KI-Richtlinie für Unternehmen und Betriebe
Geschrieben von Dr. Oliver Daum, Fachanwalt für IT-Recht
Künstliche Intelligenz erhält mehr und mehr Einzug in die Unternehmen. Sie wird überall dort eingesetzt, wo Datenverarbeitungen stattfinden: Sie hilft bei der Erstellung von Mails und Texten, prüft Rechnungen und Bewerbungen und unterstützt bei der Prozessoptimierung. Der zunehmende Einsatz von KI ist keinesfalls verwunderlich. Schließlich verspricht die KI eine Effizienzsteigerung von Abläufen und Workflows – und das zu verhältnismäßig geringen Kosten. Den technischen Möglichkeiten der Artificial Intelligence scheinen kaum Grenzen gesetzt zu sein.
Doch der Einsatz von KI setzt die Anwendung durch den Menschen voraus – und damit entstehen Risiken. Fehlanwendungen können zu ernsthaften Rechtsverstößen führen. Zu nennen sind beispielhaft Eingriffe in das allgemeine Persönlichkeitsrecht durch eine unrechtmäßige Datenverarbeitung gemäß der DSGVO oder Verstöße gegen das Urheberrecht wegen der unzulässigen Nutzung geschützter Werke. Für Unternehmen und Betriebe ist es daher wichtig, ihren Mitarbeitern rechtliche Leitplanken an die Hand zu geben, wenn diese Künstliche Intelligenz einsetzen sollen. Das beste Mittel hierfür ist eine KI-Richtlinie.
KI-Richtlinie als Tool im Arbeitsrecht
Eine KI-Richtlinie ist jedoch nicht immer sinnvoll. Denn der Zweck einer KI-Richtlinie liegt vor allem darin, die anwendenden Mitarbeiter zu einem verantwortungsvollen Umgang mit Künstlicher Intelligenz im Unternehmenskontext anzuweisen. Mit einer KI-Richtlinie setzt die Geschäftsführung den Mitarbeitern klare Bedingungen beim Einsatz von KI-Systemen unter Berücksichtigung von rechtlichen, ethischen und sicherheitsrelevanten Aspekten. Wird also KI in einem Betrieb gar nicht eingesetzt oder hat ein Unternehmen gar keine Mitarbeiter, bedarf es keiner KI-Richtlinie.
In Betrieben und Unternehmen, in denen Arbeitnehmer routinemäßig mit der Künstlichen Intelligenz befasst sind, ist die Einführung einer KI-Richtlinie hingegen zu empfehlen. Die Richtlinie ist arbeitsrechtlich als eine Weisung einzuordnen, mit der der Arbeitgeber festlegen kann, ob Künstliche Intelligenz im Unternehmen zulässig ist und wie diese anzuwenden ist. Soll KI im Unternehmen aber nicht eingesetzt werden, sollte hierzu ebenfalls eine Weisung ergehen – dann nur nicht in Form einer KI-Richtlinie. Ein weiterer Vorteil einer KI-Richtlinie ist, dass die Geschäftsführer und Geschäftsleiter mit ihr Verantwortungsbereiche festlegen können. Eine solche Aufteilung kann bei späteren Haftungsfragen eine wesentliche Rolle spielen.
Keine Pflicht zur KI-Richtlinie
Zur Wahrheit gehört aber auch, dass derzeit keine gesetzliche Pflicht existiert, dass Arbeitgeber eine KI-Richtlinie erlassen müssen. Eine solche Pflicht ergibt sich weder aus der KI-Verordnung noch aus der DSGVO. Allerdings könnte sich aus der DSGVO eine abgeleitete Pflicht ergeben: Wenn etwa personenbezogene Daten mittels KI verarbeitet werden, kann dies einen eigenen Verarbeitungszweck darstellen. Das wäre zum Beispiel beim KI-Training der Fall. Dann wäre dieser konkrete Zweck auch in die Datenschutzerklärung (Informationspflichten) aufzunehmen. Wer also KI im Unternehmen einsetzt, muss den Datenschutz mitdenken!
Die Verantwortlichkeit für eine KI-Richtlinie liegt bei der Geschäftsführung bzw. Geschäftsleitung. Daher sollte sie beim Erstellungsprozess auch aktiv mitwirken und eine führende Rolle einnehmen. Je nach Größe des Unternehmens, Einsatzfelder der KI, Anzahl der Mitarbeiter etc. sind auch der IT-Verantwortliche (IT-Admin), der Datenschutzbeauftragte, der CISO, und externe juristische Berater einzubinden. Da es kein Standardrezept für die Erstellung einer gelungenen KI-Richtlinie gibt, sollten die Beteiligten einschlägige Vorerfahrungen haben.
Prozess zur Erstellung einer KI-Richtlinie
Da es keine gesetzliche Verpflichtung Zur Einführung einer KI-Richtlinie gibt, existieren auch keine verbindlichen Vorgaben an den deren Inhalt. Sehr hilfreich ist in diesem Zusammenhang daher die Orientierungshilfe der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 6. Mai 2024 – Künstliche Intelligenz und Datenschutz. Das Dokument benennt wichtige Punkte, die bei der Erstellung einer KI-Richtlinie beachtet werden sollten. Das betrifft folgende Vorüberlegungen:
- Festlegung der verschiedenen Einsatzbereiche und -zwecke (z. B.: Buchhaltung, HR- bzw. Personalwesen, Kommunikation, Marketing)
- Einsatz eines offenen Systems (z. B. Cloud-Lösung eines Anbieters) oder eines geschlossenen Systems (z. B. lokales System, sog. on premise)?
- Verarbeitung personenbezogener Daten von Mitarbeitern und externen Personen?
Die genannten Überlegungen sind aber nur einige der wichtigen Ansätze. Ein weiterer Punkt ist beispielsweise, ob der KI-generierte Output nur dem Personal, der Geschäftsleitung oder der Öffentlichkeit (z. B. für Social-Media) zugänglich gemacht werden soll.
Relevante Regelungen einer KI-Richtlinie
Eine belastbare KI-Richtlinie sollte zumindest zu den folgenden Bereichen Regelungen enthalten:
- Einsatzbereiche und -zwecke
- Keine verbotenen Praktiken (Art. 5 KI-Verordnung)
- falls personenbezogene Daten verarbeitet werden: Zweck, Rechtsgrundlage, Löschfristen, Informationspflichten etc. gemäß Datenschutz beachten
- Pflicht der Mitarbeiter zur Überprüfung der KI-generierten Inhalte und Outputs
- Kennzeichnungspflichten von KI-generierten Inhalten/Outputs
- Keine KI-Nutzung bei Rechtsverletzungen (z. B. Persönlichkeitsrechte, Urheberrechte)
- Festlegung der Verantwortlichkeit für Überwachung der Mitarbeiter
Auch diese Aufzählung ist nicht abschließend. Darüber hinaus sind oftmals auch Regelungen dazu, ob die private KI-Nutzung zulässig sein soll und welche Folgen bei Verstößen gegen die Richtlinie drohen, wichtig.
Fazit
Entscheidet sich ein Arbeitgeber, KI im Unternehmen oder Betrieb einzusetzen, bestehen bei Hochrisiko-KI-Systemen ggf. Informationspflichten nach der KI-Verordnung und weitere Pflichten nach dem Betriebsverfassungsgesetz, sofern ein Betriebsrat besteht. Anschließend steht der Arbeitgeber aber vor der Entscheidung, ob er eine KI-Richtlinie als arbeitsrechtliches Tool einführt oder nicht. Faustformelartig ist dies zu empfehlen. Welche Bereiche damit geregelt werden sollten, hängt von der Größe des Unternehmens bzw. Betriebes ab, dem geplanten Einsatzzweck und ob beispielsweise personenbezogene Daten verarbeitet werden sollen.
Abschließend ist noch an die Schulungspflicht der Mitarbeiter nach der KI-Verordnung zu denken. Mit der Einführung einer KI-Richtlinie erfüllen Arbeitgeber diese Pflicht nicht! Vielmehr muss das Personal extra geschult werden.
Um KI im Unternehmen einzuführen, müssen Arbeitgeber gewisse Dinge beachten. Diese Dinge scheinen auf den ersten Blick umfangreich zu sein – sind die aber nicht. Sie sind händelbar.
Sie kommen aus Kiel oder Schleswig-Holstein und haben Fragen zur Videoüberwachung am Arbeitsplatz? Oder Sie kommen aus dem übrigen Bundesgebiet und möchten sich über Datenschutz im Arbeitsrecht informieren? Dann nehmen Sie gerne unter info@anwalt-daum.de Kontakt zu mir auf.
Kontakt
Dr. Oliver Daum
Fachanwalt für IT-Recht
Datenschutzbeauftragter (IHK)
IT-Sicherheitsbeauftragter (IHK)
Kommentare
Einen Kommentar schreiben