Zusammenfassung
Das EU-Gesetz über Künstliche Intelligenz (AI Act) ist vor allem für Anbieter und Betreiber von KI-Systemen relevant. Ein Großteil der praktischen und rechtlichen Probleme beim Einsatz von KI wird hierdurch jedoch nicht geregelt. Diese müssen nach wie vor zwischen den Parteien ausgehandelt werden.
Intern: Klare Regelungen
Überall da, wo Mitarbeitenden ein Internet-Zugang zur Verfügung gestellt wird, wird dieser genutzt – auch, um mit KI wenigstens zu experimentieren, also insbesondere auszuprobieren, was ChatGPT, Copilot, Claude, Dall-E-, Midjourney u.a. leisten können. Ebenso hat sich inzwischen weitgehend herumgesprochen, dass mit der Nutzung Risiken für das Unternehmen verbunden sein können. Nicht wenige hat das bereits ihren Job gekostet. Umso erstaunlicher ist es, dass viele Unternehmen noch keine internen Vorgaben zum korrekten Einsatz von Künstlicher Intelligenz bei der Arbeit machen. Unbedingt geregelt gehört dabei der Umgang mit sensiblen Informationen und die Verwendung der Arbeitsergebnisse von KI, am besten aber auch Zuständigkeiten, Verantwortlichkeiten und Dokumentationserfordernisse. Denn eins ist sicher: Genutzt werden diese Systeme in jedem Fall. Ein Totalverbot ist nicht durchsetzbar und wäre auch produktivitätshemmend.
Mitbestimmung
Bei Betrieben, die der Mitbestimmung unterliegen, kann die Einführung von KI durchaus aufwändig sein. Denn: Muss der Betriebsrat zur Durchführung seiner Aufgaben die Einführung oder Anwendung von Künstlicher Intelligenz beurteilen, gilt insoweit die Hinzuziehung eines Sachverständigen als erforderlich (§ 80 Abs 3 S. 2 BetrVG).
Verlässliche Verträge
Viele Unternehmen kaufen KI-Lösungen von Dritten ein bzw. lizenzieren Software, in der KI enthalten ist. Dafür sollten Verträge verwendet werden, die den speziellen Themen beim Einsatz von KI Rechnung tragen – und nicht etwa nur veraltete Standard-Einkaufsbedingungen für IT, die zum Thema KI noch schweigen. Natürlich spricht nichts dagegen, etwaige veraltete Standard-Einkaufsbedingungen für IT gleich an die zahlreichen neuen praktischen und gesetzlichen Anforderungen anzupassen.
Einige wichtige Herausforderungen:
Bei Systemen generativer KI (die oben bereits genannten, wie Chat GPT u.ä.) sollte sich kein Lizenznehmer oder Anwender darauf verlassen, dass diese rechtskonform sind. Insbesondere ist fraglich, ob die zum Training verwendeten Daten rechtmäßig beschafft und genutzt wurden, insbesondere in Bezug auf Datenschutz, Persönlichkeitsrechte und Urheberrechte Dritter. Das heißt nicht, dass ein Unternehmen grundsätzlich vom Einsatz Abstand nehmen muss. Aber die Risikoverteilung muss vernünftig geregelt werden.
Ebenso liefert Künstliche Intelligenz gelegentlich unerwünschte Resultate oder zeigt merkwürdiges Verhalten. Beispielsweise können Arbeitsergebnisse von KI regelmäßig Rechte Dritter verletzen. Ein Rechteclearing kann hier wesentlich schwieriger als bei von Menschen erzeugten Arbeitsergebnissen sein, weil die KI erst gar nicht offenlegt oder offenlegen kann, bei welchen Urhebern sie sich bedient hat (besonderes Problem: die korrekte Offenlegung der Nutzung von Open Source Code wird so nahezu unmöglich und die Nutzung damit unzulässig). Es sind auch Aussagen von auf Unternehmenswebsites eingesetzten Chatbots überliefert, die den Unternehmen buchstäblich auf die Füße gefallen sind – weil der Chatbot Kunden Rechte zugestanden hat, die die Kunden vertraglich an sich gar nicht gehabt hätten. Schließlich macht KI auch Fehler, was aber auch unerwartete folgen haben kann: Bei manchen Systemen wird vor diesem Hintergrund regelmäßig eine gewisse Fehlertoleranz in Kauf genommen. Wenn allerdings ein KI-System, bspw. zur Betrugsprävention, so "scharf" eingestellt wird, dass es Vorgänge nur dann freigibt, wenn ein Betrugsversuch zu 100 % ausgeschlossen werden kann, wird es wahrscheinlich nie einen Vorgang freigeben. Zugleich bedeutet aber ein geringerer Wert eine bewusste Inkaufnahme von Fehlentscheidungen, was beispielsweise den ansonsten für Fehlentscheidungen bestehenden Versicherungsschutz aushebeln kann.
Ganz generell geht es darum, dass KI zwar effektiv ist, häufig aber intransparent arbeitet und früher oder später auch Fehler produzieren wird. Vertraglich muss also geregelt werden, wie mit der Intransparenz umzugehen ist bzw. wer das Risiko trägt, wenn nicht ermittelt werden kann, wo der Fehler lag – und auch, welcher Grad an Fehleranfälligkeit noch akzeptabel ist.
Die üblichen Maßstäbe von Vorsatz und grober Fahrlässigkeit, die sich in den meisten Standardverträgen finden, passen hier nicht: Beide Parteien wissen ja, dass es zu Fehler kommen kann. Geregelt werden muss also, welche Fehler welcher Vertragspartei zugerechnet werden. Das kann beispielsweise in Regelungen über Datenqualität, Servicelevels und Freistellungsklauseln erfolgen. Eine Standardlösung für jeglichen Einsatz von KI gibt es natürlich nicht. Wichtig ist aber, dass das Thema mitgedacht und angemessen geregelt wird.
Ebenfalls wichtig: Zu regeln, in...