DE/EN
Legal News
April 26, 2023

ChatGPT & Co: Chancen und rechtliche Risiken

ChatGPT ist in aller Munde: Seit der Veröffentlichung der neuesten Version von ChatGPT ist regelrecht ein Hype darum entstanden. Denn ChatGPT demonstriert eindrucksvoll, über welche Fähigkeiten künstliche Intelligenz (KI) bereits verfügt. Mithilfe der Analyse von Unmengen von Daten aus dem Internet ist die KI in der Lage, schwierige Fragen zu beantworten, Aufsätze zu schreiben, Lieder zu komponieren – und sogar Prüfungen zu bestehen. Für Unternehmen stellt KI eine vielversprechende Lösung dar, um Inhalte zu erstellen und Geschäftsprozesse zu automatisieren, etwa für die Personalsuche, für ein Servicecenter oder im Finanzmanagement. Gleichzeitig wirft der Einsatz von KI zahlreiche rechtliche Fragen auf, insbesondere im Bereich des Datenschutzes, Urheberrechts und Haftungsrechts – sowie ethische Fragen. Im Folgenden haben wir uns mit einigen dieser Fragen auseinandergesetzt.

In Italien wurde der Einsatz von ChatGPT kürzlich untersagt. Welche Datenschutzbedenken ergeben sich durch die Nutzung von ChatGPT?

Die italienische Datenschutzbehörde hat eine Untersuchung gegen Open AI, den Anbieter von ChatGPT, eingeleitet und ChatGPT in Italien vorübergehend verboten. Die Datenschutzbehörde bemängelt vor allem, dass den betroffenen Personen, deren Daten von Open AI gesammelt werden, keine ausreichenden Informationen zur Verfügung gestellt werden. Zudem fehlt laut der Behörde eine aus­reichende Rechtsgrundlage für das massive Sammeln und Verarbeiten personenbezogener Daten. Dabei geht es vor allem um jene Daten, die für das „Trainieren“ der Algorith­men verwendet werden. Schließlich wurde auch kritisiert, dass die verarbeiteten Informationen und Daten nicht immer der Realität ent­sprechen. Vom Europäischen Datenschutzausschuss wurde nun eine eigene Taskforce zu ChatGPT eingerichtet. Etwaige Auswirkungen auf Österreich sind noch offen. Es ist jedoch festzuhalten, dass sich die Untersuchungen gegen den Anbieter selbst und nicht gegen Nutzer richten.

Welche datenschutzrechtlichen Vorkehrungen sollten Unternehmen beim Einsatz von KI treffen?

Zunächst stellt sich die Frage, welche Daten in eine KI-Anwendung eingegeben und mithilfe der KI verarbeitet werden sollen und ob es sich dabei um personenbezogene Daten handelt. Personenbezogene Daten unterliegen den strengen Vorgaben der DSGVO. Wenn immer möglich, sollte mit anonymen oder zumindest pseudonymisierten Daten ge­arbeitet werden. Unternehmen sollte bewusst sein, dass jegliche Daten, die von ihnen und ihren Mitarbeitenden in die KI eingegeben werden, potenziell auch Dritten zugänglich werden könnten. Es ist nicht ausgeschlossen, dass andere Nutzer die entsprechenden Angaben als Output erhalten. Es ist daher insbesondere darauf zu achten, dass keine vertraulichen Kundendaten oder Geschäftsgeheimnisse eingespielt werden und damit in die falschen Hände geraten können.

Können sich betroffene Personen gegen den Einsatz von KI wehren?

Falls die KI für eine automatisierte Entscheidungsfindung genutzt wird, beispielsweise für eine automatisierte Kreditvergabe oder für die Prüfung einer Bewerbung, enthält die DSGVO bereits jetzt besondere Regelungen zum Schutz der betroffenen Personen. Betroffene Personen sind über das Bestehen einer automatisierten Entscheidungsfindung zu informieren. Sie haben ein Recht auf aussagekräftige Informationen über die involvierte Logik. Sie können auch ein direktes Eingreifen einer Person verlangen, den eigenen Standpunkt darlegen und die automatisierte Entscheidung anfechten. Die Regeln für ausschließlich automatisierte Entscheidungen greifen allerdings nur, wenn nicht von vornherein eine nachprüfende Kontrolle durch einen Menschen vorgesehen ist.

Wie reagiert die EU auf die durch die KI verursachten rechtlichen Herausforderungen?

Auf EU-Ebene ist derzeit ein KI-Gesetzespaket in Ausarbeitung. Die KI-Verordnung enthält eine Regu­lierung für Systeme Künstlicher Intelligenz. Geplant ist, die unterschwellige Beeinflussung, die Manipulation von Personen in vulnerablen Situationen, Social-Scoring und biometrische Echtzeitüberwachung zu verbieten. Ergänzend dazu hat die EU-Kommission einen Richtlinien-Vorschlag zu Haftungsregeln für KI-Systeme veröffentlicht. Die Entwürfe sehen – ähnlich wie aus der DSGVO bekannt – sehr hohe Geldbußen vor. Beide Entwürfe sind weiterhin stark in Diskussion. Mit dem In-Kraft-Treten ist nach heutigem Stand wohl erst ab 2024 zu rechnen. 

Wer haftet für Fehler der im Unternehmen eingesetzten KI-Lösungen?

Wenn ein Fehler auf die KI-Software-Entwicklung zurückzuführen ist, besteht das Risiko, dass das Unternehmen, welches KI einsetzt, nach außen für dadurch verursachte Schäden haftet. Werden etwa Kundendaten durch ein KI-System geleakt, so haftet wohl das KI einsetzende Unternehmen. Ob es sich beim KI-Entwickler regressieren kann, hängt von der Vertragslage ab. Die vorhin erwähnte Richtlinie für KI-Haftung will die praktische Durchsetzung von Verletzungen erleichtern. Angedacht ist eine Kau­salitätsvermutung für Schäden, die durch eine Sorgfaltswidrigkeit eines Anbieters oder Nutzers eines KI-Systems entstehen.

Wie stellt sich unternehmensintern die Haftungssituation für Schäden durch den KI-Einsatz dar?

Hier befinden wir uns auf relativ gesichertem Boden des österreichischen Gesellschafts- und Arbeitsrechts. Die Geschäftsführer einer GmbH haften der Ge­sellschaft persönlich für die Einhaltung der Sorgfalt eines ordentlichen Geschäftsmannes. Wenn ein Geschäftsführer sich nicht von sachfremden Interessen leiten lässt und wohlinformiert annehmen darf, zum Wohl der Gesellschaft beim KI-Einsatz zu handeln, werden dieser Einsatz und allfällige daraus für das Unternehmen resultierende Schäden keine persönliche Haftung des Geschäftsführers auslösen. Arbeitnehmer haften ohnehin nur eingeschränkt nach dem Dienstnehmerhaftpflichtgesetz.

Wie kann sich ein Unternehmen von der Haftung schützen?

Das KI einsetzende Unternehmen müsste im Rahmen der im Vertragsrecht geltenden Beweislastumkehr gegenüber seinen Vertrags­partnern, etwa Kunden und Lieferanten, beweisen, dass das Unternehmen kein Verschulden an dem vom KI verursachten Schaden trifft. Als ersten Schritt müssen sich die Unternehmen der von KI erstellten Daten und den dadurch potenziell möglichen Schäden bewusst werden, etwa in den Bereichen Datenschutz, Diskriminierung und so weiter. Jedenfalls sollten Unternehmen entsprechende Vorkehrungen treffen, um die von KI generierten Ergebnisse nicht ungefiltert zu übernehmen, sondern diese vielmehr überprüfen und gegebenenfalls auch korrigieren.

Besteht das Risiko von Diskriminierung bei Verwendung von ChatGPT?

Ein rechtliches Problem im Zusammenhang mit KI können Diskriminierung und Vorurteile sein, wobei dies kein KI-Spezifikum, sondern vielmehr ein gesellschaftliches Thema ist. Wie bei allen KI-Systemen ist das Ergebnis von ChatGPT nur so gut wie die Daten, mit denen es trainiert wurde. KI-Systeme lernen selbständig auf Basis von enormen Mengen an von Menschen bereitgestellten Datensätzen. Wenn die Daten Verzerrungen oder Vorurteile enthalten, kann ChatGPT diese Vorurteile verstärken und weiterverbreiten und demnach zu diskriminierenden, sexistischen oder rassistischen Ergebnissen führen.

Wie wird man dieses Ethikproblem im Zusammenhang mit ChatGPT lö­sen können?

Inwiefern diskriminierende Datensätze bereinigt werden können, wird sich in der Praxis erst zeigen. Dies wird jedenfalls eine nicht zu unterschätzende Herausforderung sein. Es werden jedenfalls Gesetze und Vorschriften benötigt, welche die Verwendung von KI-Systemen regulieren und die Verantwortung der Hersteller und Nutzer klar definieren und dadurch sicherstellen, dass KI-Systeme ethisch und verantwortungsbewusst eingesetzt werden. Jedenfalls muss auch gewährleistet werden, dass Personen, die von KI generierter Diskriminierung betroffen sind, auch praxisgerechte Möglichkeiten zur Durchsetzung ihrer Ansprüche haben.

Kommen wir zum Urheberrecht. Wem stehen die Nutzungsrechte an den von ChatGPT erstellten Texten zu – wie etwa an Werbetexten?

Nach Urheberrechtsgesetz können Urheber nur natürliche Personen sein. Damit kann die KI selbst nicht Urheberin im rechtlichen Sinn sein. Sofern das Werk nicht dem Endnutzer der KI zugeschrieben werden kann, etwa wenn er den KI-Text grundlegend überarbeitet hat, wird ein von der KI produziertes Ergebnis in der Regel nicht urheberrechtlich geschützt und frei verwertbar sein.

Welche urheberrechtlichen Probleme stellen sich in der Praxis?

KI-Systeme nutzen Algorithmen, um aus den vorhandenen Datenmengen (wie Texte, Bilder, Audio und Video, Anm.) neue Inhalte zu erstellen. Probleme haben sich in der Vergangenheit bei der Verwendung von geschützten Werken zum Training der KI-Software ergeben, etwa die Verwendung von Bildern zum Training einer auf Kunst spezialisierten KI. Ferner ging kürzlich ein von KI geschaffenes und auch performtes Fake-Duett von den bekannten Musikern Drake und The Weeknd auf Streamingplattformen viral. Die Plattenfirma der gefakten Musiker hat den KI-Song unverzüglich von Spotify und anderen Plattformen sperren lassen. Jetzt geht die Angst um, dass KI Songs als Trainingsdaten nutzen könnte, um selbst Hits zu schreiben. Damit wird das Gespenst, dass KI ge­rade in der Musik-Branche Künstler ersetzen kann, immer realistischer. Deshalb ist es ein Anliegen der Musikindustrie, den Zugriff auf Musik- Plattformen für KI zu blockieren. Es bleibt spannend, wie sich diese Kontroverse zwischen Künstlern beziehungsweise Rechteinhabern und KI-Anbietern weiter entwickeln wird.