Home / News / Compliance und Risikominimierung bei Künstliche Intelligenz (KI) im Unternehmen

Compliance und Risikominimierung bei Künstliche Intelligenz (KI) im Unternehmen

Künstliche Intelligenz (KI) ist im Alltag kleiner und mittlerer Unternehmen angekommen. Durch den Einsatz „schlüsselfertiger“ Softwarelösungen, etwa per SaaS-Bereitstellungsmodell, profitiert der Mittelstand von dem enormen Wertschöpfungspotential der Nutzung von Künstlicher Intelligenz. Die größte Herausforderung sehen Unternehmen in der damit verbundenen Rechtsunsicherheit, wie sich aus einer kürzlich veröffentlichten Studie der Hochschule Koblenz ergibt.


Arbeitsrechtliche Compliance

Ein Unternehmen kann die Mitarbeitenden innerhalb der Grenzen des Direktionsrechts zur Verwendung von KI anweisen. Das kann Mitbestimmungsrechte des Betriebsrats tangieren. KI-Systeme mit Personenbezug, etwa zur Überwachung von Verhalten oder Leistung, sind regelmäßig betroffen, § 87 Abs. 1 Nr. 6 BetrVG. Darüber hinaus können je nach Einsatzgebiet weitere Mitbe-stimmungstatbestände betroffen sein. Dies gilt zum Beispiel für Fragen der mobilen Arbeit (§ 87 Abs. 1 Nr. 14 BetrVG) bis hin zum betrieblichen Gesundheitsschutz (§ 87 Abs. 1 Nr. 7 BetrVG) oder der Arbeitszeitgestaltung (§ 87 Abs. 1 Nr. 2 BetrVG), wenn etwa das System zur Einsatzplanung der Mitarbeiter verwendet wird. Zur Beurteilung der Einführung oder Anwendung von KI kann der Betriebsrat einen Sachverständigen hinzuziehen, § 80 Abs. 3 S. 2 BetrVG. Stets ist der diskriminierungsfreie Einsatz und insbesondere die Einhaltung der Vorgaben des Allgemeinen Gleichbehandlungsgesetz (AGG) sicherzustellen, so bei KI-gestützter Auswahl in Bewerbungsverfahren.


Wer haftet, wenn sich die KI „irrt“?

Wie in der analogen Welt gilt: Die Gesamtverantwortung trifft die Geschäftsleitung, ebenso die Pflicht zur Organisation der Krisenfrüherkennung. Hierzu rechnet neben der Beurteilung im Jahresabschluss nun der Einsatz von prädikativer KI in der Finanz- und Liquiditätsplanung als Bestandteil eines Risikomanagementsystems. Zugleich steigen die Anforderungen an die haftungsrechtliche Exkulpation der Geschäftsleitung im Störfall.


Bei dem Einsatz generativer KI besteht zudem die Gefahr sogenannter „Halluzinationen“, bei welchen das KI-System falsche Darstellungen erzeugt. Kommt ein KI-System zu einem falschen Ergebnis, stellt sich die Frage: Ist das System als solches fehlerhaft? Dann ist eine Haftung des Anbieters denkbar. Oder wurde das System falsch angewandt? Hier ist eine Haftung des Mitarbeitenden im Rahmen innerbetrieblichen Schadensausgleichs möglich. Oder mangelte es an organisatorischer Überwachung? In diesem Fall kann die Verantwortlichkeit der Geschäftsleitung greifen. Trifft das KI-System ohne Einbindung eines Mitarbeitenden „eigenständige“ Entscheidungen, ist die Situation komplex: Abgesehen von dem grundsätzlichen Verbot vollautomatisierter Entscheidungen nach Art. 22 DS-GVO wird sich die Frage nach den Verantwortlichkeiten auch des Anbieters eines KI-Systems für dessen Compliance mit regulatorischen Anforderungen stellen.


Datenschutz und Datensicherheit

KI-Systeme verarbeiten beträchtliche Datenmengen, so dass der Datenschutz unmittelbar ins Blickfeld gerät. Neben der Rechtmäßigkeit dieser Datenverarbeitung und Fragen der Datensicherheit geht es um die Datenhoheit: Je nach Einsatzbereich muss ausgeschlossen sein, dass Daten der Nutzer eines KI-Systems zum „Training“ dieses Systems verwendet werden. Denn die Entfernung derart genutzter Daten aus dem Datensatz („Unlearning“) ist technisch komplex. Selbst bei vorliegender Einwilligung ergibt sich bei einem Personenbezug keine Rechtssicherheit, da ein stets möglicher Widerruf oder ein Löschungsverlangen kaum umgesetzt werden können. Es ist daher zwingend, technische und organisatorische Maßnahmen (TOM) zum Schutz sensibler Daten zu implementieren. Dies wiederum hat unmittelbare Auswirkungen auf die Vertragsgestaltung bei der Anschaffung von KI-Systemen. Datenschutzrechtliche Verantwortlichkeiten sind gerade im SaaS-Bereich vertraglich klar zu definieren und der möglicherweise gebotene Abschluss eines Vertrages zur Auftragsverarbeitung ist in Betracht zu ziehen.


Nutzungsrechte

Auch stellt sich die Frage: Wem „gehören“ die Trainingsdaten und die Arbeitsergebnisse der KI? Dies betrifft das Vertragsverhältnis zwischen dem Unternehmen und dem Softwareanbieter, aber auch die mit den Mitarbeitenden des Unternehmens bestehenden Arbeitsverhältnisse. Denn schafft ein Mitarbeitender ein urheberrechtlich geschütztes Werk oder ein Computerprogramm, so erwirbt das Unternehmen im Regelfall daran ein Nutzungsrecht, §§ 43, 69b UrhG. Verwendet der Mitarbeitende dagegen in gleicher Situation generative KI, ist die Schutzfähigkeit eines so geschaffenen Werks fraglich. Urheberrechtlich zu beurteilen ist im Einzelfall der qualitative und quantitative Anteil des Mitarbeitenden an der Werkschöpfung, welcher nicht auf ein KI-System zurückzuführen ist. Zudem stellt sich die Problematik, wie Urheberrechtsverstöße verhindert werden können.


Die Kanzlei DITGES in Bonn und in München bietet in den genannten Bereichen interdisziplinäre Beratung – konsolidiert und abgestimmt auf Basis breiten Wissens, langjähriger Erfahrung in Praxis und Wissenschaft und strategischer Orientierung, synergetisch aus einem Guss und einer Hand.

Sollten Sie weitere Fragen haben, dann sprechen Sie uns gerne an:

Prof. Dr. Renate Dendorfer-Ditges LL.M. MBA
Rechtsanwältin / Fachanwältin für Arbeits- / Handels- und Gesellschaftsrecht / Internationales Wirtschaftsrecht / Zertifizierte Mediatorin

Philipp Wilhelm LL.M.
Rechtsanwalt / Zertifizierter Mediator


Stand: 15.03.2024

Further news

Urlaub: Hinweispflicht des Arbeitgebers

Die Handhabung von Urlaubsansprüchen wird für die Arbeitgeber zunehmend komplizierter. Nach aktueller Rechtsprechung verfallen Urlaubsansprüche nicht mehr automatisch, wenn Mitarbeitende den Urlaub nicht nehmen. Vielmehr muss der Arbeitgeber seine Mitwirkungsobliegenheiten erfüllen, damit ein Verfall überhaupt eintreten kann.

> read more