Marc Tüngler:
Herr Mels, überrascht Sie das riesige Interesse von Unternehmen an rechtlicher Beratung zu KI?
Philipp Mels:
Nein. ChatGPT, Erfolge in Medizin und Wissenschaft, KI-gestützte Produkte, Deepfakes u.v.m. zeigen, was schon alles möglich ist. Da möchte kein Unternehmen den Anschluss verpassen.
Marc Tüngler:
Allerdings ist bei allem Hype um KI und deren Möglichkeiten, das Thema KI in Unternehmen nicht nur positiv besetzt …
Philipp Mels:
Das stimmt. KI kann auch Angst machen. In einer Zeit, in der jahrzehntelange Gewissheiten politisch und wirtschaftlich täglich ins Wanken geraten, sehnen sich Menschen nicht nach einer Technologie, die auch noch ihr Leben grundlegend verändern kann. Wenn bspw. nicht darüber diskutiert wird, ob, sondern wann die sogenannte HLMI (Anm.: human-level machine intelligence) erreicht wird, wann also die künstliche Intelligenz etwa 80 % der menschlichen Berufe wenigstens so gut wie ein Durchschnittsmensch ausüben kann, dann stellt sich automatisch die Frage, was KI für den eigenen Arbeitsplatz, das eigene Unternehmen bedeuten wird. Aber unbestreitbar eröffnet KI auch völlig neue Möglichkeiten, wenn sie zur Unterstützung eingesetzt wird und man aufgrund des enormen Zeitgewinns Dinge machen kann, die vorher gar nicht oder jedenfalls nicht wirtschaftlich hätten umgesetzt werden können. Zukunft ist immer eine Frage der Perspektive. Sicher ist: KI ist ein Big Bang, rechtlich und tatsächlich.
Marc Tüngler:
Aber wo stehen die Unternehmen beim Einsatz von KI, wenn Sie an Ihre Beratungspraxis zu dem Thema denken?
Philipp Mels:
Tatsächlich haben wir unlängst gemeinsam mit mehreren großen Konzernunternehmen einen Workshop „KI in Unternehmen“ veranstaltet. Es war spannend zu sehen, dass alle KI einsetzen wollen, aber häufig noch nicht wissen wofür. Selbst die großen Unternehmen suchen nach möglichen Use Cases. Ein Unternehmens-GPT haben die meisten im Einsatz, aber darüber hinaus ist teilweise wenig. Allerdings sollte man sich nicht täuschen, in Bereichen wie Marketing, Medizin, Verkehr, Legal Tech, Handel, wo Anwendungsfälle leichter zu finden sind, ist man schon weiter.
Marc Tüngler:
Bei aller Euphorie, was sind aus Ihrer Erfahrung die sagen wir zehn wesentlichen rechtlichen Themen, die die Leiter eines Unternehmens unbedingt beherrschen müssen, wenn bei Ihnen KI zum Einsatz kommt?
Philipp Mels:
1. Bestandsaufnahme, welche KI bereits jetzt im Unternehmen im Einsatz ist. 2. Ständige Prüfung, ob und wenn ja welche KI zukünftig wofür hinzukommt. 3. Umsetzung des Einsatzes von KI und Aufbau von KI-Kompetenz. 4. Urheberrechtsschutz und gewerbliche Schutzrechte beachten. 5. Geschäftsgeheimnisschutz sicherstellen und einhalten. 6. Datenschutzrechtliche Vorgaben einhalten. 7. Regulatorische Vorgaben der KI-VO umsetzen. 8. Arbeitsrechtliche Vorgaben für den Einsatz von KI umsetzen. 9. Haftung im Zusammenhang mit KI kennen und danach handeln. 10. Wettbewerbsrechtliche Prüfung von Werbung mit KI.
Marc Tüngler:
Ein weites Feld. Man muss also weit mehr als „nur“ die KI-VO als Unternehmensleitung im Blick haben. Lassen Sie mich als erstes beim Thema KI-VO nachhaken. Ab wann gilt sie überhaupt?
Philipp Mels:
Die am 1. August 2024 in Kraft getretene KI-VO entfaltet ihre Wirkung sukzessiv. Seit dem 2. Februar 2025 gelten die Regelungen zu den verbotenen KI-Praktiken und zum Erfordernis der KI-Kompetenz im Unternehmen. Ab dem 2. August 2025 finden die Vorschriften zu KI mit allgemeinem Verwendungszweck und das Sanktionsregime der KI-VO Anwendung. Ein Jahr später gelten die Regelungen für einsatzfeldbezogene Hochrisiko-KI, der KI-Systeme mit begrenztem Risiko, zur Marktüberwachung und der KI-Systeme mit minimalem Risiko. Ab dem 2. August 2027 folgen dann noch die Vorschriften zu produktsicherheitsbezogenen Hochrisiko-KI-Systemen.
Marc Tüngler:
Woran orientiert sich die KI-VO eigentlich vom rechtlichen Ansatz her?
Philipp Mels:
Letztlich handelt es sich um Produktrecht. Dabei wählt die KI-VO einen risikobasierten Ansatz von verboten über hochrisikoreich bis hin zu geringem und regelmäßig keinem Risiko. An dieser Einordnung richten sich dann die Pflichten aus.
Marc Tüngler:
Mal sprechen wir von KI, mal von KI-Systemen. Ist das deckungsgleich?
Philipp Mels:
Nein, die KI-VO spricht von KI-Systemen, neben KI-Modellen als deren Bestandteil. Der Begriff ist zentrale Voraussetzung für die Eröffnung des Anwendungsbereichs der KI-VO. Leider helfen weder die gesetzliche Definition eines KI-Systems noch die neuen Leitlinien der Kommission zur Definition eines Systems der künstlichen Intelligenz abschließend weiter, um ein KI-System sicher zu bejahen oder auszuschließen. Für die Praxis gilt: in dubio pro KI-System und Anwendung der KI-VO.
Marc Tüngler:
Wieso muss ein Unternehmen den Einsatz von KI fortwährend ermitteln?
Philipp Mels:
Weil es nur so weiß, ob und welche Pflichten es gemäß der KI-VO erfüllen muss und welche Risiken sonst drohen. Es drohen wie bei der DSGVO ja hohe Bußgelder bei Verstößen.
Marc Tüngler:
Wo muss ein Unternehmen IP-Rechte oder Geheimnisschutzrechte beachten?
Philipp Mels:
Sie spielen an drei Stellen eine Rolle. Erstens, wenn sich das Unternehmen KI einkauft, lizenzieren oder entwickeln lässt. In diesem Fall muss man wie bei „normalen“ Computerprogrammen sicherstellen, dass man die notwendigen Rechte an Urheberrechten, ausnahmsweise Patentrechten, erlangt. Zweitens spielen Schutzrechte bei dem Füttern einer KI mit Daten eine Rolle. Hier können Urheberrechte und Geschäftsgeheimnisse verletzt werden und zu beachten sein. Drittens können KI-generierte Ergebnisse Urheber-, Patent-, Marken-, Designrechte und den Geschäftsgeheimnisschutz verletzen. Man muss also sicherstellen, dass man bei der Erlangung der KI und deren Fütterung mit Daten all diese Rechte beachtet und dann bei der Nutzung der Ergebnisse.
Marc Tüngler:
Gelingt das den Unternehmen denn?
Philipp Mels:
Das kann gelingen. Es gehört aber ein fester Wille der Unternehmensleitung dazu. Neulich sagte jemand aus der Rechtsabteilung eines großen Konzerns allen Ernstes, man wolle den Mitarbeitenden bei der Nutzung eines Unternehmens-GPT keine inhaltlichen Vorgaben machen. Das ist ein rechtlicher Schwerstfehler und öffnet dem Verlust des Geschäftsgeheimnisschutzes und der Verletzung von IP-Rechten Tür und Tor. Gleiches gilt für das Thema Datenschutz.
Marc Tüngler:
Wenn Sie sagen, dass Unternehmen den Einsatz von KI und den Aufbau von KI-Kompetenz bei sich gewährleisten müssen, was heißt das konkret im Sinne einer Checkliste?
Philipp Mels:
Vier Dinge sind zu tun. Erstens muss der Status quo in Sachen KI ermittelt, ein interdisziplinäres Team aus allen relevanten Player etabliert und eine Gap- und Rechtsanalyse durchgeführt werden. Zweitens müssen in einer Konzeptionierungsphase eine KI-Richtlinie erstellt, die anwendbaren gesetzliche Regelungen und die Rolle des Unternehmens gemäß den Vorgaben der KI-VO, bspw. als Anbieter oder Betreiber ermittelt und die Risikokategorie der erfassten KI-Use Cases bestimmt werden. Drittens müssen in der Umsetzungsphase auf Basis der KI-Richtlinie, die durch Checklisten, Anweisungen, u.v.m. konkretisiert werden muss, Maßnahmen festgelegt werden. Viertens müssen dann bei der Anwendung von KI die KI-Kompetenz der betroffenen Mitarbeitenden und die Kl-Compliance sichergestellt und regelmäßig überprüft werden.
Marc Tüngler:
Gibt es Möglichkeiten, diese vielen Aufgaben praktikabel umzusetzen?
Philipp Mels:
Ja, hier muss man nicht bei null anfangen. Wenn ein Unternehmen hoffentlich die DSGVO umgesetzt hat, so kann man darauf hervorragend aufsetzen, etwa dem Verarbeitungsverzeichnis. Vergleichbar einem Datenschutzbeauftragten sollte man einen KI-Beauftragten bestimmen.
Marc Tüngler:
Ein Thema, das alle umtreibt, ist das Thema Haftung und KI …
Philipp Mels:
Ja, dies gilt umso mehr, als die Kommission ihren Entwurf der geplanten KI-Haftungsrichtlinie im Februar überraschend zurückgezogen hat. Es wird eine solche also erst einmal nicht geben. Zum Thema Haftung sollte man sich Folgendes merken: Vorab ist immer an die spezialgesetzliche Haftung, etwa aus dem Urheberrecht, den gewerblichen Schutzrechten, dem Geheimnisschutzgesetz oder dem Datenschutzrecht zu denken. Im Übrigen gilt das allgemeine zivilrechtliche Haftungsregime, denn die KI-VO regelt nichts zur Haftung für KI-Systeme. Es gilt also die vertragliche und deliktische Haftung, die Produzentenhaftung sowie das Produkthaftungsrecht. Für Produkte, die nach dem 09.12.2026 in Verkehr gebracht/in Betrieb genommen werden, wird dabei die neue Produkthaftungsrichtlinie gelten.
Marc Tüngler:
Aber ist die Durchsetzung von Haftungsansprüchen für eingesetzte KI-Systeme nicht schwer?
Philipp Mels:
Das stimmt. Die Verkehrspflichten für KI sind unklar. Der Hersteller kann sich entlasten, wenn er nach dem aktuellen Stand der Wissenschaft gearbeitet hat. Die Individualisierung des haftenden Beteiligten (Hersteller, Betreiber, Nutzer) ist kompliziert. Selbstlernende KI-Systeme treffen eigenständige Entscheidungen, wodurch ein direkter menschlicher Fehler oft nicht nachweisbar ist. Geschädigte müssen technische Details und Zusammenhänge beweisen, was nur schwer oder gar nicht möglich ist. KI ist wie eine Black Box. Aber die Verletzung von Pflichten für Betreiber und Nutzer von Hochrisiko-KI begründet eine Pflichtverletzung i.S.d. § 823 Abs. 1 BGB oder eine Schutzgesetzverletzung i.S.d. § 823 Abs. 2 BGB bzw. eine Verletzung vertraglicher (Neben-)Pflichten. Anders herum regelt die KI-VO nur Mindeststandards, deren Einhaltung nicht zwingend vor einer zivilrechtlichen Haftung schützt.
Marc Tüngler:
Wann ist das Datenschutzrecht, die DSGVO, beim Einsatz von KI zu beachten?
Philipp Mels:
Hier gibt es drei Situationen: 1. das Entwickeln und Trainieren von KI. 2. Die Auswahl und Implementierung von KI. 3. Die Nutzung von KI-Anwendungen und deren Ergebnissen. Die KI-VO berührt die DSGVO nicht. Entscheidend ist stets die Verarbeitung personenbezogener Daten. Man braucht hierfür eine Rechtsgrundlage. In Betracht kommen regelmäßig die Einwilligung, die Erforderlichkeit zur Vertragserfüllung und die berechtigten Interessen des Verantwortlichen. Besonders relevant ist, dass bei einer Zweckänderung auch eine diese umfassende Rechtgrundlage vorliegen muss.
Marc Tüngler:
Sie sprachen auch davon, man müsse Werbung mit KI wettbewerbsrechtlich prüfen …
Philipp Mels:
Ja, dies ist eine Thema, das gerade erst am Anfangt steht und deshalb häufig übersehen wird. Indem KI auch immer mehr zum Verkaufsargument wird, steigt das Interesse, Produkte und Unternehmen mit „powered by AI“ o.Ä. zu bewerben. Dies darf nicht irreführend sein, man spricht dann auch von „AI-Washing“ wie beim „Green-Washing“, also irreführender Umweltwerbung. Drei Dinge sind zu beachten: Eine Software darf nur als KI beworben werden, wenn sie reine KI ist, also nicht wenn sie keine KI enthält oder nur teilweise. Im letzteren Fall muss man es konkretisieren. Gleiches gilt zweitens für Leistungen, die angeblich durch KI geschaffen wurden. Und drittens schließlich darf sich ein Unternehmen allenfalls als KI-Unternehmen bewerben, wenn es sonst nichts anderes macht. Ansonsten muss es präzisiert werden.
Marc Tüngler:
Kommen Geschäftsführer und Vorstände nicht zukünftig in Erklärungsnot, wenn die KI bspw. im Hinblick auf einen Unternehmenskauf nach Analyse aller Daten zu einem Ergebnis gelangt, ob man kaufen oder nicht kaufen sollte?
Philipp Mels:
Nein, das sehe ich nicht so. Zum einen soll es ja immer auch noch eine menschliche Prüfung der Ergebnisse einer KI geben. Das ist auch gut so, niemand möchte sich doch allein auf KI verlassen, wenn es um etwas geht. Man denke nur an die Software in der Boing 737 MAX. Hinzu kommt, dass generative KI häufig eine Black Box ist, es ist also nicht klar, wie sie zu ihren Ergebnissen gelangt ist. KI ist ein Hilfsmittel, kein Entscheider.
Marc Tüngler:
Was sollte ein Unternehmen tun, wenn es KI einsetzen möchte?
Philipp Mels:
Drei Dinge: Erstens muss es lohnende Use Cases für sich finden und erst dann schauen, wie man sie mit KI umsetzen kann. KI ist kein Selbstzweck. Zweitens: Die rechtlichen Rahmenbedingungen jetzt schaffen, um den KI-Einsatz rechtlich zu dürfen und keine Schäden dabei zu erleiden. Drittens: Beachten, dass außerhalb der EU andere Regeln für KI gelten.
Marc Tüngler:
Herr Mels, haben Sie vielen Dank für dieses spannende Gespräch.
Das Interview finden Sie neben den anderen vollständigen Artikeln im Archiv der BOARD 3/2025.
