IT-Recht

In diesem E-Learning werden die Grundlagen im Bereich Open Source Compliance vermittelt. Ziel ist es, in den relevanten Un­ter­neh­mens­be­rei­chen ein Bewusstsein für die Vorteile, aber auch für die Risiken und Fallstricke von Open Source Software zu schaffen. Am Ende des Kurses werden Lösungen aufgezeigt, wie Risiken erkannt und durch geeignete Prozesse bestmöglich vermieden werden können. Das E-Learning richtet sich an alle Personen in Unternehmen, die mit Open Source Software in Berührung kommen. Dazu gehören nicht nur die Ge­schäfts­füh­rung, sondern auch die IT- und Ent­wick­lungs­ab­tei­lung, der Einkauf, der Vertrieb und das Pro­dukt­ma­nage­ment.

Dieses E-Learning ist speziell für Soft­ware­ent­wick­ler:in­nen konzipiert worden. Es soll ein Bewusstsein dafür schaffen, was beim Einsatz von Open Source Software durch Soft­ware­ent­wick­ler:in­nen rechtlich zu beachten ist.

Spätestens seit der öffentlichen Verfügbarkeit mächtiger Sprachmodelle und ihrer für die meisten Menschen erstaunlichen Leis­tungs­fä­hig­keit besteht wenig Zweifel, dass Unternehmen aller Branchen ihre Produktivität mit Künstlicher Intelligenz (KI) erheblich steigern können. Wie aber sieht der richtige Weg zur Implementierung aus? Ge­schäfts­ge­heim­nis- und Datenschutz sprechen bei manchen Unternehmen gegen eine Nutzung kommerzieller Cloud-An­wen­dun­gen US-ame­ri­ka­ni­scher Anbieter. Eine Alternative können eigene KI-Modelle als interne Lösung sein, die z.B. von Dro­ge­rie­markt­ket­ten, Au­to­mo­bil­zu­lie­fe­rern oder Kanzleien bereits eingesetzt werden, aber ebenfalls technische und rechtliche Her­aus­for­de­run­gen bereithalten. Wir geben einen Überblick über Regelungen, die derzeit bestehen oder mit der Europäischen KI-Verordnung (KI-VO) auf KI-entwickelnde und -einsetzende Unternehmen zukommen. Der risikobasierte Ansatz der KI-VO Am 9. Dezember 2023 haben der Rat und das Parlament eine politische Einigung zur KI-VO erzielt, die klare Regeln zur Vermeidung von Dis­kri­mi­nie­rung, Überwachung und anderen potenziell schädlichen Auswirkungen insbesondere auf Grundrechte aufstellen soll. Die KI-VO kategorisiert KI-Systeme nach Risikopotenzial. Anbieter von Hoch­ri­si­ko-KI-Sys­te­men treffen besonders umfangreiche Pflichten, deren Erfüllung einigen Ver­wal­tungs­auf­wand und finanzielle Ressourcen erfordern wird. KI-Entwicklern ist in Data Governance Systemen genau vorzugeben, mit welchen Daten auf welche Weise trainiert werden darf. Dies empfiehlt sich unabhängig von der KI-VO: Verstößt ein KI-Modell gegen Rechte Dritter, trifft den Anbieter und mittelbar das entwickelnde Unternehmen eine Exkul­pa­ti­ons­pflicht. Der Vorschlag der Europäischen KI-Haf­tungs­richt­li­nie sieht hierfür teils sogar einen Anscheinsbeweis vor, der entkräftet werden müsste. Solche Vorgaben sind kritisch, da die KI-Entwicklung sehr kostspielig ist und sich Fehler in der Auswahl der Trainingsdaten durch den gesamten Trainingsprozess ziehen. Von Datenqualität zu Datenschutz Zum Training von KI werden in der Regel große Datenmengen ausgewertet, wobei neben der Datenqualität die Rechtmäßigkeit der Da­ten­ver­ar­bei­tung zu gewährleisten ist. Wer auf eigene KI-Sprachmodelle setzt, verarbeitet sowohl beim Training als auch bei der späteren Nutzung regelmäßig personenbezogene Daten und muss als Verantwortlicher die Europäische Da­ten­schutz-Grund­ver­ord­nung (DSGVO) beachten. Lassen Daten Rückschlüsse auf natürliche Personen zu, ist technisch nicht ausgeschlossen, dass diese aus dem trainierten Modell gezogen werden können (z.B. durch sog. Inference Attacks). Aufgrund der strengen Anforderungen der DSGVO empfiehlt sich für das Training die ausschließliche Verwendung anonymisierter Daten. Die DSGVO enthält zudem KI-spezifische Vorschriften: Automatisierte Entscheidungen i.S.d. Art. 22 Abs. 1 DSGVO, die gegenüber den Betroffenen rechtliche Wirkung entfalten oder sie in ähnlicher Weise erheblich be­ein­träch­ti­gen, sind grundsätzlich untersagt. KI darf insbesondere Entscheidungen über Einstellungen, Beförderungen, Kündigungen oder Abmahnungen nicht final treffen, es sei denn, die automatisierte Entscheidung ist für den Abschluss oder die Erfüllung eines Vertrags zwischen Betroffenen und dem Verantwortlichen erforderlich oder das Unternehmen kann sich auf eine ausdrückliche Einwilligung der Betroffenen berufen. Überdies gelten besondere Informations- und Aus­kunfts­pflich­ten zum Bestehen der automatisierten Ent­schei­dungs­fin­dung einschließlich Profiling sowie zu aus­sa­ge­kräf­ti­gen Informationen über die involvierte Logik, Tragweite und angestrebten Auswirkungen für Betroffene. Zudem kann eine Da­ten­schutz-Fol­gen­ab­schät­zung i.S.d. Art. 35 DSGVO erforderlich sein. KI-Sprachmodelle im Unternehmen und ar­beits­recht­li­che Pflichten Neben da­ten­schutz­recht­li­chen Regeln müssen Arbeitgeber weitere Vorgaben beim Einsatz eigener KI-Sprachmodelle beachten. In Betrieben ohne Betriebsrat kann der Arbeitgeber diese aufgrund des Weisungsrechts einführen, was neben der Nutzung auch die konkreten Regeln betrifft, an die sich Ar­beit­neh­me­rin­nen und Arbeitnehmer halten müssen. In Betrieben mit Betriebsrat ist die Implementierung regelmäßig mit­be­stim­mungs­pflich­tig, wenn die KI Rückschlüsse auf Verhalten oder Leistung von einzelnen Beschäftigten ermöglicht, z.B. wer das Modell wann zur Erledigung welcher Aufgaben nutzt. Daneben hat der Betriebsrat KI-spezifische Be­tei­li­gungs­rech­te wie die Hinzuziehung eines KI-Sach­ver­stän­di­gen (§ 80 Abs. 3 S. 2 BetrVG), Unterrichtungs- und Beratungsrechte (§ 90 Abs. 1 Nr. 3 BetrVG) und das Zustimmungsrecht bei von der KI aufgestellten Aus­wahl­richt­li­ni­en (§ 95 Abs. 2a BetrVG). Schließlich sollten Arbeitgeber ethische Aspekte beachten. Auswirkungen des Urheberrechts auf den Einsatz von KI-Sprach­mo­del­len Nutzer oder Auftraggeber haben oft nicht die von ihnen erwartete ur­he­ber­recht­li­che Stellung, weil die Ergebnisse einer KI, wie z.B. erzeugte Gra­fi­ken, man­gels persönlicher geistiger Schöpfung eines Menschen in der Regel kein geschütztes Werk nach § 2 Abs. 2 UrhG darstellen. Das Training mit Inhalten Dritter könnte allerdings unter die Schranken der §§ 44b, 60d UrhG fallen. Die gesetzliche Wi­der­spruchs­lö­sung und gewisse Spei­cher­be­schrän­kun­gen verlangen Entwicklern erhöhte Sorgfalt ab. Die KI-VO enthielt in ihrem Entwurf aus dem Sommer 2023 abgesehen von den Offenlegungs- und Do­ku­men­tie­rungs­pflich­ten in Art. 28b Ziff. 4c) kaum Regelungen zu KI und Urheberrecht. Die Einhaltung des EU-Urheberrechts wird aber als eine der Leitplanken für All­zweck-KI-Sys­te­me angesehen. All dies zeigt: Unternehmen haben bei eigenen KI-Sprach­mo­del­len eine Vielzahl rechtlicher Regelungen zu beachten. Aufgrund der hohen Sanktionen bei Verstößen gegen die KI-VO und des wirtschaftlichen Risikos von Trai­nings­wie­der­ho­lun­gen (wurde ein Modell mit „rechts­wid­ri­gen“ Daten trainiert, muss es ggf. vollständig neu trainiert werden) sowie der Exkul­pa­ti­ons­pflich­ten bei Rechts­ver­let­zun­gen lohnt sich eine frühzeitige Vorbereitung auf die rechtlichen und technischen Her­aus­for­de­run­gen.

Das deutsche Recht kannte bisher kaum Kol­lek­tiv­ver­fah­ren, also das Einklagen eines Anspruchs vieler Personen gegenüber einem Unternehmen in einem einzigen Ge­richts­ver­fah­ren. Lediglich vereinzelt gab es hierzulande Verfahren in Gestalt der Mus­ter­fest­stel­lungs- oder Un­ter­las­sungs­kla­ge. Diese gewähren den Einzelnen aber keine direkten Zah­lungs­an­sprü­che. Das dürfte sich 2023 ändern: Bald kann in Deutschland gegen Unternehmen in bestimmten Fällen eine Vielzahl von Ansprüchen von Einzelpersonen gebündelt in einem gerichtlichen Verfahren geltend gemacht werden. Relevant sind solche Verfahren bei Streuschäden, die zwar sehr viele Personen treffen, aber für sich genommen häufig zu gering sind, um als Einzelperson zu klagen. Selbst kleinere Beträge addieren sich in der Masse schnell zu einer empfindlichen Summe. Möglich macht die kollektive Rechts­durch­set­zung eine bis 2023 in nationales Recht umzusetzende EU-Richtlinie, die anerkennt, dass aufgrund der Digitalisierung immer mehr Verbraucherinnen und Verbraucher von denselben unerlaubten Praktiken betroffen sind.