Vorgehensmodell KI-Einführung
Prozess zur rechtskonformen Einführung / Einsatz von KI im Unternehmen
von Prof. Dr. Thomas Wilmer
Der KI-Einsatz sollte sorgfältig geplant sein, wichtig ist vor allem Transparenz sowohl hinsichtlich der Einbeziehung der KI, als auch der Qualitätssicherung der Trainingsdaten und Ergebnisse sowie der Einbindung von API-Schnittstellen. Ein verstärkter Einsatz in den Feldern ECM / DMS, ERP und E-Mail-Management ist zu beobachten, eine Ausweitung auf andere Felder – weit über Textgenerierungsfunktionen hinaus - steht in vielen Unternehmen bevor (siehe https://www.bitkom.org/Presse/Presseinformation/ChatGPT-Jedes-sechste-Unternehmen-plant-KI-Einsatz-Textgenerierung).
Neben zahlreichen datenschutzrechtlichen Fragen sind etliche Themen im Bereich des Arbeitsrechts zu beachten, die hier nicht vollständig abgebildet werden können. Es werden regelmäßige Updates der folgenden Informationen insbesondere im Hinblick auf KI-VO & Co erfolgen.
Es sollte ein Prozess zur rechtlichen KI-Einbindung erstellt werden, der abhängig von Art des Tools und des Einsatzzwecks klare Meilensteine zu unter Anderem folgenden Punkten enthält:
1. Definition der Zwecke des KI-Einsatzes / juristische Vorklärung
a. Abklärung juristisch bedeutsamer Vorfragen:
- Ist es erforderlich, bei den Prompts (Dateneingaben) personenbeziehbare Angaben zu machen?
- Könnten die Prompts Rückschlüsse auf Geschäftsgeheimnisse (Patententwürfe etc.) zulassen?
- Werden die KI-Ergebnisse auch Dritten – eventuell automatisiert – zur Verfügung gestellt? Können Dritte (z.B. Kunden) auch Prompts eingeben?
- Umfasst der Einsatzzweck Hochrisikosysteme nach Art. 5 KI-Verordnung („KI-VO“) i.V.m. Anhängen II und III KI-VO
- Hat der KI-Einsatz Auswirkungen auf bestehende Arbeitsplätze? Könnte der KI-Einsatz geeignet sein, die Leistung der Beschäftigten zu überwachen?
- Sind die Schnittstellen zu nichtlokaler KI IT-sicherheitszertifiziert / KRITIS-tauglich?
- Werden alle vom KI-System verarbeiteten Daten in Deutschland verarbeitet, ohne dass Muttergesellschaften der KI oder Subunternehmer des KI-Anbieters in den USA oder sonst außerhalb der EU ansässig sind?
- Beim Einsatz im HR-Bereich: Kann das System mittelbare Beeinträchtigungen nach Art. 3 Abs. 2 AGG ausschließen?
b. Von den Ergebnissen abhängige Klärung
- ob die KI einen Datenabfluss nach außen zulässt / eine lokale Begrenzung der Prompt-Speicherung möglich ist,
- die KI-Nutzung daneben auf nicht- Geschäftsgeheimnisgesetz-relevante Bereiche begrenzt werden kann,
- ob Mechanismen eingerichtet werden können, die eine Reaktion auf Missbrauch durch oder zu Lasten Dritter begrenzen,
- ob die KI den Vorgaben der KI-VO entspricht,
- ob der Betriebsrat frühzeitig einbezogen wurde oder sich eine Eignung zur Leistungskontrolle der Beschäftigten vermeiden lässt,
- welche Maßnahmen zur IT-Sicherheit getroffen werden müssen, um Cybersicherheitsprobleme zu verhindern,
- welche Maßnahmen getroffen werden müssen, um einen Drittstaatentransfer personenbezogener Daten zu gestatten.
2. Einbeziehung Betriebsrat / Personalrat
Nach § 90 Abs. 1 BetrVG Nr. 3 hat der Arbeitgeber den Betriebsrat über die Planung von Arbeitsverfahren und Arbeitsabläufen einschließlich des Einsatzes von Künstlicher Intelligenz rechtzeitig unter Vorlage der erforderlichen Unterlagen zu unterrichten, gleiches gilt bei Betriebsänderungen mit wesentlichen Nachteilen für die Belegschaft nach § 111 BetrVG.
Soweit KI bei der Erstellung von Richtlinien über die personelle Auswahl bei Einstellungen, Versetzungen, Umgruppierungen und Kündigungen genutzt wird, bedarf dies nach § 95a Abs. 2 BetrVG der Zustimmung des Betriebsrats, ggf. ist die Einigungsstelle hinzuzuziehen. Der Betriebsrat kann ggf. nach § 80 Abs. 3 BetrVG einen Sachverständigen hinzuziehen.
Soweit der KI-Einsatz geeignet sein kann, die Leistung der Beschäftigten zu überwachen, hat der Betriebsrat nach § 87a Abs. 1 Nr. 6 BetrVG über die Einführung mitzubestimmen. Gleiches gilt bei der Regelung der Ordnung im Betrieb nach § 87 Abs.1 Nr. 1 BetrVG. Den Betriebsrat daher frühzeitig bei den Planungen zu Privacy by Design, Privacy by Default einbeziehen, je nach Einsatzweck Betriebsvereinbarung vorbereiten. Daneben sind Informationspflichten gegenüber Beschäftigten und ggf. auch - je nach Unternehmensgröße und -organisation dem Aufsichtsrat / Wirtschaftsausschuss (§ 106 BetrVG) zu berücksichtigen.
3. Datenschutz
Soweit Prompts personenbezogene Daten enthalten können und/oder das Tool personenbeziehbare Nutzungsdaten über Nutzende (insb. CRM/ERP: Daten von Kunden/Lieferanten etc. ) erhebt:
a. Einbeziehung Datenschutzbeauftragter
b. Prüfung der Vorgaben von DSGVO, TTDSG, BDSG
- Einleitung Datenschutzfolgeabschätzung Art. 35 DSGVO: Klärung der Rechtsgrundlage nach Artt. 6 DSGVO / § 26 BDSG (soweit letzteres noch aktuell), auch für den Fall der Einbindung Dritter und der Datenweitergabe an den KI-Anbieter.
- Prüfung, ob besondere personenbezogene Daten (Art. 9 Abs. 1 DSGVO) vorliegen mit der Folge der Prüfung besonderer Rechtsgrundlage; Prüfung, ob die Daten Minderjähriger betroffen sind (ggf. Einwilligung der Eltern erforderlich).
- Klärung der Rechtsgrundlage nach Artt. 6, (ggf.) 9 DSGVO / § 26 BDSG (soweit letzteres noch aktuell), auch für den Fall der Einbindung Dritter und der Datenweitergabe an den KI-Anbieter.
- Klärung der Vorgaben Art. 5 DSGVO Grundsätze zur datenschutzkonformen Verarbeitung, u.a. Datenminimierung, Zweckbindung) und Art. 25 DSGVO (Privacy by Design und Privacy by Default).
- Prüfung, ob ein unzulässiges Scoring nach Art. 22 DSGVO vorliegt.
- Klärung der Vorgaben zu technisch-organisatorischen Maßnahmen (Art. 32 DGSVO).
- Vorbereitung der Information der betroffenen Beschäftigten, Kunden, Lieferanten, Vertriebspartner (abstimmen mit ggf. erforderlichen arbeitsrechtlichen Informationen).
- Klärung, ob das Tool in seiner technischen Struktur (IP-Erfassung, Anbindung der Software, Verarbeitung der Eingaben) datenschutzkonform ist (ggf. TTDSG bei Webanbindung).
- Abschluss eines Controller-to-Controller-Vertrags (meist kein Auftragsverarbeitungsvertrag, da der KI-Anbieter auch eigene Interessen verfolgt bei der Verarbeitung der erhobenen/übermittelten Daten), alternativ AVV (insb. wenn Abfluss personenbeziehbarer Daten ausgeschlossen (s.o. 1.a.i), alternativ ggf. gemeinsame Verarbeitung nach Art. 26 DSGVO).
- Bei Auslandsdatenübertragung Prüfung des datenschutzkonformen Einsatzes (je nach Land Angemessenheitsbeschluss (neu: USA vom 10.07.2023, siehe www.dataprivacyframework.gov/s/), SCCs etc., jeweiligen Stand der Klagen von NOYB im Auge behalten)
- Zu Einzelfragen des Datenschutzes sind die Checklisten -> zum Einsatz LLM-basierter Chatbots der Hamburger Datenschutzaufsicht vom 13.11.2023 und -> zum DSGVO-konformen KI-Einsatz vom 24.01.2024 der bayrischen Datenschutzaufsicht zu beachten, sowie weiterer Hinweise entsprechend Orientierungshilfen-Navigator KI & Datenschutz (ONKIDA).
c. Dokumentation der Datenschutzcompliance
4. IT-Sicherheit, Lizenzmanagement
- Einbeziehung IT-Sicherheitsbeauftragter / Unternehmens-IT, IT-Lieferanten
- Vorgaben TOMs Art. 32 DSGVO
- Konformität technischer Vorgaben der KI-VO
- Integration in bestehendes IT-Sicherheitskonzept
- Vorgaben IT-Sig. 2.0 soweit anwendbar, Ausschluss Sicherheitsvorfälle
- Klärung der Einsatzzwecke im Hinblick auf bestehende Softwarenutzung: Hat der KI-Einsatz Auswirkung auf andere Verträge / Nutzungsrechte? Wird die KI Software nutzen, welche nicht dafür lizenziert wurde (Lizenzmodell prüfen)?
5. Bei Plattformeinsatz des KI-Systems (Zugriff Dritter über große Plattform) und / oder Einsatz in smarten Produkten
- Erfüllung der Anforderungen des TMG und TTDSG sowie der Störerhaftung, ggf. NetzDG / des ProdHG, der Produzentenhaftung nach § 823 Ab.1 BGB
- Compliance mit den Neuregelungen des Digital Markets Act, des Digital Services Act, des Data Act
- Erfüllung Transparenzpflichten
- Klärung der Verwertung personenbezogener Endnutzerdaten / Zugangsrecht, Berücksichtigung GeschGehG
- Erfüllung Meldesystempflichten
- Berücksichtigung der Vorgaben der Neuregelungen der ProdukthaftRL und der KI-HaftungsRL
- Erfüllbarkeit Discoverypflichten
- Verfügbarkeit potentieller Beweismittel
6. Prüfung des KI-Anbieters / KI-VO / Vereinbarungen
- Vorlage und Prüfung von Zertifizierungen, Konformitätsbewertungsverfahren, Konformitätskennzeichnungen, technische Dokumentationen
- Compliance mit der KI-VO abhängig von Risikoklassifizierung, Berücksichtigung weiterer Regulierungen je nach Einsatzzweck (Produktsicherheit etc. und Hochrisikoklassifizierung), u.v.a..:
- Kein Verstoß gegen Verbotsliste Art. 5 KI-VO
- Klassifizierungsprüfung nach Art. 6 KI-VO / Anhängen II und III
- Konzeptions- und Transparenzpflichten Art. 52 KI-VO, Art. 4 II KI-HaftungsRL
- Art. 10 KI-VO Vorgaben für Trainings-, Validierungs- und Testdatensätze. Diese müssen relevant, hinreichend repräsentativ und im Hinblick auf den beabsichtigten Zweck so weit wie möglich fehlerfrei und vollständig sein. Sie müssen die geeigneten statistischen Eigenschaften aufweisen, gegebenenfalls auch in Bezug auf die Personen oder Personengruppen, für die das Hochrisiko-KI-System eingesetzt werden soll.
- Art. 16 KI-VO Anbieterpflichten bei Hochrisikosystemen (unter Anderem Qualitätsmanagement und Dokumentation).
- Art. 26 KI-VO Pflichten der Betreiber: Können diese rechtzeitig erfüllt werden?
- Schulung vereinbaren zur Prompt- / Ergebnisoptimierung
- Klärung der Rechte an Input und Output
- Wahl einer erfolgsorientierten Leistungsbeschreibung / Eindeutige Beschreibung des Sollzustandes / Fehlerdefinition (insb. Compliance Art. 6 ProdukthaftRL !) / Gewährleistungsfragen / insb. Rechtsmängelfreiheit der Trainingsdaten und Ergebnisse / Haftung.
- Absicherung der Freiheit der KI-Ergebnisse von Rechten Dritter
- Klärung Datenschutz und Datensicherheit (s.o. 3 und 4.), Klärung des Status von Subunternehmern, Klärung Datenschutzcompliance bei KI-Anbieter, ggf. initialer Audit
- Je nach Einsatzzweck Spezialvorgaben, z.B. Erfüllbarkeit Archivierungspflichten nach AO / HGB bei Verarbeitung steuerrelevanter Daten / Geschäftsbriefen
- Bei marktmächtigen Anbieter: Strategien zur Aushebelung nicht verhandelbarer AGB im Bestellprozess prüfen (Best Practice-Thema).
7. Einführungsphase / Start des Systems
- Schulung der Nutzenden: Information über Datenschutzsituation, Wahrung der Vertraulichkeit bei Prompts, Erwartungsmanagement zur Fehlerhaftigkeit von Ergebnissen.
- Finale Erstellung von FAQ / Anwenderinformationen / Ethikleitlinien (bei sensiblen Anwendungen) / Datenschutzerklärungen.
- Dokumentation des Vorliegens der Rechtsgrundlagen für die Datenerhebung, Abschluss Betriebsvereinbarung, Fertigstellung und Einholung Einwilligungserklärungen.
- Durchatmen, progressive Muskelentspannung nach Jacobson, sodann: 1 Knoppers, 1 Heißgetränk mit Milchschaum und wiederverwendbarem Röhrchen (Metall, kein selbstauflösendes und deshalb zur Eile gemahnendes Zellstoffrezyklat).
- Start des Systems.
8. Laufende Compliance / ständiges Update
- Qualitätssicherung Prompteingabe, Feedbackrunden, Störfallanalysen.
- Notice- und Takedown-Verfahren für Rechtsverletzungen bei Einbindung Dritter.
- Prüfung der Compliance bei Controller-to-Controller und Controller-to-Processor Vereinbarungen, Prüfung der Rechtsentwicklung bei Auslandsdatenübertragungen, fortlaufende Audits.
- Prüfung der Entwicklung bei Rechtsgrundlagen, insb. hinsichtlich des Beschäftigtendatenschutzes
- Fortlaufende Beachtung der Zweckbindung nach Art. 5 I b DSGVO.
- Erfassung und Umsetzung der Widerrufe bei einwilligungsbasierter Datenverarbeitung nach Art. 6 I a DSGVO.
- Laufende Prüfung gesetzlicher Neuregelungen / Hinweise der Aufsichten.