Article
Die rechtlichen Grundlagen und Rahmenbedingungen von Generativer KI
Erwägungen zu geistigem Eigentum, Datenschutz, vertraglichen Aspekten und KI-Strategie
Aus rechtlicher Sicht entstehen durch den zunehmenden Einsatz von Generativer KI vielfältige Erwägungen zu geistigem Eigentum, Datenschutz, vertraglichen Aspekten und KI-Strategie. Auf dieser Seite erläutern wir die gängigen rechtlichen Grundlagen und Rahmenbedingungen im Bereich der Generativen Künstlichen Intelligenz.
full
Das Aufkommen Generativer KI heizt den derzeitigen Hype um die Einführung von KI weiter an
Noch herrscht keine Einigkeit über die Definition von Generativer KI. Der EU AI Act (oder zu Deutsch: das Gesetz über künstliche Intelligenz) definiert Generative KI als "Basismodelle, die speziell dazu bestimmt sind, mit unterschiedlichem Grad an Autonomie Inhalte wie komplexe Texte, Bilder, Audio- und Videodateien zu generieren.“ (Art. 28b (4) AI Act)
Während die Unternehmen die Einsatzmöglichkeiten der neuen Tools ausloten, gibt es Bedenken bei den Stakeholdern der Unternehmen. Dies gilt insbesondere für Rechts- und Compliance-Experten.
Die Rolle juristischer Führungskräfte bei der Prüfung des Einsatzes von Generativer KI besteht grundsätzlich darin, die Stakeholder (z.B. Unternehmensleiter, Führungskräfte, den Vorstand etc.) sachkundig über die Risiken des Einsatzes Generativer KI zu beraten. Zu diesem Zweck ist es wichtig zu verstehen, wie Generative KI funktioniert und welche Risiken die Technologie birgt.
In diesem Beitrag werden die gängigen rechtlichen Fragen im Bereich der Generativen KI aus einem allgemeinen Blickwinkel erörtert. Eine gezielte Auseinandersetzung mit der Rechtslage in Deutschland (oder in anderen Ländern) findet nicht statt. Da sich der auf Generative KI anwendbare Rechtsrahmen weltweit erst in der Entstehungsphase befindet und sich rasch weiterentwickelt, vermeidet dieser Artikel eine umfassende Erörterung bestehender oder angedachter Vorschriften, es sei denn, ein bestimmtes Beispiel ermöglicht ein besseres Verständnis der relevanten Risiken.
Studie "The legal implications of Generative AI"
Considerations for intellectual property, data protection, contracts for corporations and Generative AI policy
Download Studie (Englisch)
Geistiges Eigentum
Generative KI ist in der Lage, riesige Datenmengen zu verarbeiten und ohne nennenswertes menschliches Zutun in ein Ergebnis (Output) umzuwandeln. Die Diskussion über den Umgang mit geistigen Eigentumsrechten an Inhalten, die zum Trainieren der KI verwendet werden (Input), sowie an den KI-erzeugten Ergebnissen (Output) steckt dabei noch in den Kinderschuhen.
Um diese Themen verständlich zu halten, konzentrieren wir uns auf rechtliche Fragen im Zusammenhang mit dem Urheberrecht. Allerdings liegt es nahe, die folgenden Konzepte auf andere Arten geschützten geistigen Eigentums zu übertragen.
Für das Training der Generativen KI verwendete Materialien (Input)
Je nach Rechtslage des jeweiligen Landes können die für das Training der Generativen KI verwendeten Materialien urheberrechtlich geschützt sein. Zudem ist es wahrscheinlich, dass während des Trainingsprozesses Vervielfältigungen dieser Materialien angefertigt werden. Sofern nicht bestimmte urheberrechtliche Ausnahmetatbestände Anwendung finden, können diese Vervielfältigungen eine Verletzung der Urheberrechte des Autors der zu Trainingszwecken verwendeten Materialien darstellen. Diese Ausnahmen sind von Land zu Land unterschiedlich. In den Vereinigten Staaten gibt es beispielsweise das „Fair Use“-Prinzip, während in der EU die Ausnahmen für vorübergehende oder zufällige Vervielfältigungshandlungen sowie Text- und Data-Mining relevant sein können.
Daher ist es schwierig zu bestimmen, welche Materialien zum Trainieren einer Generativen KI verwendet werden können, ohne Rechte des geistigen Eigentums, einschließlich des Urheberrechts, zu verletzen. Das jüngste Urteil des Obersten Gerichtshofs der USA in der Rechtssache Warhol zum „Fair Use“-Prinzip, welches sich mehr auf den kommerziellen Zweck neuer Werke als auf den künstlerischen Ausdruck konzentriert, dürfte die Bewertung der urheberrechtlichen Risiken von KI-Trainingsmaterial in den USA erschweren. Die konkreten Auswirkungen des Urteils sind jedoch noch unklar und werden voraussichtlich von den Gerichten der unteren Instanzen entschieden.
KI-generierter Output als urheberrechtlich geschütztes Werk
Das geltende Urheberrecht gewährt dem Urheber eines geschützten Werks grundsätzlich umfassende Rechte. Der Schwerpunkt liegt dabei auf dem Schutz der geistigen und persönlichen Beziehung des Urhebers zu seinem Werk und der Sicherstellung, dass der Urheber die Kontrolle über die Verwertung seiner Werke behält.
Im Hinblick auf einen mittels Generativer KI generierten Output stellt sich jedoch die Frage, ob der Output überhaupt einen Urheber im Sinne des Urheberrechts hat. Dem liegt folgender Gedanke zu Grunde: der Output entstammt nicht einer menschlichen geistigen Schöpfungsleistung, sondern wurde von einer Generativen KI erzeugt. Die Gesetzgeber müssen daher in ihrem jeweiligen Rechtsraum entscheiden, ob die Gewährung eines Urheberrechts an den Nutzer der Generativen KI dem Zweck des Urheberrechts genügt. Dies gilt nicht zuletzt, weil der Nutzer selbst möglicherweise keine freien und kreativen Entscheidungen getroffen hat, die in bedeutender Weise zum Output beitragen haben.
Beispielsweise hat das Europäische Parlament in einem am 20. Oktober 2020 veröffentlichten Beschluss festgestellt, dass Werke, die von einer Generativen KI in unabhängiger Weise geschaffen werden, derzeit nicht urheberrechtlich geschützt werden können. Als Begründung wird angeführt, dass Rechte an geistigem Eigentum grundsätzlich eine an dem Schöpfungsprozess beteiligte natürliche Person voraussetzen. Der EU AI Act weicht von diesem Verständnis nicht ab. Das US Copyright Office wiederum gab im März 2023 eine Erklärung ab, wonach sich der Urheberrechtsschutz nicht auf von Generativer KI geschaffene Werke erstreckt, außer der Mensch hatte die kreative Kontrolle über den Inhalt des Werks und hat die üblichen Elemente der Urheberschaft „tatsächlich geschaffen", wie im Fall Zarya of the Dawn dargelegt.
Darüber hinaus bestätigte das US-Bezirksgericht für den District of Columbia im August 2023 die Position des US Copyright Offices in der Rechtssache Thaler v. Perlmutter, in der es einen Urheberrechtsantrag für ein maschinell generiertes Werk mit der Begründung abgelehnt hat, dass die menschliche Urheberschaft für den Urheberrechtsschutz erforderlich ist.
Es scheint demzufolge so, dass Gesetzgeber sich auf eine Position zubewegen, bei der die Modifizierung eines von Generativer KI geschaffenen Arbeitsergebnisses und die Schaffung eines neuen (abgeleiteten) Werks dem menschlichen Urheber die Möglichkeit gibt, Urheberrechte an dem Werk zu erwerben. Je mehr das Arbeitsergebnis hingegen von der Generativen KI selbst erzeugt wird, desto unwahrscheinlicher ist die Entstehung solcher Rechte an dem KI-generierten Output. Die Auswirkungen des Warhol-Falls müssen allerdings berücksichtigt werden.
Personenbezogene Daten und Vertraulichkeit
Generative KI erfasst und erzeugt große Datenmengen, wie Bilder, Text, Sprache, Videos, Code, Geschäftspläne und technische Formeln. Das Trainieren, Testen, Hochladen, Analysieren, Auswerten oder anderweitige Verarbeiten solcher Eingabe- und Ausgabedaten erfordert unterschiedliche Schutzniveaus.
Das anwendbare Schutzniveau hängt dabei von der Art der Daten ab, wobei zwischen personenbezogenen und nicht personenbezogenen Daten zu unterscheiden ist. Für personenbezogene Daten (z.B. Namen oder Informationen über das Leben einer Person), gelten regelmäßig Datenschutzgesetze, entweder auf lokaler (z.B. CCPA in Kalifornien) oder regionaler Ebene (z.B. DSGVO in Europa).
Geschäftsdaten, wie finanzielle und technische Informationen, strategisches Know-how und Geschäftsgeheimnisse, können aufgrund lokalen Rechts oder vertraglicher Vereinbarung als vertrauliche Informationen eingestuft werden, deren Missbrauch sowohl zivil- als auch strafrechtliche Sanktionen nach sich ziehen kann. In diesem Zusammenhang müssen Unternehmen beim Einsatz von Generativer KI sorgfältig auf die richtige Kategorisierung der in diese Systeme eingegebenen Daten achten. Darüber hinaus müssen sie Maßnahmen ergreifen, die eine rechtmäßige, sichere und vertrauliche Verarbeitung der Daten gewährleisten.
Zu diesem Zweck wenden wir uns im Folgenden einigen der wichtigsten Herausforderungen zu, mit denen Unternehmen bei der Verwendung personenbezogener und vertraulicher Daten durch Generative KI konfrontiert sind. Außerdem zeigen wir mögliche Maßnahmen auf, die ergriffen werden können, um die damit verbundenen rechtlichen Risiken zu mindern.
Rollen und Verantwortlichkeiten für personenbezogene Daten
Ein Ausgangspunkt für den Schutz personenbezogener Daten ist aus EU-Sicht die Betrachtung der Rollen der beteiligten Parteien (d.h. der für die Datenverarbeitung Verantwortlichen, die Datenverarbeiter/Dienstleister usw.). Dies hilft bei der Festlegung, welche Instanz die Hauptverantwortung für die Einhaltung der Vorschriften trägt und welche konkreten Maßnahmen hierfür zu ergreifen sind.
In diesem Zusammenhang würde der Anbieter einer Generativen KI – in einem vereinfachten Geschäftsmodell – als Verantwortlicher für die initialen Trainings- und Testdatensätze fungieren. Darüber hinaus würde den Anbieter voraussichtlich eine separate, unabhängige Verantwortlichkeit treffen, wenn er neben dem Training der Generativen KI auch Standardsoftwareprodukte mit eingebetteten Daten für Kundenunternehmen bereitstellt. Der Anbieter könnte auch im Namen eines Kundenunternehmens als Auftragsverarbeiter für Eingabe- und Ausgabedaten agieren, insbesondere dann, wenn er die Generative KI lediglich als solche ohne eingebettete Daten an den Kunden lizenziert.
In den beiden letzteren Fällen übernimmt der Kunde jeweils die Rolle des Verantwortlichen für alle weiteren Trainings-, Test- sowie Eingabe- und Ausgabedatensätze, die nicht für das initiale Training der KI genutzt werden. Auch gemischte Rollen oder gar eine gemeinsame Verantwortlichkeit mit dem Anbieter sind möglich. Dies sollte im Einzelfall im Rahmen der erforderlichen Datenschutz- und Algorithmen-Folgenabschätzungen geprüft werden.
Es ist zu beachten, dass bisher weder ein Gericht, noch eine Aufsichtsbehörde die vorgenannten Szenarien beurteilt hat.
Grundsätze des Datenschutzes beim Einsatz Generativer KI
In vielen Rechtsordnungen gibt es eine Reihe allgemeiner Grundsätze und Maßnahmen zum Schutz personenbezogener Daten, die in hohem Maße von Generativer KI betroffen sind. Beim Einsatz Generativer KI sollten Unternehmen daher besonders auf die folgenden Aspekte der jeweils von ihnen verwendeten Lösung achten:
Vertraulichkeit
Eine Verletzung der gesetzlich oder vertraglich vorgeschriebenen Vertraulichkeit stellt ein Risiko für die Rechte und Freiheiten sowohl von Personen als auch Unternehmen dar. Daher ist die fortlaufende Gewährleistung der Vertraulichkeit von Daten über den gesamten KI-Lebenszyklus hinweg ein wesentlicher Faktor.
Generative KI kann (vom Nutzer) unbeabsichtigt lernen und sensible Informationen aus den Trainingsdaten reproduzieren. Dies kann zur ungewollten Erzeugung von Ergebnissen führen, die vertrauliche Informationen enthalten. Diese wiederum gefährden die vorgeschriebene Vertraulichkeit, wenn sie weitergegeben oder veröffentlicht werden.
Unternehmen müssen sich auch ihrer eigenen Vertraulichkeitsverpflichtungen bewusst sein. Beinhaltet ein bestimmter Vorgang innerhalb eines Unternehmens vertrauliche Informationen, die von Kunden, Lieferanten oder anderen Dritten bereitgestellt wurden, muss das Unternehmen zunächst alle Vertraulichkeitsverpflichtungen und andere Vertragsbedingungen berücksichtigen, unter denen die Informationen bereitgestellt wurden, und prüfen, ob die Verwendung dieser Daten in einer Generativen KI zulässig ist.
Zu erwägende Maßnahmen
Mit dem zunehmenden Einsatz von Generativer KI müssen Unternehmen die bestehenden rechtlichen und finanziellen Risiken sowie Reputationsrisiken im Zusammenhang mit den Verstößen gegen Datenschutzregularien und Vertraulichkeitsverpflichtungen sorgfältig bewerten. Zusätzlich zu den gesetzlichen und regulatorischen Anforderungen, die bereits jetzt und ggf. in Zukunft gelten, sollten Unternehmen insbesondere die nachfolgenden Maßnahmen berücksichtigen:
- Muss der Datenzugriff auf autorisiertes Personal beschränkt werden? Welche Rolle sollten physische und logische Zugangskontrollmechanismen, wie z.B. Authentifizierungssysteme, spielen?
- Welche spezifischen Richtlinien und Verfahren für den Einsatz Generativer KI sollen eingeführt werden, wie werden sie aufrechterhalten und wie wird ihre Einhaltung überprüft?
- Müssen Policies und Verfahren angepasst werden, um die Ausübung der Rechte des Einzelnen zu gewährleisten (z.B. Löschung von Daten)?
- Welche Schulungen und Sensibilisierungsmaßnahmen für Mitarbeiter zur ethischen, rechtmäßigen und sicheren Nutzung dieser Technologie sind angemessen?
- Wie wirken sich Audits und Kontrollen in der Lieferkette auf Unternehmen aus, unabhängig davon, ob sie Lieferant oder Empfänger von KI-gestützten Dienstleistungen sind?
- Welche technischen und organisatorischen Maßnahmen (z.B. KI-Governance, „Privacy-by-Design" und „Privacy-by-default", Pseudonymisierung, Anonymisierung, Verschlüsselung und sichere Speicherung) müssen ergriffen werden, um sicherzustellen, dass Unternehmen und die von ihnen eingegebenen oder abgerufenen personenbezogenen oder vertraulichen Daten vor unbefugter Offenlegung, Veränderung oder Verlust der Verfügbarkeit geschützt sind?
- Müssen Rechts- und Technologieexperten bereits in der Anfangsphase eines KI-Projekts an der Entwicklung von Kontrollen zum Schutz personenbezogener Daten und der Vertraulichkeit beteiligt sein und wird das Fachwissen intern oder extern zur Verfügung gestellt?
Vertragliche Bedingungen
Nicht zuletzt angesichts der rechtlichen Risiken, die mit dem Einsatz Generativer KI im geschäftlichen Kontext verbunden sind, ist es wichtig, bei Beschaffung von Generativer KI die Vertragsbedingungen, unter denen die Lösung erworben wird, sorgfältig zu prüfen.
Dabei gibt es eine Reihe wichtiger Punkte, die angesprochen und verstanden werden müssen:
Der Weg in die Zukunft mit Generativer KI
Folgende Aspekte werden aus unserer Sicht in Zukunft im Mittelpunkt stehen:
- Das Risiko der Verletzung von Rechten des geistigen Eigentums und/oder die Gewährung des Schutzes des geistigen Eigentums
- Die Anwendbarkeit des Schutzes personenbezogener Daten oder von Vertraulichkeitsverpflichtungen
- Die Umsetzung entsprechender Schutzmaßnahmen
- Die Angemessenheit und Durchsetzbarkeit von Vertragsbedingungen für den Erwerb und die Implementierung von Generativer KI
Künftig werden Führungskräfte in der Rechtsabteilung eine zentrale Rolle bei der strategischen Entscheidungsfindung in Bezug auf den Einsatz Generativer KI in Unternehmen spielen. Sie werden Verantwortlichkeiten und Rechenschaftspflichten für die Entwicklung ethischer und rechtlicher Rahmenbedingungen ausarbeiten, die Risikobereitschaft des Unternehmens einschätzen und die Einhaltung von Gesetzen und Vorschriften sicherstellen. Insbesondere sollten Führungskräfte in der Rechtsabteilung die Entwicklung der Technologie selbst sowie die sich ändernden Gesetze und Vorschriften genau im Auge behalten. Zu den wichtigen Stakeholdern gehören dabei die Unternehmensleitung, die Geschäftsbereiche, interne Experten und externe Berater, die über das technische Fachwissen verfügen, um Risiken, Chancen und Änderungen der Geschäftsstrategie und -prozesse zu erkennen.
Auch die Schulung der Mitarbeiter und die Veränderung ihrer Herangehensweise an das Verständnis der ethischen und rechtlichen Implikationen des Einsatzes von Generativer KI können in den Bereich der juristischen Führungskräfte fallen.
Der Wettbewerbsvorteil durch den Einsatz Generativer KI ist verlockend. Dennoch muss bei der Einführung dieser Technologie auf die Risiken geachtet werden. Denn die möglichen Gefahren für die Marke eines Unternehmens, seinen Ruf, das Vertrauen seiner Stakeholder und vor allem die Einhaltung rechtlicher und behördlicher Auflagen sind vielfältig und können heute noch nicht vollständig eingeschätzt werden.
