Smart und compliant KI im Unternehmen richtig nutzen

Was ist KI-Compliance?
KI-Compliance umfasst die Einhaltung gesetzlicher, regulatorischer und interner Vorgaben beim Einsatz von Künstlicher Intelligenz. Ziel ist es sicherzustellen, dass KI-Systeme rechtskonform und verantwortungsvoll entwickelt und genutzt werden. Angesichts zunehmender rechtlicher Vorgaben stellt KI-Compliance eine Herausforderung für Unternehmen dar, zumal bei Rechtsverstößen Haftungsrisiken bestehen und Geldstrafen drohen.

Worauf ist bei der Nutzung von KI-Systemen zu achten?
AI-Act: Der AI-Act betrifft nicht nur Entwickler von KI-Systemen, sondern auch Unternehmen, die solche Systeme in ihrem Betrieb nutzen. Dies liegt daran, dass der AI-Act Betreibern bestimmte Verpflichtungen auferlegt – ein Begriff, der weit gefasst ist und alle Personen umfasst, die KI im beruflichen Kontext einsetzen. Unternehmen müssen daher sicherstellen, dass ihr Personal, einschließlich Arbeitnehmer und freier Dienstnehmer, über ausreichende KI-Kompetenz verfügt. KI-Kompetenz umfasst das Wissen und die Fähigkeiten, KI-Systeme sicher und verantwortungsbewusst zu nutzen sowie deren Chancen und Risiken zu erkennen.

Der AI-Act definiert diesen Begriff als die Kenntnisse und das Verständnis, die es betroffenen Personen ermöglichen, KI-Systeme fachgerecht einzusetzen und sich der möglichen Folgen bewusst zu sein. Abseits der Vermittlung von KI-Kompetenz müssen Unternehmen auch Transparenzpflichten beachten: Unter bestimmten Voraussetzungen müssen diese offenlegen, dass ein Inhalt mithilfe eines KI-Systems erstellt wurde.

Datenschutzrecht: Der unbedachte Input personenbezogener Daten in KI-Systeme birgt aus mehrerlei Hinsicht Risiken, weil die Eingabe einen Datenverarbeitungsvorgang darstellt, auf den die Bestimmungen der DSGVO zur Anwendung kommen. Geldstrafen nach der DSGVO könnten insbesondere dann verhängt werden, wenn personenbezogene Daten – einschließlich Fotos – in ein KI-System eingegeben werden, ohne dass ein gültiger Rechtfertigungsgrund vorliegt. Darüber hinaus ergibt sich ein weiteres Risiko durch den grenzüberschreitenden Datentransfer: Da viele KI-Anbieter ihre Server außerhalb der EU betreiben, muss gewährleistet sein, dass die Daten im Drittstaat einem vergleichbaren Schutzniveau unterliegen. Andernfalls drohen nicht nur Sanktionen, sondern auch erhebliche Reputationsrisiken für das Unternehmen.

Urheberrecht: KI-Systeme kreieren Inhalte auf Basis umfangreicher Datensätze aus dem Internet, wobei Teile der Datensätze auch urheberrechtlich geschützt sein können. In der Regel formulieren KI-Systeme Texte zwar eigenständig, doch bleibt ein gewisses Restrisiko der wörtlichen Übernahme fremder Inhalte bestehen. Unternehmen sollten daher bei Verwendung eines KI-Systems den Output stets kontrollieren, um sicherzustellen, dass mit der Nutzung der generierten Texte keine Urheberrechte verletzt werden.

Bedeutung und Handlungsbedarf für Unternehmen
Da Verstöße mitunter erhebliche Strafen nach sich ziehen können, ist es ratsam, sich frühzeitig mit den rechtlichen Rahmenbedingungen auseinanderzusetzen und eine vorausschauende Compliance-Strategie zu entwickeln. Ein wichtiger Schritt ist die Schulung der Mitarbeiter, um ein Bewusstsein für den rechtskonformen Einsatz von KI zu schaffen. Ergänzend dazu kann eine unternehmensinterne Richtlinie als Orientierungshilfe dienen und bei Unsicherheiten erste Antworten zum rechtssicheren Einsatz von KI liefern.

Über die Autor*innen
Rechtsanwältin Simone Tober ist Expertin für Wirtschafts- Finanz- und Umweltstrafrecht, KI-Recht und Datenschutz bei LeitnerLaw.
Michael Zeppelzauer ist Director bei LeitnerLeitner mit Fokus auf Governance, Risk and Compliance, Digitalisierung und KI.