Künstliche Intelligenz : KI in Unternehmen – auch rechtlich eine Herausforderung

Manche Diskussionen ziehen sich über Jahre. Jene, ob IT-Daten, die bei einem Fremdanbieter gehostet werden, sicher sind oder nicht, gehört auf jeden Fall dazu. „Wir erlebten diese Diskussion als die ersten Clouddienste aufkamen und wir erleben sie nun, da KI-Anwendungen für die Industrie ein Thema werden“, sagt Josef El-Rayes, Partner und KI-Experte bei Deloitte Österreich.

Nie mehr die wichtigsten News aus Österreichs Industrie verpassen? Abonnieren Sie unser Daily Briefing: Was in der Industrie wichtig wird. Täglich um 7 Uhr in Ihrer Inbox. Hier geht’s zur Anmeldung!

Was nicht verwundert, denn in größerem Stil ist Künstliche Intelligenz vor alle dann sinnvoll, wenn dazu auf Cloudunterstützung zurückgegriffen wird. „Kleinere Anwendungen funktionieren auch on premise, aber gerade KMUs kommen da sehr schnell an die Grenzen, weil sie einfach nicht die nötigen Ressourcen und Rechenleistung haben bzw. kurzfristig beschaffen können“, sagt El-Rayes.

Einer der größten Vorbehalte, die Unternehmen im Vorfeld von Digitalisierungs- und KI-Projekten äußern, ist daher auch die befürchtete fehlende Sicherheit für die eigenen Daten. Man macht sich Sorgen wegen möglicher Datenverluste und Leaks und den damit verbundenen Reputationsverlust.

Das bestätigt auch Sascha Jung, Rechtsanwalt und Partner bei Deloitte Legal, wo er das Data Protection und Cybersecurity sowie IP/IT Team leitet: „Während solche Befürchtungen sehr stark ausgeprägt sind ist die Sorge, dass bei der Verarbeitung von Daten durch KI möglicherweise das Urheberrecht oder Datenschutzbestimmungen verletzt werden könnte, relativ gering.“

In den Augen vieler Expert:innen ist das eine verzerrte Sichtweise. Denn während rechtlich inadäquates Verhalten im Zusammenhang mit KI-Anwendungen Unternehmen in beträchtliche, auch finanzielle Schwierigkeiten bringen kann, ist die Gefahr von Datenleaks oder Verlusten bei der Inanspruchnahme von Clouddiensten verhältnismäßig gering. „Das gilt zumindest für die großen renommierten Anbieter“, erklärt der Deloitte Partner El-Rayes. „Zwar bieten diese aufgrund ihrer Größe mehr Angriffsfläche, haben aber auch dementsprechend mehr Potential, Know-how und Mitarbeiter:innen, um etwaige Cyberangriffe zu erkennen und abzuwehren. Dafür stehen Ressourcen bereit, die ein Mittelständler nie und große Konzerne auch nur mit großer Mühe aufbringen können.“

Dass der Anbieter selbst die Daten missbräuchlich verwendet oder mit Unbefugten teilt sei, vor allem wenn er in der EU angesiedelt ist, ebenfalls keine übermäßige Bedrohung: „Außerdem gibt es Möglichkeiten, sich dagegen zusätzlich zu schützen. Bei sogenannten `Hold-Your-Own-Key-Lösungen` sind die Daten nicht nur verschlüsselt, sondern der Schlüssel bleibt auch bei der Dateneigentümerin oder beim Dateneigentümer", erklärt Sascha Jung. Bei der „Bring-Your-Own-Key-Variante“ liegen die Daten zwar ebenfalls verschlüsselt im Rechenzentrum des Betreibers, der Schlüssel dazu allerdings auch.

Anders als für Fragen der Datensicherheit besteht für Fragen der Rechtssicherheit beim Einsatz von KI derzeit bei vielen Unternehmen noch wenig Bewusstsein. Dabei ist der Punkt überaus heikel.

„Die meisten Nutzer machen sich sehr wenig Gedanken darüber, wann sie in welche KI-Systeme welche Daten eingeben“, sagt Sascha Jung. So wissen viele zum Beispiel nicht, dass es rechtlich unter Umständen einen großen Unterschied macht, in welche Version einer KI-Anwendung Daten eingespielt werden.

ChatGPT 3.5 etwa ist kostenlos, dafür werden aber die eingegebenen Daten zu Trainingszwecken weiterverwendet. Die kostenpflichtige Version 4.0 macht das hingegen nicht. Und die datenschutzrechtlichen Folgen dieses Unterschieds sind nicht trivial: Denn im ersten Fall werden die Daten einem Dritten zur Nutzung überlassen, im zweiten nicht.

Gerade weil die meisten User über solche Unterschiede nicht Bescheid wissen, sollten sich die Firmenverantwortlichen in einem ersten Schritt unbedingt über die entsprechenden Nutzungsbedingungen von KI-Tools vertraut machen. „Das von Mitarbeiter:innen zu verlangen und dann auch noch zu erwarten, dass sie die rechtlichen Folgen des Gelesenen abschätzen können, ist nämlich wenig realistisch“, zeigt sich Sascha Jung skeptisch.

Aus diesem Grund empfiehlt Jung ein Vorgehen, wie es sich schon bei vielen anderen schwierigen Rechtsmaterien, etwa der Datenschutzgrundverordnung, bewährt hat: Mit einer Expertin oder einem Experten eine Bestandsaufnahme der Situation im Unternehmen machen und dann daraus eine entsprechende KI-Policy abzuleiten. „In so einem Rahmen kann dann entschieden werden, welche Tools man freischaltet, bei welchen man das vielleicht nur eingeschränkt tut und welche ganz gesperrt werden.“

Zugleich sollten aber auch Richtlinien darüber erstellt werden, wie die einzelnen Tools zu nutzen sind und vor allem, was auf keinen Fall getan werden darf. Der entscheidende Punkt dabei ist Verständlichkeit, betont Jung: „Wie bei allen solchen Maßnahmen müssen die Regeln klar formuliert, nachvollziehbar und gut zu verstehen sein, dann werden sie auch angenommen.“ Zudem werde damit auch das Bewusstsein für die Problematik geschärft und schon das helfe, Fehlverhalten zu vermeiden.