Was rechtlich unter Künstlicher Intelligenz zu verstehen ist
Der Begriff „Künstliche Intelligenz“ (KI) ist nicht nur technisch, sondern auch rechtlich bedeutsam. Rechtlich maßgeblich ist die Definition der europäischen KI-Verordnung, die ein „maschinengestütztes System“ erfasst, das autonom arbeitet, sich anpassen kann und aus Daten eigenständig Ergebnisse wie Vorhersagen, Inhalte oder Entscheidungen ableitet. Diese Definition grenzt KI-Systeme deutlich von klassischer Software ab, die deterministisch und rein regelbasiert funktioniert. Für die rechtliche Bewertung eines Systems ist daher entscheidend, ob es lernfähig und autonom agiert.
Datenschutzrechtliche Anforderungen beim KI-Einsatz
Sobald KI-Systeme personenbezogene Daten verarbeiten, greifen unmittelbar die Anforderungen der Datenschutz-Grundverordnung (DSGVO). Unternehmen müssen insbesondere die Prinzipien der Rechtmäßigkeit, Zweckbindung, Datenminimierung, Speicherbegrenzung und Transparenz wahren. Das bedeutet: Es muss eine tragfähige Rechtsgrundlage für die Datenverarbeitung bestehen, etwa eine Einwilligung oder ein berechtigtes Interesse. Zudem sind technische und organisatorische Maßnahmen zur Datensicherheit erforderlich, etwa durch Pseudonymisierung oder Zugriffsbeschränkungen. In Fällen mit hohem Risiko – etwa bei der automatisierten Entscheidungsfindung – ist eine Datenschutz-Folgenabschätzung Pflicht.
Urheberrechtliche Risiken durch KI-generierte Inhalte
Ein zentrales Problem liegt in der urheberrechtlichen Einordnung von KI-Erzeugnissen. Da nur Menschen als Urheber gelten, sind KI-generierte Inhalte nicht urheberrechtlich geschützt und gelten daher als gemeinfrei. Das bedeutet: Sie dürfen grundsätzlich von jedermann genutzt werden – auch kommerziell – solange keine Nutzungsbedingungen des jeweiligen KI-Anbieters entgegenstehen. Gleichzeitig entsteht durch diese Gemeinfreiheit ein Risiko der doppelten oder massenhaften Nutzung durch Dritte, wodurch Exklusivität verloren geht. Gefährlich wird es zudem, wenn KI unbeabsichtigt urheberrechtlich geschützte Werke Dritter reproduziert.
Haftung für fehlerhafte oder rechtswidrige KI-Ausgaben
Die Ergebnisse generativer KI sind oft nicht vollständig kontrollierbar. Sie können sachlich falsch, diskriminierend oder rechtsverletzend sein. Besonders problematisch ist das sogenannte „Halluzinieren“, bei dem KI-Systeme scheinbar plausible, aber frei erfundene Informationen ausgeben. Hier gilt: Die Verantwortung für die Verwendung liegt beim Nutzer. Wird ein solches Ergebnis veröffentlicht und verletzt es Rechte Dritter – etwa Persönlichkeits- oder Markenrechte – haftet die veröffentlichende Person oder Organisation, nicht der KI-Anbieter.
Vertragliche und lizenzrechtliche Besonderheiten
Trotz fehlendem Urheberrechtsschutz an KI-Erzeugnissen bestehen dennoch lizenzrechtliche Bindungen. Denn KI-Anbieter können in ihren Nutzungsbedingungen Nutzungseinschränkungen definieren, etwa ein Verbot kommerzieller Verwertung oder eine Verpflichtung zur Quellenangabe. Solche vertraglichen Vereinbarungen binden die Nutzer zivilrechtlich. Auch für Prompts – also die Eingaben zur Steuerung der KI – kann unter Umständen urheberrechtlicher Schutz bestehen, sofern sie eine ausreichende Schöpfungshöhe aufweisen.
Besondere Risiken durch Angriffe und Manipulation
KI-Systeme können Ziel gezielter Angriffe sein. Zu den relevanten Gefahren zählen etwa Prompt Injections, mit denen Systeme manipuliert werden, oder Data Poisoning, bei dem durch manipulierte Trainingsdaten die Zuverlässigkeit der KI untergraben wird. Auch Modelldiebstahl, Rekonstruktion sensibler Trainingsdaten und die unerwünschte Preisgabe interner Informationen durch Chatbots stellen erhebliche Sicherheitsrisiken dar. Betreiber solcher Systeme müssen daher strenge Zugriffskontrollen, Validierungsverfahren und interne Sicherheitsrichtlinien implementieren.
Rechtliche Pflichten aus der KI-Verordnung
Mit der europäischen KI-Verordnung wird ein risikobasierter Ansatz eingeführt, der abhängig vom Einsatzzweck des KI-Systems konkrete Pflichten definiert. Für Systeme mit hohem Risiko – etwa in Medizin, Personalwesen oder kritischer Infrastruktur – gelten strenge Anforderungen an Transparenz, Dokumentation, menschliche Aufsicht, Genauigkeit und Robustheit. Verstöße können mit empfindlichen Sanktionen geahndet werden. Unternehmen müssen prüfen, ob sie als Anbieter, Betreiber oder Nutzer gelten, und daraus resultierende Pflichten erfüllen.
Praktische Empfehlungen für den KI-Einsatz
Unternehmen sollten den KI-Einsatz strategisch vorbereiten. Dazu gehört zunächst eine fundierte Risikoanalyse – sowohl technischer als auch rechtlicher Art. Es empfiehlt sich, unternehmensintern eine KI-Governance-Struktur zu schaffen, etwa in Form eines KI-Teams oder eines KI-Beauftragten. Auch sollten verbindliche Guidelines für die Mitarbeitenden etabliert werden, welche insbesondere Datenschutz, Urheberrecht, Transparenzpflichten und Haftungsrisiken adressieren. Zudem sollte jeder Einsatz von KI dokumentiert und regelmäßig evaluiert werden.
Rechtsanwalt Nils Michael Becker aus Bad Honnef bei Bonn ist mit seiner Kanzlei auf Tierrecht, Datenschutz und Vereinsrecht spezialisiert. Er ist Partner und Dozent an der Tierechtsakademie in Bielefeld und unterrichtet regelmäßig an der Akademie des Deutschen Beamtenbundes (dbb Akademie). Einfache und schnelle Terminvereinbarung unter nilsbecker.de/telefontermin.“