Die 10 KI-Gebote zum rechtskonformen Umgang

1. Geben Sie die KI-Ergebnisse nicht als eigene Arbeitsergebnisse/Leistungen aus

Nur weil es kein Urheberrecht für KI-Ergebnisse zugunsten der KI-Anbieter gibt, bedeutet dies nicht, dass Nutzende Urheber der KI-Ergebnisse werden. Wenn Sie sich dafür bezahlen lassen, dass Sie etwas persönlich erstellen, kann dies einen Betrug darstellen, wenn Sie KI Ergebnisse als eigene ausgeben. In Prüfungen stellt dies ebenfalls einen schweren Verstoß dar.

Im Übrigen kann es vorkommen, dass KI-Ergebnisse die Rechte derjenigen verletzen, mit deren Content die KI-Trainingsdaten erstellt wurden. Insofern sollte insbesondere kritisch geprüft werden, ob „neu“ erstellte Bilder nicht den Originalen von bekannten KünstlerInnen zu ähnlich sind.

2. Gehen Sie nicht davon aus, dass die KI perfekt ist und fehlerfreie Ergebnisse produziert

KI-Ergebnisse sind nicht fehlerfrei. ChatGPT ist erstaunlich gut, produziert aber auch fehlerhafte Ergebnisse. KI ist immer nur so gut und korrekt und diskriminierungsfrei wie die zugrundlegenden Daten und Algorithmen. Insbesondere bei Fragen zu einzelnen wissenschaftlichen Fächern kann dies mangels Zugang zu Fachdatenbanken auch gar nicht anders sein, zum Teil erfindet ChatGPT dann auch Quellenangaben. Wenn KI also zu wirtschaftlich relevanten Zwecken eingesetzt wird, sollte man die Ergebnisse immer gegenprüfen und sich vor allem im Klaren darüber sein, dass ein Regress beim KI-Anbieter aufgrund dessen Bedingungen und der rechtlichen Unklarheit über den „Sollzustand“ der KI schwierig werden könnte.

3. Füttern Sie die KI nicht mit sensiblem Content - die KI gibt nicht nur, sie nimmt auch!

Wenn Sie Anfragen als Prompts absenden oder Dokumente hochladen, verraten Sie den Anbietern der KI möglicherweise viel über Ihr Unternehmen, Ihren Gesundheitszustand, Ihre politischen Einstellungen etc. Für Unternehmen gilt: Wenn Sie der KI Ihr Know-How überlassen, ist es nach dem Geschäftsgeheimnisgesetz nicht mehr geschützt…Das gilt übrigens auch für Übersetzungstools und andere…

4. Überlegen Sie, ob Sie Ihre Datenbank/Webseite der KI schenken möchten…nutzen Sie Opt-Out-Optionen

Offen zugänglicher Content auf Ihrer Webseite kann von der KI ausgelesen werden. Den Zugriff durch die KI auf Ihre Webseite kann man möglicherweise durch einen maschinenlesbaren Widerspruch im Quelltext rechtlich untersagen, faktisch verhindern können Sie das Auslesen durch Bot-Sperren und Opt-out-Markierungen (siehe dazu etwa https://www.golem.de/news/webmaster-alarmiert-ki-scraping-tool-laedt-massenhaft-bilder-aus-dem-web-2304-173725.html). Empfehlenswert ist aus Sicht des Autors die in die meta name="robots" aufzunehmende Formulierung: „Der Seiteninhaber erklärt einen Nutzungsvorbehalt nach § 44b Absatz 3 des Urheberrechtsgesetzes zum Text und Data Mining (UrhG) und nach Art. 4 Abs. 3 der EU DSM-Richlinie; The site owner declares a reservation of use in accordance with Section 44b (3) of the Copyright Act on Text and Data Mining (UrhG) and according to Art. 4 Para. 3 of the EU DSM Directive“.

5. Verwenden Sie nicht unbedacht Prompts zu Personen und Marken

Sie sollten keine Personendaten und auch nicht Daten berühmter oder nicht berühmter Persönlichkeiten in Prompts einbinden, soweit nicht

• eine Einwilligung vorliegt, oder
• es zu wissenschaftlichen, künstlerischen oder satirischen Zwecken geschieht.

Insbesondere sollten Sie nicht für Dritte schwer erkennbare Fake-Bilder herstellen und in Umlauf bringen, da sie nicht wissen, ob und wie diese später verwendet werden.

Verwenden Sie bei der Bilderstellung keine Marken und Logos von Unternehmen, die dann in die Bilder integriert werden. Zwar ist dies nicht immer rechtswidrig, insbesondere bei der Weiterverbreitung der Bilder kann dies aber dennoch problematisch werden.

6. Lesen Sie die Bedingungen des KI-Einsatzes: Wem gehören Input und Output?

Zur Zeit dürfen Sie die KI-Ergebnisse oft noch einsetzen, ohne für die Nutzung oder die einzelnen Ergebnisse (zusätzlich) zu zahlen. Bedenken Sie, dass Sie nach den meisten Bedingungen mit dem Input bezahlen und dieser auch zur weiteren Datenanalyse benutzt werden darf. Viele KI-Anbieter werden Sie zunächst mit kostenlosen KI-Ergebnissen anlocken, um später – wenn Sie sich an den Einsatz gewöhnt oder Ihre Tätigkeit darauf ausgerichtet haben – neue Bedingungen zu formulieren. Bedenken Sie dies bei der möglichen Abhängigkeit von diesen Systemen.

7. Setzen Sie KI-Ergebnisse nie unbedacht über API-Schnittstellen oder anderweitig automatisiert als Host ein.

Wer KI automatisiert einbindet und darüber fremde Inhalte (hier KI-Ergebnisse wie Texte und Bilder) veröffentlicht, geht mehrere rechtliche Risiken ein. Es kann sich um inhaltlich falsche, beleidigende, rechtswidrige und sonst wie problematische Inhalte handeln, die strafbar sein oder zu Unterlassungs- und Schadensersatzansprüchen führen können. Auch wenn Sie selbst die Ergebnisse nur hosten / automatisiert weitergeben, können Sie nach dem Telemediengesetz und anderen Gesetzen sowie den Grundsätzen der sog. „Störerhaftung“ selbst verantwortlich sein. Daneben bestehen Verpflichtungen zur Information der Seitenbesucher nach der DSGVO und dem TTDSG.

8. Setzen Sie KI-Ergebnisse nie unbedacht im Personalbereich ein

Wird KI im Unternehmen automatisiert eingesetzt, darf dies nach Art. 22 DSGVO – insbesondere im HR-Bereich – nicht dazu führen, dass automatisiert Entscheidungen getroffen werden, welche die Beschäftigten betreffen. Auch außerhalb automatisierter Entscheidungen kann der KI-Einsatz eine Einwilligung der Beschäftigten und ggf. eine Mitbestimmung durch den Betriebsrat voraussetzen. Berücksichtigen Sie dies bei der Planung.

9. KI ist nicht generell verboten und auch nicht generell schlecht: Compliance

Wenn man die Regeln zum KI-Einsatz beachtet, kann KI ein sehr nützliches Tool sowohl im Bildungswesen, als auch in der Wirtschaft sein. Der KI-Einsatz sollte sorgfältig geplant sein, wichtig ist vor allem Transparenz sowohl der Einbeziehung der KI, als auch der Verwertung der Ergebnisse und der Einbindung von Prompts oder API-Schnittstellen.

Es sollte daher in einem Unternehmen / einer Institution ein Prozess zur rechtlichen KI-Einbindung erstellt werden, der klare Meilensteine zu wenigstens folgenden Punkten enthält:

• Einbindung von Personalrat / Betriebsrat, soweit der KI-Einsatz in irgendeiner Form geeignet wäre, die Leistung der Beschäftigten zu kontrollieren,
• Information der betroffenen Beschäftigten, Kunden, Lieferanten, Vertriebspartner,
• Prüfung des einzusetzenden Tools darauf,
  • wem nach dessen AGB Input und Output gehören
  • ob das Tool in seiner technischen Struktur (IP-Erfassung, Anbindung der Software, Verarbeitung der EIngaben) datenschutzkonform ist:
    • Durchführung und Dokumentation einer Datenschutzfolgeabschätzung nach Art. 35 DSGVO (Siehe folgende u.a. zu prüfende Punkte),
    • Einhaltung der Vorgaben des Art. 5 DSGVO (Grundsätze zur datenschutzkonformen Verarbeitung, u.a. Datenminimierung, Zweckbindung),
    • Einhaltung der Vorgaben des Artt. 25, 32 DSGVO (Technisch-Organisatorische Maßnahmen, datenschutzfreundliche Technikgestaltung (u.a. privacy by design and by default),
    • Abschluss eines Controller-to-Controller-Vertrags (meist kein Auftragsverarbeitungsvertrag, da der KI-Anbieter auch eigene Interessen verfolgt bei der Verarbeitung der erhobenen/übermittelten Daten);
    • Bei Auslandsdatenübertragung (insb. USA) Prüfung des datenschutzkonformen Einsatzes (SCCs (Standardvertragsklauseln der EU) plus Zusatzabsicherungen (Verschlüsselung, Anonymisierung)), ggf. in Zukunft neues Data Transfer Agreements mit den USA).
  • ob das Tool mit personenbezogenen Daten „gefüttert“ wird und dies nach Art 6 DSGVO bzw. § 26 BDSG (soweit dieser noch wirksam ist, Entwicklung beachten, siehe Gebot 10) gerechtfertigt ist,
  • ob Fragen des IT-Sicherheitsgesetzes / der kritischen Infrastruktur berührt werden,
• Fortlaufende Kontrolle der Einhaltung der Vorgaben durch den Tool-Anbieter.

10. Halten Sie sich über rechtliche Regelungen auf dem Laufenden

Es stehen EU-Neuregelungen an, welche die KI betreffen; daneben sind auch spezifische nationale Vorgaben in der politischen Diskussion. Neben dem Entwurf der KI-Verordnung (Das „It-Piece“ der Neuregelungen) sind die KI-Haftungsverordnung und weitere Regelungen wie Digital Services und Digital Markets Act zu beachten. Daneben sollten Sie sich über die Stellungnahmen der europäischen und nationalen Datenschutzaufsichten fortlaufend informieren, da noch nicht sicher ist, welche Informationen etwa von OpenAI zur Datenverarbeitung preisgegeben werden (z.B. auf die Anfrage des Hessischen Beauftragten für Datenschutz und Informationsfreiheit, Prof. Dr. Alexander Roßnagel, siehe https://datenschutz.hessen.de/presse/hessischer-datenschutzbeauftragter-fordert-antworten-zu-chatgpt) und welche Konsequenzen dies für die Zulässigkeit der Nutzung von ChatGPT hat. Verstöße gegen Datenschutz beim Einsatz von KI können nach Artt. 82, 83 DSGVO hohe Geldbußen und Schadensersatzansprüche nach sich ziehen und auch strafbar sein.

Halten Sie sich also aufgrund der bevorstehenden rechtlichen Neuerungen stets auf dem Laufenden. Setzen Sie KI immer transparent und unter Abwägung der Interessen aller Betroffenen ein. Und stellen Sie Nutella nicht in den Kühlschrank.