Die künstliche Intelligenz (KI) verspricht uns Korrespondenz zu erstellen, Kundenanfragen zu beantworten, Termine zu planen, Marketingkampagnen zu realisieren, grosse Datenmengen zu analysieren und darauf basierend Vorhersagen zu treffen – und das alles in Sekundenschnelle. Damit sollen kleinen und mittleren Unternehmen (KMU) ganz neue Möglichkeiten eröffnet und Effizienzsteigerungen und Umsatzwachstum ermöglicht werden. Trotz dieser verlockenden Aussichten dürfen KMU und deren Leitungsgremien die rechtlichen Herausforderungen, welche der Einsatz von KI-Tools im Unternehmen mit sich bringt, nicht aus den Augen verlieren.
Von Christian Leupi
Wo stecken die rechtlichen Herausforderungen?
Der Einsatz von KI-Tools im Unternehmensbereich kann diverse rechtliche Aspekte betreffen. Werden mit KI-Tools Personendaten bearbeitet, sind die Vorgaben des Datenschutzgesetzes (DSG) sowie allenfalls weitere ausländische Datenschutzgesetzgebungen (wie zum Beispiel die DatenschutzGrundverordnung der EU – DSGVO) relevant. Je nach Einsatz von KI-Tools können sich auch urheberrechtliche Fragen stellen, namentlich im Zusammenhang mit der Nutzung von Trainingsdaten. Auch lauterkeitsrechtliche Aspekte können betroffen sein, so beispielsweise, wenn der unternehmenseigene Chatbot damit beginnen sollte, Konkurrenzunternehmen zu beleidigen oder herabzusetzen.
Nicht zu vergessen sind auch Geheimhaltungs- und Vertraulichkeitsverpflichtungen, die sich sowohl im unternehmensinternen Verhältnis (Mitarbeitende «füttern» KI-Tools mit vertraulichen Unternehmensinformationen) als auch im Verhältnis mit Geschäftspartnerinnen (Mitarbeitende «füttern» KI-Tools mit vertraulichen Informationen der Geschäftspartnerinnen) auswirken können.
Wie kann man den rechtlichen Herausforderungen begegnen?
KMU müssen sich – nebst der meist im Vordergrund stehenden Chancen – auch den Risiken des Einsatzes von KITools bewusst sein. Insbesondere gilt es sich zu überlegen, welchen Stellenwert KI-Tools unternehmensintern haben sollen und welche unternehmensethischen Grundsätze deren Einsatz zugrunde liegen. Gestützt auf diese Überlegungen sowie die Grundsätze des vorerwähnten Rechtsrahmens lässt sich ein Strategiepapier, eine Weisung, eine Leitlinie o.Ä. entwickeln. Besonders zu beachten sind dabei die datenschutzrechtlichen Grundlagen: Transparenz, Zweckbestimmung, Verhältnismässigkeit, Vertraulichkeit und Integrität sowie Rechtmässigkeit.
Die Strategie, welche das KMU für den Einsatz von KI-Tools festlegt, ist in der Folge durch diverse Massnahmen umzusetzen. Besonders empfehlenswert ist das Formulieren von konkreten und generellen Handlungsanweisungen für die Mitarbeitenden, wobei die oben umrissenen rechtlichen Aspekte miteinzubeziehen sind. Den Mitarbeitenden muss bewusst sein, wie sie das KI-Tool nutzen können, um nicht gegen das Urheberrecht, das Datenschutzrecht, das Lauterkeitsrecht, vertragliche oder gesetzliche Vertraulichkeitsverpflichtungen oder andere Rechte oder Gesetze zu verstossen.
Zusätzlich sollte definiert werden, wer unternehmensintern für Fragen im Zusammenhang mit dem Einsatz von KITools zuständig ist und welche Prozesse durchlaufen werden müssen, wenn Mitarbeitende KI-Tools im Unternehmenskontext einsetzen wollen. Damit kann einerseits sichergestellt werden, dass Mitarbeitende wissen, an wen sie sich bei Fragen oder Problemen zu wenden haben. Andererseits verhindert dies das Entstehen eines Wildwuchses von KITools und den Einsatz ohne vorgängige Prüfung und Freigabe.
Um dem Risiko von unkontrolliertem und ungenehmigtem Einsatz von KI-Tools vorzubeugen, ist weiter eine Inventarisierung der zugelassenen Anwendungen empfehlenswert. Dies kann z.B. in Form eines Verzeichnisses geschehen, welches festhält, welche Tools zu welchen Zwecken zum Einsatz kommen (bzw. zum Einsatz kommen dürfen), und falls nötig auf die massgeblichen Nutzungsbestimmungen sowie auf eine interne Risikoprüfung referenziert.
Was sollte im Einzelnen vorgekehrt werden?
In Bezug auf die Strategie im Umgang mit KI-Tools sollte wie erwähnt der rechtskonforme und aus der Sicht des Unternehmens ethische Einsatz solcher Tools thematisiert werden. Darüber hinaus sind die Verantwortlichkeiten und die internen Instrumente zur Sicherstellung der konformen Nutzung (interne Richtlinien, Inventar, Prozesse etc.) zu definieren.
In internen Handlungsanweisungen an die Mitarbeitenden sind nebst den Vorgaben zur rechts- und weisungskonformen Nutzung von KI-Tools auch deren Grenzen und Unzulänglichkeiten, insbesondere von generativen KI-Tools, aufzuzeigen («Halluzinationen», unzulängliche Trainingsdaten, KI übernimmt die Sichtweise des Nutzers, Voreingenommenheit etc.). Die Vorgabe zur menschlichen Überprüfung von KI-generierten Inhalten sollte deshalb in keiner Handlungsanweisung fehlen. Ebenso muss sichergestellt werden, dass vertrauliche Informationen wie z.B. Geschäftsgeheimnisse nicht mittels KITools verarbeitet werden. Gleiches gilt für datenschutzrechtlich relevante Informationen: Diesbezüglich soll entweder sichergestellt sein, dass das KI-Tool rechtskonform eingesetzt werden kann, oder alternativ, dass die Nutzung nur anonymisiert erfolgt. Überdies sind die Mitarbeitenden anzuhalten, die im Einsatz stehenden KI-Tools nur im Einklang mit den Nutzungsbestimmungen der Anbieter einzusetzen, um sich nicht mit rechtlichen Streitigkeiten konfrontiert zu sehen.
Was bedeutet der «AI-Act» der EU für Schweizer KMU?
Die EU hat kürzlich eine der ersten umfassenden Regulierungen zum Thema KI verabschiedet, das «KI-Gesetz» bzw. der «AI-Act». Der AI-Act verfolgt einen risikobasierten Ansatz, wonach KI-Systeme in vier Kategorien eingeteilt werden:
1. KI-Systeme mit inakzeptablem Risiko
2. KI-Systeme mit hohem Risiko
3. KI-Systeme mit Transparenzanforderungen
4. KI-Systeme mit keinem oder niedrigem Risiko
Wann der AI-Act in Kraft tritt, und ab wann dieser zur Anwendung kommt, steht momentan noch nicht fest. Klar ist hingegen, dass der AI-Act unter gewissen Umständen auch auf Unternehmen ohne Sitz in der EU Anwendung finden wird. Aus diesem Grund kann er auch für Schweizer KMU bedeutsam sein – dies hängt allerdings von der Rolle ab, welche diese in Bezug auf das KI-System innehaben, sowie von der Art des KI-Systems. Schweizer KMU können als «Provider» (i.d.R. Anbieter von KI-Tools) dem AI-Act unterstehen, wenn sie KITools in der EU auf den Markt oder zum Einsatz bringen. Als «Deployer» (z.B. Unternehmen, die den Mitarbeitenden KITools zur Nutzung zur Verfügung stellen) ist eine Unterstellung unter den AI-Act möglich, sofern der KI-Output in der EU verwendet wird.
Schweizer KMU, die KI-Tools in der EU anbieten oder KI-Tools nutzen, deren Output in der EU Verwendung findet, tun deshalb gut daran, sich frühzeitig mit dem AI-Act auseinanderzusetzen.
Fazit
KI-Tools – insbesondere generative KITools wie beispielsweise ChatGPT – bergen neben erheblichen Chancen auch rechtliche Risiken, mit denen sich KMU auseinandersetzen sollten. Dies, indem einerseits ein genereller Rahmen abgesteckt wird, der definiert, wie KI-Tools sowohl rechtskonform als auch entsprechend den ethischen Standards des Unternehmens eingesetzt werden sollen. Andererseits sind konkrete Handlungsanweisungen an die Mitarbeitenden, eine Implementierung von Prozessen zur Risikoüberprüfung und Freigabe von KI-Tools sowie eine Inventarisierung und laufende Überprüfung der im Einsatz stehenden KI-Tools äusserst empfehlenswert.
Tipps für den Umgang mit der Thematik KI in KMU
- Verhältnis zur KI und Umgang mit KI-Tools definieren («Strategiepapier»)
- Handlungsanweisungen für Mitarbeitende formulieren
- Einsatz von KI-Tools inventarisieren und regelmässig überprüfen
- Interne Verantwortlichkeiten definieren
- Prozesse zur Risikobeurteilung und Genehmigung neuer KI-Tools definieren
- Mitarbeitende schulen
Lic. iur. Christian Leupi
Rechtsanwalt – MAS Business Information Technology, Partner bei Grossenbacher Rechtsanwälte AG. www.gr-law.ch
Schreibe einen Kommentar
Du musst angemeldet sein, um einen Kommentar abzugeben.