Veröffentlichungen

Bessere und kürzere Verträge einfacher und schneller erstellen In jedem Unternehmen ist die Rechtsabteilung auch mit der Erstellung von Verträgen befasst. Wo Verträge in großer Zahl ge­schlos­sen...

Innovativ, praxisbezogen & verständlich. In „KI für die Rechts­ab­tei­lung“ spricht unser Host Nathalia Schomerus mit verschiedenen Gästen über den Einsatz von KI in der Rechtsabteilung. In der ersten Folge sprechen Nathalia und Julia Mergenthaler, Legal Tech Coordinator und Rechtsanwältin bei CMS Deutschland darüber, wie Rechts­ab­tei­lun­gen erfolgreich generative KI-Tools einkaufen und implementieren können. Dabei geht es unter anderem um Julias Erfahrungen als Entwicklerin, Einkäuferin und Anwenderin von Legal Tech-Lösungen bei CMS. Daneben beschäftigen sie sich mit folgenden Fragen:  Welche un­ter­schied­li­chen Arten von KI gibt es? Wie kann ein Tool erfolgreich inkrementell eingeführt werden? Und warum kommt es bei der Auswahl von KI-Tools auf deren Hostingort an?

In diesem E-Learning werden die Grundlagen im Bereich Open Source Compliance vermittelt. Ziel ist es, in den relevanten Un­ter­neh­mens­be­rei­chen ein Bewusstsein für die Vorteile, aber auch für die Risiken und Fallstricke von Open Source Software zu schaffen. Am Ende des Kurses werden Lösungen aufgezeigt, wie Risiken erkannt und durch geeignete Prozesse bestmöglich vermieden werden können. Das E-Learning richtet sich an alle Personen in Unternehmen, die mit Open Source Software in Berührung kommen. Dazu gehören nicht nur die Ge­schäfts­füh­rung, sondern auch die IT- und Ent­wick­lungs­ab­tei­lung, der Einkauf, der Vertrieb und das Pro­dukt­ma­nage­ment.

Dieses E-Learning ist speziell für Soft­ware­ent­wick­ler:in­nen konzipiert worden. Es soll ein Bewusstsein dafür schaffen, was beim Einsatz von Open Source Software durch Soft­ware­ent­wick­ler:in­nen rechtlich zu beachten ist.

Spätestens seit der öffentlichen Verfügbarkeit mächtiger Sprachmodelle und ihrer für die meisten Menschen erstaunlichen Leis­tungs­fä­hig­keit besteht wenig Zweifel, dass Unternehmen aller Branchen ihre Produktivität mit Künstlicher Intelligenz (KI) erheblich steigern können. Wie aber sieht der richtige Weg zur Implementierung aus? Ge­schäfts­ge­heim­nis- und Datenschutz sprechen bei manchen Unternehmen gegen eine Nutzung kommerzieller Cloud-An­wen­dun­gen US-ame­ri­ka­ni­scher Anbieter. Eine Alternative können eigene KI-Modelle als interne Lösung sein, die z.B. von Dro­ge­rie­markt­ket­ten, Au­to­mo­bil­zu­lie­fe­rern oder Kanzleien bereits eingesetzt werden, aber ebenfalls technische und rechtliche Her­aus­for­de­run­gen bereithalten. Wir geben einen Überblick über Regelungen, die derzeit bestehen oder mit der Europäischen KI-Verordnung (KI-VO) auf KI-entwickelnde und -einsetzende Unternehmen zukommen. Der risikobasierte Ansatz der KI-VO Am 9. Dezember 2023 haben der Rat und das Parlament eine politische Einigung zur KI-VO erzielt, die klare Regeln zur Vermeidung von Dis­kri­mi­nie­rung, Überwachung und anderen potenziell schädlichen Auswirkungen insbesondere auf Grundrechte aufstellen soll. Die KI-VO kategorisiert KI-Systeme nach Risikopotenzial. Anbieter von Hoch­ri­si­ko-KI-Sys­te­men treffen besonders umfangreiche Pflichten, deren Erfüllung einigen Ver­wal­tungs­auf­wand und finanzielle Ressourcen erfordern wird. KI-Entwicklern ist in Data Governance Systemen genau vorzugeben, mit welchen Daten auf welche Weise trainiert werden darf. Dies empfiehlt sich unabhängig von der KI-VO: Verstößt ein KI-Modell gegen Rechte Dritter, trifft den Anbieter und mittelbar das entwickelnde Unternehmen eine Exkul­pa­ti­ons­pflicht. Der Vorschlag der Europäischen KI-Haf­tungs­richt­li­nie sieht hierfür teils sogar einen Anscheinsbeweis vor, der entkräftet werden müsste. Solche Vorgaben sind kritisch, da die KI-Entwicklung sehr kostspielig ist und sich Fehler in der Auswahl der Trainingsdaten durch den gesamten Trainingsprozess ziehen. Von Datenqualität zu Datenschutz Zum Training von KI werden in der Regel große Datenmengen ausgewertet, wobei neben der Datenqualität die Rechtmäßigkeit der Da­ten­ver­ar­bei­tung zu gewährleisten ist. Wer auf eigene KI-Sprachmodelle setzt, verarbeitet sowohl beim Training als auch bei der späteren Nutzung regelmäßig personenbezogene Daten und muss als Verantwortlicher die Europäische Da­ten­schutz-Grund­ver­ord­nung (DSGVO) beachten. Lassen Daten Rückschlüsse auf natürliche Personen zu, ist technisch nicht ausgeschlossen, dass diese aus dem trainierten Modell gezogen werden können (z.B. durch sog. Inference Attacks). Aufgrund der strengen Anforderungen der DSGVO empfiehlt sich für das Training die ausschließliche Verwendung anonymisierter Daten. Die DSGVO enthält zudem KI-spezifische Vorschriften: Automatisierte Entscheidungen i.S.d. Art. 22 Abs. 1 DSGVO, die gegenüber den Betroffenen rechtliche Wirkung entfalten oder sie in ähnlicher Weise erheblich be­ein­träch­ti­gen, sind grundsätzlich untersagt. KI darf insbesondere Entscheidungen über Einstellungen, Beförderungen, Kündigungen oder Abmahnungen nicht final treffen, es sei denn, die automatisierte Entscheidung ist für den Abschluss oder die Erfüllung eines Vertrags zwischen Betroffenen und dem Verantwortlichen erforderlich oder das Unternehmen kann sich auf eine ausdrückliche Einwilligung der Betroffenen berufen. Überdies gelten besondere Informations- und Aus­kunfts­pflich­ten zum Bestehen der automatisierten Ent­schei­dungs­fin­dung einschließlich Profiling sowie zu aus­sa­ge­kräf­ti­gen Informationen über die involvierte Logik, Tragweite und angestrebten Auswirkungen für Betroffene. Zudem kann eine Da­ten­schutz-Fol­gen­ab­schät­zung i.S.d. Art. 35 DSGVO erforderlich sein. KI-Sprachmodelle im Unternehmen und ar­beits­recht­li­che Pflichten Neben da­ten­schutz­recht­li­chen Regeln müssen Arbeitgeber weitere Vorgaben beim Einsatz eigener KI-Sprachmodelle beachten. In Betrieben ohne Betriebsrat kann der Arbeitgeber diese aufgrund des Weisungsrechts einführen, was neben der Nutzung auch die konkreten Regeln betrifft, an die sich Ar­beit­neh­me­rin­nen und Arbeitnehmer halten müssen. In Betrieben mit Betriebsrat ist die Implementierung regelmäßig mit­be­stim­mungs­pflich­tig, wenn die KI Rückschlüsse auf Verhalten oder Leistung von einzelnen Beschäftigten ermöglicht, z.B. wer das Modell wann zur Erledigung welcher Aufgaben nutzt. Daneben hat der Betriebsrat KI-spezifische Be­tei­li­gungs­rech­te wie die Hinzuziehung eines KI-Sach­ver­stän­di­gen (§ 80 Abs. 3 S. 2 BetrVG), Unterrichtungs- und Beratungsrechte (§ 90 Abs. 1 Nr. 3 BetrVG) und das Zustimmungsrecht bei von der KI aufgestellten Aus­wahl­richt­li­ni­en (§ 95 Abs. 2a BetrVG). Schließlich sollten Arbeitgeber ethische Aspekte beachten. Auswirkungen des Urheberrechts auf den Einsatz von KI-Sprach­mo­del­len Nutzer oder Auftraggeber haben oft nicht die von ihnen erwartete ur­he­ber­recht­li­che Stellung, weil die Ergebnisse einer KI, wie z.B. erzeugte Gra­fi­ken, man­gels persönlicher geistiger Schöpfung eines Menschen in der Regel kein geschütztes Werk nach § 2 Abs. 2 UrhG darstellen. Das Training mit Inhalten Dritter könnte allerdings unter die Schranken der §§ 44b, 60d UrhG fallen. Die gesetzliche Wi­der­spruchs­lö­sung und gewisse Spei­cher­be­schrän­kun­gen verlangen Entwicklern erhöhte Sorgfalt ab. Die KI-VO enthielt in ihrem Entwurf aus dem Sommer 2023 abgesehen von den Offenlegungs- und Do­ku­men­tie­rungs­pflich­ten in Art. 28b Ziff. 4c) kaum Regelungen zu KI und Urheberrecht. Die Einhaltung des EU-Urheberrechts wird aber als eine der Leitplanken für All­zweck-KI-Sys­te­me angesehen. All dies zeigt: Unternehmen haben bei eigenen KI-Sprach­mo­del­len eine Vielzahl rechtlicher Regelungen zu beachten. Aufgrund der hohen Sanktionen bei Verstößen gegen die KI-VO und des wirtschaftlichen Risikos von Trai­nings­wie­der­ho­lun­gen (wurde ein Modell mit „rechts­wid­ri­gen“ Daten trainiert, muss es ggf. vollständig neu trainiert werden) sowie der Exkul­pa­ti­ons­pflich­ten bei Rechts­ver­let­zun­gen lohnt sich eine frühzeitige Vorbereitung auf die rechtlichen und technischen Her­aus­for­de­run­gen.

Mit der European Data Strategy will die EU die Datenwirtschaft zum Leben erwecken und Europa als In­no­va­ti­ons­stand­ort fördern. Insbesondere die Nutzung von Maschinendaten soll vorangetrieben und vereinfacht werden. Mit dem in Kürze in Kraft tretenden Data Act und dem Data Governance Act liegen zwei umfassende Datengesetze vor, die zusammen die Eckpfeiler für ein neues EU-weit harmonisiertes Datenrecht bilden.  Kernpunkte des Data Act   Um was geht es? Der Data Act reguliert erstmals den Zugang zu und die Nutzung von per­so­nen­be­zo­ge­nen und nicht-per­so­nen­be­zo­ge­ne Daten, die durch die Nutzung von Internet of Things (IoT)-Produkten und -Diensten erzeugt werden. Die Europäische Da­ten­schutz-Grund­ver­ord­nung (DSGVO) bleibt daneben anwendbar. Außerdem beinhaltet der Data Act spezifische Regelungen für Cloud-Diens­te.  Wer ist betroffen? Der Data Act richtet sich an Unternehmen aller Branchen, die datengestützte Produkte oder verbundene Dienste in der EU anbieten oder dies planen sowie an die Nutzer dieser Produkte und Dienste in der EU.  Wann? Als Verordnung gilt der Data Act unmittelbar in allen EU-Mit­glieds­staa­ten. Er ist vom Europäischen Parlament und vom Rat beschlossen und wird nach einer Übergangsfrist von 20 Monaten ab Mitte 2025 anwendbar sein. Umfangreiche Da­ten­zu­gangs­an­sprü­che Der Data Act stellt die Nutzer in den Mittelpunkt. Er ordnet ihnen die Hoheit über im Rahmen der Nutzung der IoT-Produkte und -Dienste generierte Daten zu und gewährt ihnen umfangreiche Rechte und Zu­gangs­an­sprü­che in Bezug auf die Daten. Herstellern der Produkte und Anbietern der Dienste wird es gleichzeitig ohne Gestattung durch den Nutzer nicht mehr möglich sein, diese Daten frei zu nutzen. Hersteller und Anbieter müssen den Nutzern kostenfrei und wenn möglich in Echtzeit Zugang zu den Daten verschaffen. Diese Verpflichtung muss bereits bei der Entwicklung der Produkte und Dienstleistungen berücksichtigt werden („Da­ta-Ac­cess-by-De­sign“). Hinzu kommen Transparenz- und In­for­ma­ti­ons­pflich­ten. Nut­zer können zukünftig verlangen, die Daten Dritten (auch Wettbewerbern!) zugänglich zu machen. Vorbehaltlich geeigneter technischer und or­ga­ni­sa­to­ri­scher Maßnahmen umfasst dies auch Ge­schäfts­ge­heim­nis­se, wobei der Data Act Regelungen zum Schutz vor der Entwicklung von Kon­kur­renz­pro­duk­ten auf Basis der Daten aufweist. Zudem regelt der Data Act Ansprüche öffentlicher Stellen auf Datenzugang, z.B. zur Gefahrenabwehr bei Notfällen. Neue Vorgaben zur Ver­trags­ge­stal­tung Der Data Act enthält zahlreiche Anforderungen an die Gestaltung von datenbezogenen Verträgen. Insbesondere wird durch den Data Act erstmals auf B2B-Ebene eine Art AGB-rechtliche Inhaltskontrolle eingeführt.  Regelungen zum Wechseln von Cloud Services Anbieter von Cloud-Diensten verpflichtet der Data Act, diese so zu gestalten, dass ein Wechsel der Kunden zu einem anderen Anbieter oder eine Rückverlagerung zum Kunden selbst („on premise“) einfach möglich ist. Insoweit bestehen zahlreiche Vorgaben für die Gestaltung von Cloud-Ver­trä­gen, z.B. zu Kündigungs- und Über­gangs­fris­ten, Un­ter­stüt­zungs­pflich­ten sowie Ver­gü­tungs­re­ge­lun­gen. Kernpunkte des Data Governance Act Mit dem Data Governance Act (DGA) soll zum Vorteil des europäischen Binnenmarktes ein Rechtsrahmen für die gemeinsame Nutzung von Daten geschaffen werden, der einen neutralen Zugang zu Daten und die In­ter­ope­ra­bi­li­tät sichert, sowie zur Vermeidung von Lock-in-Effekten beiträgt. Der DGA gilt bereits seit dem 24. September 2023. Er umfasst drei Säu­len:Wei­ter­ver­wen­dung von Daten im Besitz öffentlicher Stellen. Der DGA enthält Regeln für die Weiterverwendung bestimmter Kategorien geschützter Daten, zu denen öffentliche Stellen Zugang haben. Allerdings umfasst der DGA keine Verpflichtung für öffentliche Stellen, die Weiterverwendung von Daten zu­zu­las­sen.  Da­ten­ver­mitt­lungs­diens­te als „Schlüssel der Da­ten­wirt­schaft“. Der DGA umfasst Regelungen für Da­ten­ver­mitt­lungs­diens­te wie z.B. Da­ten­markt­plät­ze, die u.a. Re­gis­trie­rungs­pflich­ten unterliegen. So soll es insbesondere für kleine und mittlere Unternehmen (KMU) und Start-ups leichter werden, Zugang zu Daten zu erhalten und diese zu nut­zen.  Frei­wil­li­ge Datenspenden – Datenaltruismus. Um mehr Daten für Wirtschaft, Forschung, Innovation und Umweltschutz nutzbar zu machen, will der DGA die freiwillige Bereitstellung von Daten erleichtern und absichern. Dies soll insbesondere durch die Anerkennung von da­ten­al­tru­is­ti­schen Organisationen erfolgen. Dazu müssen Einrichtungen bestimmte Anforderungen erfüllen (z. B. auf gemeinnütziger Basis arbeiten und rechtlich unabhängig sein) und ein An­er­ken­nungs­ver­fah­ren durchlaufen. Wie geht es weiter? Welcher Handlungsbedarf besteht? Data Act und DGA sind der erste Schritt in der Umsetzung der Europäischen Datenstrategie. Weitere sek­tor­spe­zi­fi­sche De­tail­re­ge­lun­gen, insbesondere zu den sogenannten „Data Spaces“ (European Health Data Space, European Mobility Data Space etc.), werden folgen oder sind bereits im Ge­setz­ge­bungs­pro­zess. Unternehmen sollten zeitnah den Impact des Data Act sowie der anderen Vorschriften des neuen Europäischen Datenrechts auf ihre Daten- und Ge­schäfts­stra­te­gie analysieren und vorbereitende Maßnahmen ergreifen: