Suche
Close this search box.

Rechtsanwalt Moritz Gielen klärt auf!

KI und Recht: Diese Risiken musst du kennen

Wusstest du, dass der Einsatz von KI in Unternehmen rechtliche Risiken birgt, die viele unterschätzen? Datenschutz-, Urheberrechts- und Haftungsfragen können schnell zum Problem werden. Wie Du rechtliche Stolperfallen vermeidest, erklärt Rechtsanwalt und Experte Moritz Gielen im Interview.

Moritz Gielen ist Rechtsanwalt und Datenschutzbeauftragter bei WBS.LEGAL. Als Experte für Datenschutz und IT-Recht kennt er die rechtlichen Fallstricke, die beim Einsatz von KI in Unternehmen auftreten. Im Interview erklärt er dir, wie du KI sicher und rechtskonform nutzen kannst. Noch tiefere Einblicke bietet er beim KI Legal Event – ​​eine Gelegenheit, die du nicht verpassen solltest!

Welche datenschutzrechtlichen Herausforderungen bringt der Einsatz von KI mit sich?

Die Datenschutzgrundverordnung (DSGVO) gibt es zwar mittlerweile seit sechs Jahren, doch sie ist im Hinblick auf die Rechtsprechung immernoch ein wenig erforschtes Gebiet. Es gibt bisher nur wenige höchstrichterliche Urteile zum Datenschutzrecht in Deutschland, sei es vom Bundesgerichtshof (BGH) oder vom Europäischen Gerichtshof (EuGH) als oberste Instanz. Daher gibt es oft viel zu prüfen, zu überlegen und zu argumentieren, wenn es um datenschutzrechtliche Fragestellungen geht. Grundsätzlich lohnt sich jedoch ein Blick auf Artikel 5 der DSGVO, in dem die Grundsätze des Datenschutzes festgelegt sind.

Dazu gehört beispielsweise, dass man, wenn personenbezogene Daten verarbeitet werden, transparent damit umgehen muss. Die betroffene Person muss darüber informiert werden, dass ihre Daten verarbeitet werden, und dies muss auf transparente Weise geschehen – insbesondere, wenn die Daten mithilfe eines KI-Tools verarbeitet werden.

Ein weiterer Grundsatz ist die Zweckbindung. Das bedeutet, dass ein konkreter Zweck für die Verarbeitung der Daten festgelegt werden muss. Diese Daten dürfen dann ausschließlich für diesen definierten Zweck verwendet werden. Wenn Daten in ein KI-Tool eingegeben werden, muss sichergestellt sein, dass das Tool die Daten nur für den vorher festgelegten Zweck verarbeitet. Diese und weitere Grundsätze gelten immer dann, wenn personenbezogene Daten verarbeitet werden, und sollten daher stets beachtet werden.

Welche Best Practices empfiehlst du, um KI effizient einzusetzen und gleichzeitig sensible Daten zu schützen?

Bei sensiblen Daten befinden wir uns natürlich auch in einem datenschutzrechtlichen Bereich. Dabei ist es so, dass sensible Daten nur auf der Grundlage einer freiwilligen Einwilligung verarbeitet werden dürfen. Das bedeutet, wenn sensible Daten verarbeitet werden, beispielsweise Gesundheitsdaten von Kunden, muss eine Einwilligung eingeholt werden – ganz gleich, ob dies über ein KI-Tool oder händisch erfolgt.

Wichtig ist, dass die Einwilligung freiwillig und informiert erfolgt. So steht es im Gesetz, konkret in Artikel 7 der DSGVO. Das bedeutet, dass die Person, die einwilligt, genau wissen muss, wozu sie ihre Einwilligung gibt. Transparenz ist auch hier entscheidend. Es muss klar und verständlich kommuniziert werden: „Wir möchten deine Daten für diesen Zweck verarbeiten. Willigst du ein?“ Wenn die Person zustimmt, ist das in Ordnung. Lehnt sie ab, darf die Verarbeitung gemäß der DSGVO nicht erfolgen.

Bei sensiblen Daten ist die Einwilligung auch ein absolutes „Must-have“. Bei nicht sensiblen Daten sieht es hingegen anders aus. Hier können andere Rechtsgrundlagen greifen, die eine Verarbeitung rechtfertigen. Doch für sensible Daten bleibt die Einwilligung zwingend erforderlich.

Existiert ein Urheberrecht für KI-generierte Werke und bei wem liegt es?

Jetzt kommt die klassische Juristenantwort: Es kommt darauf an. Und zwar darauf, wie viel Arbeit man selbst in das Prompting und die Erstellung des Werks investiert hat, das als Ergebnis aus der KI hervorgeht. Nach dem Urhebergesetz in Deutschland entsteht ein Urheberschutz nur dann, wenn eine – so steht es im Gesetz – gewisse Schöpfungshöhe erreicht wird. Das bedeutet, dass eine gewisse Arbeit oder Leistung in die Erstellung investiert werden muss, damit das, was entsteht, tatsächlich urheberrechtlich geschützt ist.

Auch hier gilt: KI ist rechtlich gesehen ein noch neueres Feld als die DSGVO, insbesondere in Bezug auf rechtliche Fragestellungen. Bisher gibt es keine klaren Urteile oder Richtlinien, die festlegen, was ausreichend ist, um Urheberrechtsschutz zu genießen, und was nicht. Die Rechtsprechung hat bisher nicht definiert, wann ein Werk, das mit KI erstellt wurde, urheberrechtlich geschützt ist.

Das bedeutet, man muss diese Frage im Einzelfall abwägen und im Zweifel prüfen lassen. Rechtstheoretisch ist es jedoch möglich, dass jemand, der viel Arbeit in die Erstellung eines KI-generierten Werks investiert, als Urheber dieses Werks gilt. Wenn man jedoch nur zehn Minuten an einem Prompt feilt und einen Text generieren lässt, wird mit hoher Wahrscheinlichkeit kein Urheberschutz bestehen.

Es gibt zwar keine klare Linie, aber grundsätzlich gilt: Je mehr kreative Arbeit und Aufwand in die Erstellung eines Werks einfließen, desto größer ist die Wahrscheinlichkeit, dass man Urheberrechtsschutz genießen kann.

Müssen KI-generierte Bilder, beispielsweise bei ihrer Nutzung im Marketing, gekennzeichnet werden?

Eine Kennzeichnung im Sinne von „Dieser Text wurde durch eine KI erstellt“ ist tatsächlich nicht erforderlich. Man kann dies natürlich machen, aber ich würde persönlich davon abraten. Der Grund dafür ist, dass andere durch eine solche Kennzeichnung erkennen könnten, dass aufgrund der KI-Generierung möglicherweise kein Urheberrechtsschutz besteht. Das könnte dazu führen, dass das Werk – sei es ein Logo, ein Slogan oder ein Text – von anderen einfach verwendet wird, da kein Schutzrecht für das Werk existiert. Daher wäre es aus urheberrechtlicher Sicht eher sinnvoll, auf eine solche Kennzeichnung zu verzichten.

Anders verhält es sich im datenschutzrechtlichen Bereich, wenn Tools verwendet werden, die Daten verarbeiten. Ein klassisches Beispiel ist ein Chatbot, der auf einer Webseite integriert ist. Hier greift der Transparenzgrundsatz der DSGVO, und es muss klar und transparent darüber informiert werden, bevor der Nutzer den Chatbot verwendet, dass die Antworten KI-generiert sind.

Man muss auch zwischen den beiden Bereichen unterscheiden: Im urheberrechtlichen Bereich gibt es keine Kennzeichnungspflicht, während im datenschutzrechtlichen Kontext Transparenz und klare Informationen zwingend erforderlich sind.

Wie beeinflusst der AI Act die Nutzung von KI-Tools in Unternehmen?

Das Thema ist noch ganz frisch. Der AI Act bezieht sich vor allem auf die Hersteller oder Entwickler einer KI sowie auf die Unternehmen, die diese KI nutzen. Der Endkunde oder Endverbraucher, dessen Daten möglicherweise von der KI verarbeitet werden oder der beispielsweise einen Chatbot auf einer Webseite verwendet, ist von den Regelungen des AI Acts tatsächlich nicht direkt betroffen. Die Regulierung, die der AI Act vorgibt, bezieht sich in erster Linie auf die Hersteller und die Unternehmen, die das Tool weiterverwenden, um bestimmte Anwendungen damit zu realisieren.

Ein zentraler Aspekt des AI Acts ist die Einteilung der verschiedenen KI-Anwendungen in Risikogruppen. Es gibt Höchstrisikogruppen, Hochrisikogruppen, Gruppen mit mittlerem Risiko – wahrscheinlich die breite Masse – und Gruppen mit sehr geringem Risiko. Die Einteilung richtet sich nach dem Bereich, in dem die KI eingesetzt wird. So gehören KI-Anwendungen in sicherheitskritischen Infrastrukturen oder in der Justiz mit hoher Wahrscheinlichkeit zur Höchstrisikogruppe. Ein Chatbot, der beispielsweise auf einer Webseite verwendet wird, fällt jedoch eher in die Kategorie mit geringem Risiko.

Sobald man feststellt, in welche Risikokategorie das KI-Tool fällt, das man nutzen möchte, gelten unterschiedliche Maßnahmen. Diese lassen sich wie eine Pyramide vorstellen: Je höher das Risiko, desto stärker sind die Anforderungen. Zu den Maßnahmen gehören beispielsweise die Eintragung der KI in ein Transparenzregister – das betrifft vor allem die Hersteller – sowie umfassende Prüfpflichten. Diese Prüfpflichten gelten sowohl für Hersteller als auch für Unternehmen, die die KI verwenden. Unternehmen müssen sicherstellen, dass die KI regelmäßig überprüft wird, ob Fehler auftreten, und im Falle von Fehlern entsprechende Maßnahmen ergreifen. In bestimmten Fällen kann es notwendig sein, Fehler an eine zuständige Meldebehörde zu melden.

Je weiter man in der Pyramide nach unten rutscht und je geringer das Risiko wird, desto weniger Anforderungen gelten. Dennoch bleiben grundlegende Pflichten bestehen, die abhängig von der Risikogruppe eingehalten werden müssen.

Wie gestaltet sich die Haftung, wenn KI eine fehlerhafte Entscheidungen trifft? Welche Risiken entstehen dadurch für Unternehmen?

Der erste Schritt besteht immer darin, zu prüfen, ob durch den Fehler tatsächlich ein Risiko entstanden ist. Ähnlich wie im Datenschutzrecht bewertet man zunächst, wie groß das Risiko ist. Wenn es als sehr gering eingestuft wird, reicht es oft aus, den Vorfall intern zu dokumentieren und festzuhalten, dass kein nennenswerter Schaden entstanden ist. In solchen Fällen ist eine Meldung nicht erforderlich.

Falls das Risiko jedoch größer ist, kann es notwendig werden, den Vorfall der zuständigen Aufsichtsbehörde zu melden. In Deutschland ist noch nicht endgültig geklärt, welche Behörde dafür zuständig sein wird, da sich derzeit verschiedene öffentliche Stellen um diese Aufgabe bewerben. Der AI Act sieht allerdings eine Übergangsfrist von sechs bis 36 Monaten vor, abhängig von Unternehmen und Risikogruppe, bevor die Regelungen verbindlich greifen. Während dieser Zeit wird entschieden, an welcher Stelle solche Meldungen erfolgen müssen.

Falls ein Vorfall größeren Schaden verursacht, können Bußgelder verhängt werden. Diese beziehen sich auf alle großen Konzerne wie Google oder Meta und können bis zu 30 Millionen Euro oder 6 % des weltweiten Jahresumsatzes betragen. Dies gilt für das gesamte Unternehmen weltweit, nicht nur für die jeweilige Niederlassung. Die potenziellen Bußgelder sind ebenfalls erheblich.

Ähnlich wie bei der DSGVO verlangen die Aufsichtsbehörden in der Regel eine ausführliche Prüfung, wenn ein Vorfall gemeldet wird. Sie möchten sehen, dass das Risiko bewertet, der Fehler behoben und die betroffenen Personen informiert wurden. In den meisten Fällen bleibt es dann bei der Prüfung, ohne dass Bußgelder verhängt werden.

Der wichtigste Tipp in solchen Situationen ist: Gehe transparent und professionell mit dem Vorfall um. Dokumentiere den Fehler, informiere die Betroffenen bei Bedarf und behebe das Problem. Grobe Fahrlässigkeit, wie eine fehlende Prüfung im Vorfeld, sollte natürlich vermieden werden. Transparenz ist hier der beste Ansatz, um auf der sicheren Seite zu bleiben.

Jetzt kostenlos zum KI Marketing Day anmelden und Effizienz neu entdecken!

Ohne Marketing gibt es keinen Erfolg – egal, ob du als Marketeer arbeitest, ein Team führst oder freiberuflich deine Ziele verfolgst. Der Marketingalltag kostet oft viel Zeit, Energie und kreative Ideen. Doch wie kannst du effizienter und schneller arbeiten, ohne dabei die Qualität zu opfern? Die Lösung: Künstliche Intelligenz. Wie du dein Marketing mit KI meisterst, erfährst du am 18. Februar 2025 beim KI Marketing Day von Digital Beat  – praxisnah, verständlich und direkt umsetzbar.

NEWS

ACHTUNG
ChatGPT ist ein
Hochrisiko-KI-System!
KI Legal
Dein Online Event

04. Februar 2025

ab 10 Uhr

Marketing raubt dir wertvolle Zeit?
KI gibt sie dir zurück

wir zeigen wie auf dem

KI MARKETING DAY

18. Februar 2025 ab 10 Uhr

Artikel bewerten
Wie gefällt dir dieser Artikel?
0 aus 0 Bewertungen
MEHR ZUM THEMA

DU willst deine KI-Skills aufs nächste Level heben?

WIR machen dich bereit für die Revolution
KÜNSTLICHE INTELLIGENZ!

Exklusive Einblicke
Newsletter für KI-Insider
Melde dich jetzt an und werde zum Gewinner der KI-Revolution

Ja, ich möchte den Newsletter. Die Einwilligung kann jederzeit im Newsletter widerrufen werden. Datenschutzerklärung.

Über den Autor

Autorenprofil: Jana Blümler

Jana Blümler

Jana ist seit Juni 2024 als Junior Content Managerin in der Redaktion bei Gründer.de tätig. Hier berichtet sie über spannende, aktuelle Business Cases zu den Themenbereichen Künstliche Intelligenz, Digitale Geschäftsmodelle und Online Marketing. Mit ihrem Bachelorstudium im Medien- und Eventmanagement und einem Masterabschluss im Kommunikations- und Marktmanagement bringt sie ihre fundierten und praxisnahen Kenntnisse in die redaktionelle Arbeit ein. Ihre Leidenschaft für Digitales Marketing und ihr marktwirtschaftliches Verständnis ermöglichen es ihr, immer über die neusten Trends und Business Cases auf dem Laufenden zu sein.

Hast du noch Fragen?

Du hast eine Frage oder eine Meinung zum Artikel? Teile sie mit uns!

KI Marketing Day
Platz sichern
Gründer:in?

Zu unseren Angeboten

Exklusive Events
Contra
  • Die KI Marketing Konferenz
  • 24. & 25. Juni 2025
  • Live in Düsseldorf

Ticket sichern
KI Marketing Day
  • Mehr Effizienz im Marketing
  • 18. Februar 2025
  • Sei online & live dabei

Kostenlos anmelden
Effizienter mit KI Kostenlos anmelden

Sitemap

schliessen

Marketing raubt dir wertvolle Zeit?
KI gibt sie dir zurück

wir zeigen wie auf dem

KI MARKETING DAY

18. Februar 2025 ab 10 Uhr