Daten in den Prompts eine Datenübermittlung darstellen würde, die auf eine Rechtsgrundlage gestützt werden müsste (Art. 6 DSGVO).

Als Rechtsgrundlage käme in den meisten Fallkonstellationen nur eine Einwilligung in Betracht. Da diese nicht eingeholt wird, verbietet sich die Verwendung personenbezogener Daten im Rahmen von Prompts. Die personenbezogenen Daten müssten also ersetzt werden. Es kann nicht immer ausgeschlossen werden, dass anonyme Daten in Kombination mit Zusatzinformationen eine Identifizierung ermöglichen und damit zu personenbezogenen Daten werden. Insofern könnte erwogen werden, für solche Fallkonstellationen klarstellend darauf hinzuweisen, dass vollautomatisierte Entscheidungen unter die Verbotsnorm des Art. 22 Abs. 1 DSGVO fallen können.

Es muss daher sichergestellt werden, dass Prompts keine personenbezogenen Daten enthalten und bei Entscheidungsprozessen stets ein Mensch aus Fleisch und Blut als Entscheider zwischengeschaltet ist. In Bereichen, in denen KI-Systeme zur Entscheidungsunterstützung eingesetzt werden sollen, sind insofern weitergehende Governance-Maßnahmen erforderlich. In der Verwaltung könnten diese weitergehenden Regeln in Verwaltungsrichtlinien festgehalten werden.

Gewährleistung der Vertraulichkeit von Geschäftsinformationen

Insbesondere bei vermeintlich kostenlosen Webanwendungen liegt der Mehrwert für die Anbieter darin, dass die vielen Nutzer durch ihre Anfragen und ihr Feedback zu den gelieferten Ergebnissen das Modell ständig trainieren und mit weiteren Informationen anreichern. Diese KI-Systeme treten als Kommunikationsakteure auf und verstehen es nicht, die ihnen mitgeteilten Informationen vertraulich zu behandeln.

Es kann daher nicht ausgeschlossen werden, dass diese Informationen über entsprechende Prompts Dritten und Wettbewerbern als Output zur Verfügung gestellt werden.

Es muss daher klar sein, dass bereits die Verwendung von Chat GPT beispielweise im Rahmen von Erfindungsanmeldungen der Patentfähigkeit im Sinne von § 1 Abs. 1 PatG entgegenstehen kann.

Darüber hinaus könnten Wettbewerbsinteressen nachhaltig beeinträchtigt werden, wenn vertrauliche Geschäftsinformationen wie Kundenlisten, Informationen über laufende Forschungsprojekte oder noch nicht öffentlich kommunizierte Geschäftsstrategien auf diese Weise in ein KI-Modell eingeflossen sind. Um die komplizierten Abgrenzungsfragen zwischen vertraulichen Informationen und Geschäftsgeheimnissen nach dem Geschäftsgeheimnisgesetz nicht einzelnen Mitarbeitenden zu überlassen, muss hier eine etwas allgemeinere Vorgabe gefunden werden.

Urheberrechtliche Herausforderungen

Urheberrechtlich geschützte Werke können nach § 2 Abs. 2 UrhG nur „persönliche geistige Schöpfungen“ sein. Der maschinell erzeugte Output ist daher urheberrechtlich nicht geschützt. Allerdings wird bereits diskutiert, ob ein urheberrechtlicher Schutz für Prompts entstehen kann. Effektives und präzises Prompting fällt unter den Begriff Prompt-Engineering. Insbesondere bei Marketingkampagnen, in denen generierte Bildelemente eingesetzt werden sollen, ist es sinnvoll, sowohl die Prompts als auch die zugehörigen Outputs zu dokumentieren.

Es kann erwogen werden, die von KI-Systemen generierten Inhalte bei ihrer Verwendung stets transparent zu kennzeichnen. Eine solche Kennzeichnungspflicht ergibt sich im Bereich der Telemedien bereits aus § 18 Abs. 3 MStV. Künftig werden sich weitergehende Transparenzpflichten für KI-Systeme aus der KI-VO ergeben (vgl. § 13 KI-VO-E).

Auch wenn KI-generierte Inhalte keinen Urheberrechtsschutz genießen, kann es zu Urheberrechtsverletzungen kommen, etwa indem urheberrechtlich geschützte Inhalte in Prompts verwendet werden oder die Outputs selbst eine Urheberrechtsverletzung darstellen. Hier sind Regelungen erforderlich, dass sowohl die Inputdaten als auch die Outputs vor der weiteren Verwendung daraufhin überprüft werden, ob Urheberrechte Dritter verletzt werden.

Diskriminierungen und Falschinformationen

Es ist bekannt, dass KI-Systeme aufgrund von bereits verzerrten Trainingsdaten diskriminieren können. Für den hier zugrunde liegenden Anwendungsfall ist es wichtig, dass die Ausgabedaten verifiziert und validiert werden. Werden generative KI-Systeme wie Copilot zur maschinellen Generierung von Softwarecode eingesetzt, sollte dieser nicht ungeprüft übernommen werden. Mögliche Fehler könnten zu erheblichen IT-Sicherheitsrisiken führen.

 

Konsequenzen

In der Richtlinie sollte darauf hingewiesen werden, dass ein Verstoß zu arbeitsrechtlichen Konsequenzen führen kann. Sollte es durch die Nutzung zu datenschutzrechtlichen Verstößen kommen, könnte ggf. ein sog. Mitarbeiterexzess vorliegen und der Mitarbeiter selbst sanktioniert werden. Hierauf sollte ausdrücklich hingewiesen werden.

 

Zusammenfassung der Kernaussagen

Nachfolgende Kernaussagen lassen sich zusammenfassen, die im Rahmen einer KI-Richtlinie berücksichtigt werden sollten, wenn generative KI-Systeme über den Webbrowser für dienstliche Zwecke genutzt werden sollen:

  • Nutzen Sie in den Eingabebefehlen (Prompts) keine personenbezogenen Daten.
  • Nutzen Sie lediglich Unternehmensinformationen, die bereits im Internet veröffentlicht wurden
  • Stellen Sie sicher, dass durch die Nutzung des KI-Systems nicht geistiges Eigentum Dritter verletzt wird.
  • Überprüfen Sie die Richtigkeit der Informationen und stellen Sie sicher, dass Sie keine diskriminierenden oder falschen Informationen für dienstliche Zwecke verwenden.

 

 

Diesen Beitrag teilen

Facebook
Twitter
WhatsApp
LinkedIn
E-Mail

Unser KI-Spezial

Erfahren Sie hier mehr über Künstliche Intelligenz – u.a. moderne Chatbots und KI-basierte…