Einführung und Ausgestaltung von KI-Richtlinien im Betrieb - Mit Checkliste für die betriebliche Praxis (Grimm/Krülls, ArbRB 2024, ARBRB0065395)

Spätestens 2035 wird nach Erwartung des Bundesarbeitsministers Hubertus Heil kein Arbeitsplatz mehr ohne KI-Anwendungen auskommen. Bereits 2023 haben viele – vor allem große – Unternehmen ambitionierte KI-Strategien beschlossen und mit der Umsetzung begonnen. In anderen – besonders kleineren und mittleren – Unternehmen wird das Potential von KI-Anwendungen zwar gesehen, angesichts der nur schwer überschaubaren rechtlichen und tatsächlichen Risiken sowie von Unsicherheiten hinsichtlich des Regulierungsrahmens aber noch nicht ausgeschöpft.

Angesichts vieler kostenlos verfügbaren KI-Anwendungen wie ChatGPT, Dall-E, Midjourney, DeepL und Copilot sollten auch skeptische Arbeitgeber nicht die Augen davor verschließen, dass Mitarbeiter – besonders für einfache und/oder kreative Tätigkeiten – vielfach bereits auf KI-Lösungen zurückgreifen. Hierzu sind sie grds. auch berechtigt, sofern es im Betrieb keine anderslautenden Regelungen oder Anweisungen gibt (Günther/Gerigk/Berger, NZA 2024, 234). Eine Pflicht zur Offenlegung aus § 241 Abs. 2 BGB trifft Arbeitnehmer nur, wenn dem Unternehmen aus der konkreten Nutzung ein Schaden entstehen könnte (Niklas, ArbRB 2023, 268, 269).

Allen Arbeitgebern ist daher zu empfehlen, proaktiv tätig zu werden. Welche Risiken sie dabei im Blick haben sollten und welche Handlungsspielräume bestehen, soll nachfolgend dargestellt werden. Der Beitrag schließt mit einer detaillierten Checkliste für die Einführung einer KI-Richtlinie als schnell wirkende Sofortmaßnahme.

I. Mögliche Risiken der KI-Nutzung durch Arbeitnehmer
1. Sicherheit von Unternehmensdaten
2. Schutz personenbezogener Daten nach der DSGVO
3. Schutz vor automatisierten Entscheidungen (Art. 22 DSGVO)
4. Geistiges Eigentum und Urheberrecht
5. KI-Verordnung der EU (AI Act)
II. Regelungsmöglichkeiten des Arbeitgebers
1. Absolutes Verbot der Nutzung
2. Unternehmensrichtlinien bzw. Guidelines für die Nutzung arbeitnehmereigener KI-Accounts
a) Implementierung nach § 106 GewO
b) Mitbestimmung des Betriebsrats
3. Einführung unternehmenseigener KI-Lösungen
III. Checkliste für die Einführung einer KI-Richtlinie als Sofortmaßnahme
IV. Fazit


I. Mögliche Risiken der KI-Nutzung durch Arbeitnehmer

1. Sicherheit von Unternehmensdaten
Zu den größten, bei Beschäftigten aber auch am wenigsten bekannten Risiken im Zusammenhang mit der Nutzung von KI-Anwendungen zählt die Preisgabe von wertvollen Unternehmensdaten durch Eingabe in ein KI-System. Besonders bei kostenlosen KI-Versionen wird „mit Daten „bezahlt“. Die Leistungsfähigkeit der aktuellen Large Language Models (LLMs) generativer KI-Anwendungen hängt davon ab, dass sie mit Daten trainiert werden, die von einer menschlichen Intelligenz erschaffen wurden. Der im Internet verfügbare Bestand öffentlicher Informationen ist bereits weitgehend ausgeschöpft.

Beraterhinweis
Besonders Unternehmen mit wichtigen Geschäftsgeheimnissen und solche, deren Geschäftsmodell von einem exklusiven Datenschatz abhängt, sollten die zu schützenden Informationen nicht unbedarft in eine KI eingeben lassen. In kostenlosen KI-Versionen führt dies regelmäßig dazu, dass die Eingabedaten für das Training der KI genutzt und so möglicherweise dem verfügbaren Wissen des KI-Modells hinzugefügt werden. Die Folge: Die Informationen werden potentiell an alle anderen Nutzer des Systems ausgegeben.

2. Schutz personenbezogener Daten nach der DSGVO
Problematisch ist außerdem der Umgang mit personenbezogenen Daten. Werden diese in eine KI eingegeben, muss hierfür eine datenschutzrechtliche Rechtsgrundlage gem. Art. 6 bzw. Art. 9 DSGVO (z.B. eine Einwilligung). Der von der Datenverarbeitung Betroffene ist zudem nach Art. 13, 14 DSGVO zu informieren. Bei außereuropäischen Datenverarbeitern ist des Weiteren ein sicherer Drittstaatentransfer gem. Art. 44 ff. DSGVO sicherzustellen. Diese Voraussetzungen sind regelmäßig nicht erfüllt, wenn ein Arbeitnehmer eigenverantwortlich seinen privaten KI-Account einsetzt, um seine Arbeit zu erledigen.

Entsprechende Datenschutzverstöße von Mitarbeitern sind dem Arbeitgeber zuzurechnen, selbst wenn dieser die Datenverarbeitung nicht angeordnet oder von ihr keine Kenntnis hat. Nur wenn ein Beschäftigter eigene (private oder geschäftliche) Ziele verfolgt, trifft den Arbeitgeber nicht mehr die datenschutzrechtliche Verantwortlichkeit. Im Kontext von KI-Nutzung im Rahmen der Arbeitstätigkeit werden Arbeitgeber daher regelmäßig datenschutzrechtlich als „Verantwortlicher“ i.S.v. Art. 4 Nr. 7 DSGVO verpflichtet sein.

3. Schutz vor automatisierten Entscheidungen (Art. 22 DSGVO)
Nach Art. 22 Abs. 1 DSGVO dürfen Personen grds. nicht Entscheidungen unterworfen werden, die ausschließlich auf einer automatisierten Verarbeitung beruhen, wenn diese ihnen gegenüber rechtliche Wirkung entfalten oder sie in ähnlicher Weise erheblich beeinträchtigen.

Beispiel
Unzulässig wären damit beispielsweise der Einsatz von KI in der Personalabteilung, um Bewerbungen anhand bestimmter (ggf. von der KI festgelegter) Merkmale automatisiert auszusortieren. Aber auch Entscheidungen, welche die Interessen von Kunden berühren, sind von Art. 22 DSGVO reguliert.

4. Geistiges Eigentum und Urheberrecht
Risiken der Nutzung von KI-Anwendungen bestehen darüber hinaus insbesondere im Zusammenhang mit dem Urheberrecht.

Erstens ist zu berücksichtigen, dass rein KI-generierte Arbeitsergebnisse mangels „persönlicher geistiger Schöpfung“ gem. § 2 Abs. 2 UrhG grds. ...