Chatbots, Deepfakes, KI im Bereich HR: Der Einsatz von künstlicher Intelligenz muss vielfach offengelegt werden. Um Rechtsverstöße zu vermeiden, sollten Unternehmen vorbereitet sein, empfiehlt unsere Fachautorin Peggy Müller.
Papst Franziskus in moderner, weißer Daunenjacke, Polizisten bei der Festnahme von Donald Trump, Wladimir Putin auf Knien vor Xi Jinping. Alles wirkmächtige Bilder im Netz – erstellt mithilfe von künstlicher Intelligenz (KI). Ebenso wie künstlich erzeugte Tonaufnahmen oder Videos. Nötig sind dazu weder besondere Fähigkeiten noch Hochleistungsrechner: Selbst unerfahrene Nutzer können mittlerweile täuschend echte, synthetische Inhalte mit Leichtigkeit erstellen. Der Gesetzgeber ist sich dieser Gefahren bewusst und hat sich deshalb entschieden, in der KI-Verordnung zumindest minimale Transparenzpflichten einzuführen, die einzelne Aspekte regeln. So ist unter anderem vorgeschrieben, dass ab August 2026 beim Einsatz einer KI, die für eine direkte Interaktion mit natürlichen Personen bestimmt ist, die Betroffenen darüber informiert werden müssen. Bei Chatbots auf einer Webseite beispielsweise.
Deepfakes kennzeichnen
Erzeugt eine KI sogenannte Deepfakes, also Inhalte, die wirklichen Personen, Orten oder Ereignissen ähneln, so muss das ebenfalls ab August 2026 offengelegt werden. Ausgenommen sind künstlerische, kreative, satirische und fiktionale Werke. Werden mithilfe von KI künstlich Texte erzeugt, ist das offenzulegen, wenn damit über Angelegenheiten von öffentlichem Interesse informiert werden soll. Was genau sich dahinter verbirgt, und wie und wo die Offenlegung genau erfolgen soll, ist noch unklar. Aller Voraussicht nach werden zukünftig Wasserzeichen vermehrt zu sehen sein, aber auch andere Methoden wie Metadaten-Kennzeichnungen oder digitale Fingerabdrücke sind denkbar.
Sonderregeln sind vorgesehen für Hochrisiko-KI, die deshalb für die meisten Unternehmen relevant sind, weil hierzu KI im Bereich HR/Personal zählt. Die KI-Verordnung legt großen Wert auf die Einhaltung der Transparenzvorschriften und sieht bei Verstößen empfindliche Sanktionen vor. So können Geldbußen von bis zu drei Prozent des gesamten weltweiten Jahresumsatzes auferlegt werden. Wer in Deutschland zuständig sein wird, ist aber noch ungewiss. Zwar wurde im Dezember ein Vorschlag für ein Durchführungsgesetz vorgelegt – aber nicht mehr verabschiedet. Aller Voraussicht nach wird die Bundesnetzagentur zuständig sein.
Damit nicht genug: Die Pflicht zur Aufklärung über den Einsatz von KI ergibt sich nicht nur aus der KI-Verordnung, sondern auch aus einer Vielzahl weiterer Gesetze. Je nach Anwendungsfall zum Schutz der Privatsphäre, zum Daten- und Verbraucherschutz. Unternehmen können ferner ihren Vertragspartnern sowie ihren Mitarbeitern gegenüber zur Offenlegung verpflichtet sein. So erfordert beispielsweise der Einsatz von KI-Technologien zur Datenverarbeitung von Mitarbeitern und/oder Bewerbern eine Verarbeitungsgrundlage. Arbeitgeber müssen umfassend informieren, nicht benötigte Daten löschen und unrichtige korrigieren, vgl. Art. 12 ff. DSGVO. Besondere Informationspflichten bestehen ferner bei automatisierten Entscheidungen.
Risiko minimieren
Daher empfiehlt sich zum einen die Ausarbeitung einer unternehmensinternen KI-Richtlinie, die relevante Faktoren und Einschränkungen für die Mitarbeiter offenlegt. Darüber hinaus sollte jedes Unternehmen eine KI-Matrix erstellen, die sämtliche im Unternehmen eingesetzte KI aufführt, diese bewertet und bestehende Verträge mit Blick auf den Einsatz von KI gegebenenfalls nachjustiert. Vorsichtig zu sein gilt es beispielsweise auch bei der Verwendung von KI-generierten Inhalten auf Social Media: einige Plattformen, darunter Instagram und YouTube, verlangen die Kennzeichnung von fotorealistischem Videomaterial oder realistisch klingendem Audiomaterial beziehungsweise behalten sich vor, derartiges Material selbst zu kennzeichnen.
Eine One-Size-Fits-All-Transparenzpflicht für den Einsatz von KI gib es demnach leider nicht. Je nachdem kann vielmehr ein wahres Regelkonglomerat gelten. Eine genaue Identifizierung der relevanten Aufklärungspflichten ist daher essenziell für eine Minimierung des Risikos etwaiger Rechtsverstöße. Denn klar ist: Die KI ist gekommen, um zu bleiben.
Unsere Autorin
Peggy Müller ist Rechtsanwältin bei Advant Beiten mit Sitz in Freiburg.Ihre Rechtsgebiete sind gewerblicher Rechtsschutz, IT und Recht der Daten sowie Vertrags- und Handelsrecht.