Gastbeitrag
15.12.2023, 10:00 Uhr
Spannungsfeld Künstliche Intelligenz
Künstliche Intelligenz wird als der nächste Wachstumstreiber dargestellt und in ihrer Auswirkung gar mit der Erfindung des Internets verglichen. In diesem Beitrag beleuchten wir die kundenseitige Nutzung von auf dem Markt angebotenen KI-Systemen.
Die rechtlichen Risiken bei der Nutzung von KI sind nicht zu unterschätzen.
(Quelle: Shutterstock/LeoWolfert)
Künstliche Intelligenz (KI) ist schon jetzt mehr als nur ein Hype. Die Eintrittsschwelle für diese revolutionäre Technologie ist ungleich niedriger als je zuvor, und sie hat bereits jetzt eine Vielzahl von Branchen und Anwendungen beeinflusst, von der Gesundheitsversorgung und der industriellen Fertigung bis hin zum Einzelhandel und der Unterhaltung. KI kann Unternehmen insbesondere dabei helfen, grosse Mengen an Daten zu analysieren, Muster zu erkennen, Vorhersagen zu treffen, Prozesse zu automatisieren und sogar Inhalte (Texte, Bilder, Musik etc.) zu generieren.
Wie soll man als Unternehmen damit umgehen? Auch wenn der Einsatz von KI-Systemen rechtliche und regulatorische Risiken beinhaltet und viele Fragen noch nicht geklärt sind, erachten wir einen kompletten Verzicht auf oder Verbot von KI im Unternehmen nicht als angezeigt, weil dies die Innovationsfähigkeit und Wettbewerbsfähigkeit eines Unternehmens beeinträchtigen kann. Wir halten das «Ausprobieren» von KI als wichtig, um individuelles und organisationales Lernen im Unternehmen zu ermöglichen. Was sollte dabei beachtet werden?
Darf ich Personendaten mit KI bearbeiten?
KI-Systeme, die mit persönlichen Daten trainiert werden oder Personendaten verarbeiten, müssen die Anforderungen des Datenschutzgesetzes erfüllen. Personendaten dürfen nur mit Zustimmung der betroffenen Person (oder auf Basis einer gesetzlichen Grundlage) in einem KI-System genutzt werden. Zur automatisierten Bearbeitung von Personendaten gibt es in der neuen Datenschutzverordnung detaillierte Vorschriften. Unter Umständen kann auch eine Datenschutzfolgeabschätzung erforderlich sein, bevor mit der Nutzung begonnen wird.
Aus Sicht des Datenschutzes sollte man sich ausserdem folgende Fragen stellen:
- Was sichert der KI-Anbieter zum Thema Datenschutz zu?
- Ist das KI-System für Datensicherheit zertifiziert?
- Ist das KI-System so ausgestaltet, dass ihr Output transparent und nachvollziehbar ist?
- Wird im Unternehmen protokolliert, wer Zugang zur KI hat und wer die KI nutzt?
Sind Geschäftsgeheimnisse geschützt?
Unternehmen müssen ihre Daten, Informationen und Geschäftsgeheimnisse schützen, um weder gesetzlichen oder vertraglichen Geheimhaltungspflichten zu verletzen noch ihre eigene Wettbewerbsfähigkeit zu gefährden. Die Eingabe vertraulicher Inhalte als Input oder als Trainingsdaten in ein KI-System kann Geheimhaltungspflichten verletzen. Je nach Nutzungs- und Lizenzbestimmungen könnten die Anbieter der KI-Systeme die eingegebenen Daten sogar veröffentlichen oder weitergeben oder in den Output für andere Nutzer einfliessen lassen. Wie beim Datenschutz müssen rechtliche und technische Aspekte genau evaluiert werden.
Wem gehört der Output von KI?
Die juristischen Fragen betreffend geistiges Eigentum rund um KI sind komplex, facettenreich. Vieles ist in Bewegung und noch ungelöst. Beim praktischen Einsatz von KI-Systemen stellen sich vor allem urheberrechtliche Fragen:
- Wer gilt als Urheber der von der KI generierten Inhalte, Bilder, Musik und anderen kreativen Werke oder gar Patente?
- Sind sie überhaupt durch das Urheber- oder Patentrecht geschützt und wer hat die Rechte daran?
- Wer hat welche Rechte an den Daten und Werken, mit denen die KI trainiert wurde?
- Sind die Rechte der Eigentümer und Urheber dieser Daten verletzt, wenn sie der Nutzung als Trainingsdaten nie zugestimmt haben?
“Im Sinne der Transparenz müssen Kunden und andere Stakeholder darüber informiert werden, wie in einem Unternehmen KI genutzt wird und welche Risiken damit verbunden sind.„
Helga Schlumpf
- Überträgt man dem KI-Anbieter Rechte am Input?
- Welche Rechte erhält man am Output der KI bzw. was darf man damit tun und was nicht?
- Macht der KI-Anbieter Zusagen betreffend Urheber- und anderen Rechte an den verwendeten Daten?
Aufgrund dieser Analyse wird oft klar, dass die Verwendung von KI-generierten Ergebnissen je nach Verwendungszweck und -umfang unterschiedlich risikoreich ist.
Kann ich haftbar gemacht werden?
Es ist wichtig, dass man genau versteht, wie KI, die in einem Unternehmen genutzt wird, funktioniert und welche Art von Entscheidungen sie treffen oder beeinflussen kann. Dies kann dabei helfen, potenzielle Risiken zu erkennen und geeignete Kontrollmechanismen zu implementieren. Generell ist es wichtig, vor Beginn der Nutzung eine umfassende Risikobewertung durchzuführen.
Im Sinne der Transparenz müssen Kunden und andere Stakeholder darüber informiert werden, wie in einem Unternehmen KI genutzt wird und welche Risiken damit verbunden sind. Weil sich die Technologie rasch weiterentwickelt und ändern, muss dies regelmässig neu geprüft werden. Dies kann dazu beitragen, Missverständnisse und mögliche Haftungsfälle zu vermeiden.
Um Haftungsfälle zu vermeiden, sollte man zudem folgende Punkte prüfen:
- Werden vom KI-System generierte Inhalte von einer Fachexpertin nochmals überprüft bzw. bearbeitet? Das unhinterfragte Wiedergeben von Inhalten, deren Richtigkeit man nicht aufgrund eigenen Fachwissens beurteilen kann, birgt reale Haftungsrisiken. Zudem lassen sich mit einer eigenen Bearbeitung indirekt auch Risiken bezüglich IP-Rechten reduzieren.
- Erfassen die Haftungsbestimmungen des eigenen Unternehmens in Verträgen und ABG angemessene Haftungsausschlüsse und -beschränkungen mit Bezug auf die Nutzung von KI?
Wie weiter?
Das Risiko, dass das Vertrauen in ein Unternehmen durch eine falsche oder intransparente Nutzung von KI geschmälert wird, ist gross und muss minimiert werden. KI mit offener Quelle (Open Source) und Transparenz zu den Trainingsdaten eignet sich besonders, um die Transparenz sicherzustellen. Wichtig ist dabei auch eine ethische, verantwortungsvolle und rechtlich korrekte Nutzung von KI. Spätestens vor einer kommerziellen Nutzung von KI lohnt es sich, die vertragliche und rechtliche Situation vertiefter abklären zu lassen.
Unabhängig davon, ob Sie im Unternehmen die Nutzung von KI-Systemen verbieten, einschränken oder erlauben, sollten sie robuste Sicherheitsmassnahmen einführen, klare Richtlinien festlegen und eine Kultur des Bewusstseins fördern, um die Risiken zu mindern. Die proaktive Auseinandersetzung mit diesen Herausforderungen kann wertvolles geistiges Eigentum schützen und einen Wettbewerbsvorteil in
der sich ständig weiterentwickelnden KI-Landschaft sichern. Dazu ist auch die Schulung von Mitarbeitenden entscheidend, um sie für die Risiken und Grundsätze für die Nutzung zu sensibilisieren.
der sich ständig weiterentwickelnden KI-Landschaft sichern. Dazu ist auch die Schulung von Mitarbeitenden entscheidend, um sie für die Risiken und Grundsätze für die Nutzung zu sensibilisieren.
Die Autoren
Helga Schlumpf ist Rechtsanwältin und hat langjährige Erfahrung in den Bereichen geistiges Eigentum und Vertragsrecht. Sie ist als Inhouse Counsel bei ELCA Informatik AG tätig. Sie ist Mitglied der Rechtskommission von swissICT.
Matthias Ebneter ist Rechtsanwalt mit Spezialisierung IT-Recht. Er ist als Legal Department Manager bei SAP tätig und leitet ein LegalTech-Team. Er ist Mitglied der Rechtskommission von swissICT.