KI in der Unternehmens­kommunikation: Am Anfang steht die Datenschutz-Strategie! 

Die Unternehmenskommunikation mithilfe von KI optimieren und effizienter gestalten? GPT-Technologie für Chatbots nutzen, Inhalte mit KI-Assistenz schaffen ... Was Unternehmen in puncto Datenschutz und Urheberrecht beachten müssen, das verrät uns die IT-Recht-Fachanwältin Dr. Tina Gausling. Dem Handelsblatt gilt sie als eine der Anwältinnen der Zukunft in Bezug auf Datenschutz und IT-Recht. Hierzu, wie auch zu Online-Marketing und E-Commerce, berät Tina Gausling international Unternehmen. Dabei liegt ihr Fokus auf Online-Marketing- und AdTech. Aktuelle technologische Entwicklungen, vor allem der Künstlichen Intelligenz, behält sie immer im Blick.

Interview mit Dr. Tina Gausling, LL.M. (Columbia University), Rechtsanwältin und Fachanwältin für Informations­technologie­recht in München 

NetFed: Guten Tag Frau Dr. Gausling, vielen Dank, dass Sie sich die Zeit nehmen. Welche Rolle spielt KI inzwischen für Sie persönlich?  

Dr. Gausling: Natürlich beschäftige ich mich gerade eingehend mit den gängigen GenAI-Tools, wie etwa ChatGPT, Stable Diffusion oder DALL-E 2. Wie die meisten anderen Menschen komme ich aber auch im Alltag laufend mit KI in Berührung, ohne es zu merken. Da sind z.B. Nachrichten in großen Portalen, die automatisch und für mich ausgewählt wurden, Streamingdienste, die Nutzern auf Grundlage von KI-Mechanismen bestimmten Content empfehlen, oder Suchmaschinenanbieter, die ihre Suchergebnisse auf Basis von Algorithmen ausspielen, aber auch Spracherkennungs- und Assistenzsysteme auf der täglichen Fahrt mit dem Auto. 

NetFed: Welche Tools würden Sie nicht benutzen, weil Sie Sorge um Ihre persönlichen Daten haben? 

Dr. Gausling: Grundsätzlich teste ich die Tools, die für mich von Interesse sind. Allerdings vermeide ich generell die Eingabe vertraulicher Daten, insbesondere sensitiver Informationen, wie z.B. Gesundheitsdaten, weil in der Regel nicht nachzuvollziehen ist, wie die Daten wieder in das Modell eingehen. Dieses ist besonders im betrieblichen Kontext zu beachten. Zum derzeitigen Zeitpunkt sollten Mitarbeiter angewiesen werden, keine Unternehmensdaten in die Tools einzugeben, bis sichergestellt ist, wie diese verarbeitet und gespeichert werden, z.B. durch eine zertifizierte On-Premise-Lösung, bei der keine Daten in das öffentliche Modell zurückgespielt werden.

KI und Datenschutz: Wie ist die Rechtslage in Deutschland?

NetFed: Ist die Rechtslage in Deutschland, was die Verwendung von personenbezogenen Daten in KI-Anwendungen angeht, eindeutig und ausreichend? 

Dr. Gausling: Leider ist die gegenwärtige Rechtslage weder eindeutig noch ausreichend. Insbesondere berücksichtigt sie nicht die dynamischen Entwicklungen gerade seit der Einführung von ChatGPT und anderer GenAI-Tools. Sowohl für die Generierung als auch den Einsatz von KI besteht daher kein spezieller Rechtsrahmen. Entscheidend sind daher gegenwärtig noch die bestehenden allgemeinen gesetzlichen Regelungen. Welche rechtlichen Vorgaben beachtet werden müssen, hängt von der konkreten Ausgestaltung der jeweiligen KI-Applikation ab. Den meisten KI-Programmen ist jedoch gemein, dass sie auf Basis personenbezogener Trainingsdaten geschaffen werden und somit den strengen Anforderungen der Datenschutzgrundverordnung (DSGVO) unterfallen. Diese stellt strenge Anforderungen an die Verarbeitung personenbezogener Daten. Daten dürfen nur für im Voraus festgelegte Zwecke verarbeitet werden und müssen beschränkt sein auf das für die Zwecke der Verarbeitung notwendige Maß. Das steht regelmäßig im Widerspruch zur Entwicklung von KI, für deren Training große Datenmengen erforderlich sind. Auch der Zweck der jeweiligen KI-Anwendung kann zu Trainingsbeginn oftmals noch nicht hinreichend spezifiziert werden, sondern konkretisiert sich erst im weiteren Entwicklungsverlauf. Dennoch vertreten die Datenschutzbehörden z.B. in ihrer Hambacher Erklärung zur Künstlichen Intelligenz hier eine sehr restriktive Auffassung.  

Gegenwärtig wird auf europäischer Ebene der Entwurf für eine KI-Verordnung (sog. AI-Act) diskutiert, die als EU-Verordnung als unmittelbar anwendbares Recht in den EU-Mitgliedstaaten zur Anwendung käme. Ziel ist die Regulierung Künstlicher Intelligenz. Diese soll in verschiedene Risikokategorien eingeteilt werden, woran sich dann entweder Verbote oder bestimmte Pflichten in Abhängigkeit von dem mit dem jeweiligen KI-System verbundenen Risiko knüpfen. Der AI-Act soll die DSGVO allerdings lediglich ergänzen, jedoch nicht die in der DSGVO verankerten datenschutzrechtlichen Prinzipien aushebeln. Die damit verbundene Problematik, ein KI-System tatsächlich DSGVO-compliant zu entwickeln, bleibt daher auch nach Inkrafttreten eines AI-Act grundsätzlich bestehen. 

NetFed: Gehen wir zur Unternehmensebene. Gibt es Fachbereiche, die für KI Ihrer Einschätzung nach besonders geeignet bzw. heikel sind (HR/CSR/IR/MR/Corporate Communications/Marketing)? 

Dr. Gausling: Gerade im Communications- und Marketing-Bereich sind KI-Tools in der Lage, passgenaue, d.h. auf den Nutzer zugeschnittene Werbung oder Empfehlungen auszuspielen. Oftmals geschieht dies aber nicht im Einklang mit den bereits bestehenden rechtlichen Anforderungen, gerade im Bereich des Datenschutzrechts. Dies betrifft z.B. die gewählte Rechtsgrundlage sowie Informationspflichten gegenüber Kunden und Nutzern, die etwa die konkreten Zwecke der Datenverarbeitung oder eine Weitergabe an Dritte betreffen. 

Auch im HR-Bereich können KI-Tools Auswahlprozesse beschleunigen und daher zur unternehmerischen Effizienzsteigerung beitragen. Ziel von KI-Tools im Personalwesen ist es grundsätzlich auch, Diskriminierung zu verhindern. Allerdings kann es durch den Einsatz von KI auch erst zur Benachteiligung bestimmter Bewerbergruppen kommen. Dies haben Beispiele aus der Vergangenheit gezeigt. Hintergrund sind die der KI zugrundliegenden Algorithmen, die auf Basis von Daten trainiert wurden, denen ein gewisser Bias bereits immanent ist. Wird etwa eine KI auf Basis von historischen Daten überwiegend männlicher Bewerber trainiert, kann der darin angelegte Geschlechterbias dazu führen, dass Frauen in KI-basierten Bewerbungsprozessen das Nachsehen haben oder ihnen weniger gut dotierte Jobs angeboten werden. Auch hier setzt der Entwurf für einen AI-Act an, der im Recruitment eingesetzte KI-Systeme in der gegenwärtigen Fassung als „Hochrisiko-Systeme“ kategorisiert, an die besonders strenge Anforderungen u.a. im Hinblick auf die verwendeten Trainingsdatensätze gestellt werden. 

NetFed: Was muss ein Unternehmen, das darüber nachdenkt, KI stärker in Arbeitsprozesse einzubinden – in der Content-Erstellung, im Kundenservice, im Online-Marketing – datenschutzrechtlich bedenken? Gibt es hier einen Unterschied zwischen europäischen und außereuropäischen Unternehmen? 

Dr. Gausling: In datenschutzrechtlicher Hinsicht ist für Unternehmen mit Sitz in der EU vor allem die DSGVO relevant. Unter bestimmten Voraussetzungen gilt diese auch für außereuropäische Unternehmen, etwa wenn diese personenbezogene Daten von Personen innerhalb der EU im Zusammenhang mit dem Angebot von Waren oder Dienstleistungen verarbeiten oder deren Verhalten in der EU beobachtet wird, also z.B. im Bereich der personalisierten Werbung oder Profilbildung unter Nutzung von KI-Tools. Um die datenschutzrechtlichen Anforderungen hinreichend abzubilden, müssen Unternehmen im Anwendungsbereich der DSGVO die im Rahmen des Einsatzes von KI-Systemen erfolgende Verarbeitung personenbezogener Kundendaten auf eine hinreichende rechtliche Grundlage stützen. Zudem muss das Unternehmen datenschutzrechtliche Informationspflichten gegenüber seinen Kunden bzw. Nutzern erfüllen, d.h. diesen eine Datenschutzerklärung zur Verfügung stellen, in der transparent u.a. erläutert wird, welche Daten von dem betreffenden KI-System auf Basis welcher rechtlichen Grundlage und zu welchem Zweck verarbeitet werden. Auch müssen Informationen zur Speicherdauer und Weitergabe an Dritte enthalten sein. In der Praxis wird dies im Rahmen des Einsatzes von KI-Systemen nicht immer detailliert, sondern allenfalls generisch möglich sein. Auch hier zeigt sich der Widerspruch zwischen datenschutzrechtlichen Anforderungen und technischer Machbarkeit.  

Für die Fälle einer automatisierten Entscheidungsfindung einschließlich Profiling müssen zudem die Logik der automatischen Verarbeitung personenbezogener Daten und die Folgen einer solchen Verarbeitung dargestellt werden. Dies gilt regelmäßig auch für die Fälle von Onlinewerbung auf Basis von Algorithmen. In rein praktischer Hinsicht ist eine Darstellung der eingesetzten Logik von Algorithmen nur rudimentär möglich. Dies hängt mit der o.g. Black Box der KI zusammen, deren Logik im Detail nicht mehr nachvollzogen werden kann. 

Daneben muss mit hoher Wahrscheinlichkeit eine mitunter zeitaufwändige Datenschutzfolgenabschätzung durchgeführt werden, die gemäß DSGVO dann zwingend ist, wenn „eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.“ Eine solche Konstellation liegt unter anderem im Falle eines KI-Einsatzes zur Bewertung persönlicher Aspekte des Betroffenen vor und schließt die Nutzung von KI im Marketing ein. Das verantwortliche Unternehmen muss dann eine Abschätzung der Folgen der geplanten Datenverarbeitung für den Schutz der betroffenen personenbezogenen Daten durchführen. 

ChatGPT als Chatbot für die Unternehmens­kommunikation? Was Unternehmen in punkto Datenschutz beachten müssen

NetFed: Angenommen ein Unternehmen möchte einen Chatbot auf Basis von GPT-Technologie als Dialog-Service-Tool in seine Webseite einbinden. Was muss das Unternehmen datenschutzrechtlich unbedingt beachten? Wie kann es sich hier absichern? 

Dr. Gausling: Wenn ein Unternehmen einen Chatbot auf Basis von GPT-Technologie in seine Webseite integrieren möchte, sollten die bereits dargestellten datenschutzrechtlichen Aspekte unbedingt beachtet werden, d.h. es bedarf zunächst einer Rechtsgrundlage für die Datenverarbeitung. Eine solche liegt gem. Art. 6 Abs. 1 DSGVO z.B. vor, wenn die Datenverarbeitung für die Zwecke der Vertragserfüllung oder – sofern die Interessen betroffener Nutzer nicht überwiegen - zur Wahrung der berechtigten Interessen des verantwortlichen Unternehmens erforderlich ist.  

Auch eine Einwilligung der Nutzer kommt in Betracht. Regelmäßig wird die Einholung einer solchen Einwilligung in die Datenverarbeitung durch ein KI-System jedoch nicht in der erforderlichen Spezifizität möglich sein. Hintergrund ist das eingangs erwähnte Spannungsverhältnis zwischen den Anforderungen der DSGVO und den technischen Erfordernissen einer KI-Entwicklung. Die zur Entscheidungsfindung führenden Prozesse eines solchen KI-Systems sind regelmäßig auch für dessen Entwickler nicht nachvollziehbar. Es handelt sich um eine Black Box, die als solche dem datenschutzrechtlichen Transparenzgrundsatz und einer spezifischen Beschreibung der Datenverarbeitungstätigkeit, die im Rahmen einer Einwilligung erforderlich ist, entgegensteht. Daneben ist problematisch, dass eine Einwilligung in die Datenverarbeitung jederzeit widerrufen werden könnte und dann die durch die KI verarbeiteten Daten eigentlich zu löschen wären, möglicherweise dann aber schon Gegenstand selbstlernender Algorithmen geworden sind.   

Da ein Dialog-Service-Tool bzw. Chatbot auf der Website eines Unternehmens in der Regel produkt- oder dienstleistungsbezogene Fragen bzw. Aufträge des Nutzers verarbeitet, ließe sich meines Erachtens zumindest argumentieren, dass die zugrunde liegende Datenverarbeitung für Zwecke der Vertragserfüllung erforderlich ist. Hier wird die Zukunft zeigen, inwieweit Datenschutzbehörden und möglicherweise nachfolgend mit dieser Thematik befasste Gerichte diese Rechtsgrundlage ausreichen lassen. Ohnehin gilt diese aber nur, soweit keine besonderen Kategorien personenbezogener Daten (z.B. Gesundheitsdaten) verarbeitet werden.  

Auch Informationspflichten sind gegenüber den Nutzern des Tools zu erfüllen. Daher sollten entsprechende Datenschutzbestimmungen bereits zu Beginn des Chats zum Beispiel via Link verfügbar gemacht werden. Wie bereits erörtert, ist die Erfüllung der datenschutzrechtlichen Informationspflichten im KI-Kontext nur bedingt möglich, sollte jedoch so detailliert wie möglich erfolgen. Auch eine Datenschutzfolgenabschätzung sollte im Falle der Implementierung eines Chatbot auf Basis der GPT-Technologie unbedingt erfolgen. 

Da die dem Chatbot zugrunde liegende GPT-Technologie in der Regel von einem Diensteanbieter bereitgestellt wird, ist zudem zu prüfen, inwieweit es eines Auftragsverarbeitungsvertrages (AVV) oder eines Joint-Controllership-Agreement mit dem Diensteanbieter bedarf. Regelmäßig wollen Diensteanbieter die eingegebenen Daten zu eigenen Trainingszwecken weiternutzen. Ein AVV wäre insoweit nicht mehr ausreichend. Gerade wenn der Diensteanbieter seinen Sitz in einem Drittstaat außerhalb der EU hat, stellt sich zudem die Frage, inwieweit die damit verbundene Datenübermittlung gerechtfertigt werden kann. 

Auch bei Beachtung der oben genannten Punkte gibt es beim Einsatz der GPT-Technologie keine hundertprozentige rechtliche Absicherung, weil die technischen Rahmenbedingungen für die Entwicklung und den Einsatz von KI eine vollständige Einhaltung datenschutzrechtlicher Anforderungen erschweren. Unternehmen sollten sich dennoch bemühen, datenschutzrechtliche Bestimmungen bestmöglich zu erfüllen und mögliche Schwierigkeiten zu dokumentieren, um Datenschutzbehörden im Ernstfall nachweisen zu können, dass sie sich mit der Thematik intensiv befasst haben. 

Content durch KI erstellen lassen: Und was ist mit dem Urheberrecht?

NetFed: Nun gibt es ja rechtlich gesehen nicht nur die Datenschutzseite, sondern auch das große Thema Urheberrecht, sowohl für Texte als auch für Bilder. Bildet das deutsche bzw. europäische Recht die Frage Künstlicher Intelligenz überhaupt schon zur Genüge ab, oder müssen hier noch neue Gesetze geschaffen werden? 

Dr. Gausling: Bisher gibt es sowohl auf deutscher als auch auf europäischer Ebene keine spezifischen KI-Gesetze. Ziel des europäischen Gesetzgebers ist es, den AI-Act noch vor den Europawahlen im kommenden Frühjahr zu verabschieden. Ob dies gelingt, bleibt abzuwarten. Der gegenwärtige Entwurf des AI-Act sieht vor, dass Anbieter generativer KI offenlegen müssen, ob urheberrechtlich geschützte Trainingsdaten im Rahmen der Entwicklung verwendet wurden, lässt urheberrechtliche Bestimmungen aber ansonsten unberührt. Insofern wird für die Frage, ob Urheberrecht verletzt wurde, auf die bereits bestehenden urheberrechtlichen Bestimmungen zurückzugreifen sein. 

NetFed: Angenommen, ich erstelle Textinhalte z.B. für eine Unternehmenswebseite mit Unterstützung von ChatGPT. Laufe ich hier Gefahr, Urheberrecht zu verletzen?  

Dr. Gausling: Dies ist natürlich möglich, wenn der generierte Text urheberrechtlich geschützte Teile enthält, die dann unverändert auf der Unternehmenswebsite übernommen werden. Um hier ein Risiko weitestgehend zu minimieren, sollte der generierte Text vor einer Veröffentlichung in eigenschöpferischer Weise überarbeitet werden. Anders sähe dies aus, wenn bereits der Prompt bzw. Nutzerbefehl selbst eine persönliche geistige Schöpfung darstellt. Dies ist z.B. dann der Fall, wenn ein ChatGPT-Nutzer einen eigenen Text erstellt und durch die KI lediglich verbessern lässt. 

NetFed: Wie sieht das bei der Bilderstellung aus? Sind KI-generierte Bildinhalte vor dem Gesetz eigene Neuschöpfungen? Oder besteht hier die Gefahr, dass Bestandteile von Werken anderer enthalten sind und somit Urheberrecht verletzt wird?  

Dr. Gausling: KI-generierte Bildinhalte sind keine „persönliche“ geistige Schöpfung, da sie nicht auf einen Menschen zurückgehen, und daher nicht per se schutzfähig i.S.d. Urheberrechtsgesetzes sind. Daher sollte auch hier das Arbeitsergebnis der KI von einem Menschen „in schöpferischer Weise“ vollendet werden. 

Davon zu unterscheiden ist die Frage, ob durch den Akt der Generierung von Bildern selbst Urheberrecht verletzt wird. Dies ist möglich, wenn dabei eine unzulässige Vervielfältigungshandlung im Sinne des Urheberrechts in Bezug auf das Werk eines Dritten vorgenommen wird. Allerdings sind Vervielfältigungen von rechtmäßig zugänglichen Werken zum Zweck von Text und Data Mining zulässig, wenn der Nutzer sich diese nicht vorbehalten hat. Ein Nutzungsvorbehalt bei online zugänglichen Werken ist dabei nur dann wirksam, wenn er in maschinenlesbarer Form erfolgt, z.B. über robots.txt-Dateien. 

KI und Recht: Der AI-Act der EU ist wegweisend für Unternehmen

NetFed: Und eine letzte Frage: Was empfehlen Sie Unternehmen aus rechtlicher Sicht im generellen Umgang mit KI für Stand Juni 2023? 

Dr. Gausling: Will ein Unternehmen KI entwickeln oder einsetzen, sollte am Anfang eine Datenschutzstrategie stehen, die die bereits genannten datenschutzrechtlichen Anforderungen berücksichtigt. Dabei sollten das unternehmerische Interesse an der KI-Entwicklung oder dem Einsatz eines KI-Systems und die Anforderungen der DSGVO bestmöglich zum Ausgleich gebracht werden. Zum Nachweis gegenüber Datenschutzbehörden und zur Vermeidung von Bußgeldern sollten entsprechende Anstrengungen dokumentiert werden. Zudem sollte die weitere Entwicklung des Entwurfs für einen AI-Act genau verfolgt werden, um einschätzen zu können, welcher Risikokategorie das jeweilige KI-System unterfällt und welche daraus resultierenden Pflichten auf das Unternehmen Anwendung finden. In der gegenwärtigen Fassung sieht der AI-Act eine Übergangsfrist von 24 Monaten vor. Um spätere möglicherweise kostenintensive Anpassungen zu vermeiden, sollten die rechtliche Entwicklung jedoch genau beobachtet und sich in den weiteren Fassungen konkretisierende Pflichten so früh wie möglich umgesetzt werden. 

NetFed: Vielen Dank, liebe Frau Dr. Gausling für diese spannenden Einsichten und Informationen! 

Das Interview führte Sarah Nellen