Künstliche Intelligenz im Arbeitsrecht
Nutzung von KI bei der Arbeit
Aktuell ist eine Vielzahl von KI-Tools im Internet frei verfügbar, z.B. ChatGPT, Dall-E, Midjourney, Copilot, deepl, um nur einige zu nennen. Diese Tools werden von Arbeitnehmern gern genutzt, um sich Arbeitserleichterungen zu verschaffen. Dies birgt jedoch eine Reihe von Gefahren, weshalb die Nutzung von KI im Arbeitsrecht ein immer brisanteres Thema wird. Dieser Blogbeitrag soll deshalb einen Überblick über die Nutzung von künstlicher Intelligenz im Arbeitsrecht geben und die Frage beantworten, ob Arbeitnehmer überhaupt die KI für ihre Arbeit nutzen dürfen.
Grundsätzliches zur Nutzung von KI im Arbeitsrecht
Wenn Arbeitnehmer KI-Tools wie ChatGPT, Dall-E, Midjourney, Copilot, deepl, bei der Arbeit nutzen, birgt dies eine Reihe von Gefahren. So mag es sein, dass durch die Nutzung schützenswerte Daten an Unbefugte gelangen. Es mag auch sein, dass fehlerhafte Ergebnisse durch KI erzeugt und vom Arbeitnehmer genutzt werden. Ergebnisse können außerdem durch KI wiederholt einer Vielzahl von Anwendern zur Verfügung gestellt werden, so dass stark statische Texte entstehen.
All dieses kann bei den Empfängern von KI generierten Arbeitsergebnissen für nicht unerhebliche Irritationen sorgen oder diese aufgrund des laxen Umganges mit ihren Daten nicht unerheblich beeinträchtigen.
Darüber hinaus sind automatisierte Entscheidungen aufgrund Art. 22 DSGVO vielfach unzulässig. So dürfen derartige Tools z.B. nicht verwendet werden,
Arbeitgeber sollten daher genau überlegen, ob sie diese unkontrollierte – ggf. sogar unzulässige - Nutzung von künstlicher Intelligenz bei der Arbeit weiter zulassen möchten.
KI und Datenschutz
Es kann sein, dass bei der Nutzung von KI Datenschutzrechte verletzt werden, indem die Arbeitnehmer personenbezogene Daten Dritter eingeben. Hierfür dürfte üblicherweise die erforderliche datenschutzrechtliche Einwilligungsgrundlage nicht bestehen (siehe Art. 6, 9 DSGVO ). Überdies ist gemäß Art. 13, 14 DSGVO eine Information des von der Datenverarbeitung Betroffenen erforderlich.
Eine fehlende Grundlage der Datenverarbeitung, fehlende Information und sonstige nicht eingehaltene datenschutzrechtliche Vorschriften bei der KI-Nutzung führen zu Datenschutzverstößen der Arbeitnehmer, welche dem Arbeitgeber zuzurechnen sind. Er ist Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO . Datenschutzrechtliche Verstöße können mit erheblichen Bußgeldern geahndet werden und/oder Schadensersatzansprüche Dritter auslösen.
Umgang von KI mit Arbeitgeberdaten und Betriebsgeheimnissen
Jedes Unternehmen hat Betriebsgeheimnisse. Wertvolles Know-how, Preis- und Kalkulationsgrundlagen, Forschungsvorhaben, Kundenstruktur und vieles mehr dürfen von Arbeitnehmern grundsätzlich nur zur Erbringung ihrer Arbeitsleistung im Rahmen des Arbeitsvertrags genutzt werden. Die hiermit verbundenen Daten und Informationen sind vertraulich zu behandeln .
Erfolgt nun die Eingabe entsprechend geschützter Daten und Informationen in ein KI System, ist unklar, wozu diese Daten genutzt werden. Grundsätzlich erzeugt die KI nicht nur das gewünschte Arbeitsergebnis, sondern arbeitet mit den eingegebenen Daten weiter . Die vermeintlich kostenfreie Nutzung entsprechender Tools, kann auf diese Art und Weise einen hohen Preis haben. Die entsprechenden Daten können ausspioniert, weiterverkauft oder zu sonstigen unerwünschten Zwecken verwendet werden.
Die unbedarften Benutzer der KI Systeme bestätigen mit der Nutzung die Allgemeinen Geschäftsbedingungen der Anbieter, welche diesbezüglich selten vorteilhaft für die Nutzer sein dürften. Überdies mag es sein, dass die Arbeitnehmer entsprechende Tools auch noch über ihre privaten Nutzerkonten anwählen und schon auf diese Art und Weise gegen den vertraulichen Umgang mit Unternehmensdaten verstoßen und damit gleichzeitig weitere Einfallstor für Datendiebe eröffnen.
Urheberrecht bei KI-Einsatz
Fraglich ist außerdem, welche Rechte an dem von der KI zur Verfügung gestellten Arbeitsergebnis bestehen. Der Arbeitnehmer, welche entsprechende Arbeitsergebnisse nutzt, ist jedenfalls nicht deren Urheber i.S.v. § 2 Abs.2 UrhG, denn es handelt sich nicht um eine persönliche geistige Schöpfung. Das Arbeitsergebnis ist daher nicht schutzfähig . Dieses kann in Bereichen, in denen kreative und ansonsten grundsätzlich schutzfähige Arbeitsergebnisse erlangt werden, problematisch sein.
Weiterhin besteht die Gefahr, dass die KI ihrerseits urheberrechtlich geschützten oder anderen gewerblichen Schutzrechten unterliegende Inhalte verwendet, ohne dieses kenntlich zu machen. Arbeitnehmer, welche derartige Ergebnisse nutzen, können daher schwere Schutzrechtsverletzungen begehen, welche wiederum auf den Arbeitgeber zurückfallen. Der Arbeitgeber ist es letztlich, welcher im Außenverhältnis schadensersatzpflichtig ist, wenn durch sein Unternehmen Schutzrechte Dritter verletzt werden. Im Regelfall ist ein Regress beim Arbeitnehmer in solchen Fällen nur sehr eingeschränkt möglich.
AI Act der EU – KI-Verordnung
Der AI Act der EU ist so gut wie beschlossen. Hierin sind KI-Systeme in unterschiedliche Risikoklassen eingeteilt. Die unterschiedlichen Risikoklassen werden auch unterschiedlich geregelt. Je höher die Risikoklasse ist, umso weniger ist gestattet.
KI-Systeme, welche personenbezogene Daten überwachen oder die oben geschilderten automatischen Entscheidungsprozesse bereitstellen, unterliegen nicht unerheblichen Beschränkungen.
In der Praxis hat sich bereits jetzt gezeigt, dass nicht jeder erkennen kann, ob der Kommunikationspartner KI verwendet. Die EU hat daher eine Kennzeichnungspflicht in die Richtlinie aufgenommen. Die meisten KI-Anwendungen denen allgemeinen Zwecken. Art. 53 der KI-Verordnung sowie Anhang XII bestimmen insoweit die genauen Transparenzerfordernisse. Sie sollen den Nutzern helfen zu erkennen, was das System überhaupt vermag und wie es genutzt werden kann.
Es ist davon auszugehen, dass in Zukunft viele weitere Regelungen folgen werden, der KI und ihre Nutzung täglich weiterentwickelt werden.
Regelung des KI-Einsatzes im Unternehmen
Angesichts der raschen Entwicklung von KI sowie der Schwierigkeit zu überblicken, welche Nutzungen sinnvoll sind, welche Inhalte richtig sind und was mit den bei der Nutzung eingegebenen Daten passiert, ist trotz der nun unmittelbar bevorstehenden rechtlichen Regelung durch die AI Verordnung der KI-Einsatz im eigenen Unternehmen zu überprüfen und zu regeln . Die Alternative wäre ein Nutzungsverbot von KI aller Art. Doch dieses dürfte die Schnelligkeit und Modernität des eigenen Unternehmens auf Dauer signifikant lähmen. Unter Beachtung des Datenschutzes genutzte KI dürfte für viele Unternehmen und in vielen Anwendungsbereichen sinnvoll sein.
Es muss daher ein Bewusstsein bei den Arbeitnehmern geschaffen werden, welche Nutzung mit welchen Daten gestattet ist, wie das Ergebnis zu verifizieren ist und wie es genutzt werden darf. Eine solches Bewusstsein kann nur durch eine unternehmensinterne KI-Richtlinie geschaffen werden. Diese sollte konkret auf das Unternehmen abgestimmt und in regelmäßigen Abständen aktualisiert werden. Darüber hinaus sind Kontrollmechanismen zu etablieren, welche die Einhaltung der Richtlinie sicherstellen.
Eine KI-Richtlinie führt dazu, dass der Arbeitgeber die Kontrolle über die betriebliche KI-Nutzung seiner Arbeitnehmer behält und steuern kann. Transparente Nutzungsbeschränkungen vermitteln für beide Seiten klar und eindeutig, welche Nutzung gestattet ist und welche nicht. Gleichzeitig erhöht sich das Haftungsrisiko für Arbeitnehmer , welche KI entgegen den unternehmensinternen Richtlinien verwenden. Es ist davon auszugehen, dass die Bewusstseinsschärfung der Arbeitnehmer im Hinblick auf ungeeignete Nutzung von KI die Verwirklichung rechtlicher Risiken in dem Zusammenhang verringern wird. Eine Reihe größerer Arbeitgeber haben daher bereits jetzt KI-Richtlinien erlassen.
Zusammenfassung KI im Arbeitsrecht
KI ist überall vorhanden und wird von Arbeitnehmern ausgiebig und nicht immer unter Beachtung betrieblicher Interessen und datenschutzrechtliche Vorgaben z.B. zur Erstellung von Texten, Verträgen, Übersetzungen oder Auswertungen genutzt. Es ist daher dringend zu empfehlen, interne Nutzungsregelungen für die hierbei verwendeten Tools aufzustellen. In diesen Regelungen kann z.B. bestimmt werden, welche Systeme überhaupt zulässig sind, in welchen Fällen Sie genutzt werden dürfen und welche Daten hierbei verwendet werden dürfen. Auch kann hierin festgelegt werden, in welcher Form die Mitarbeiter das KI-Ergebnis prüfen müssen und verwenden dürfen.
Die unbedarfte Eingabe geschützter Geheimnisse in öffentlich zugängliche KI-Tools sollte mit Veröffentlichung entsprechender Nutzungsregelungen weitgehend der Vergangenheit angehören.
Gerne unterstützen wir Sie bei der entsprechenden Risikoanalyse sowie dem Erlass einer KI-Richtlinie für Ihr Unternehmen. Sprechen Sie uns an.