KI-Ethik und EU AI Act: Mitdenken ist Pflicht • Stefan Golling Konzepte

Der EU AI Act[1], das KI-Gesetz der Europäischen Union, ist ein komplexes und fast undurchschaubares Regelwerk. Warum undurchschaubar? Da der Rechtstext nicht für sich steht, sondern zusätzlich das KI-Büro der EU – eine große Behörde – laufend Extra-Vorgaben machen soll und wird, inklusive Nachjustierungen, ist der aktuelle Stand der Regelungen laufend im Wandel. Zudem musst du immer noch die DSGVO beachten plus weitere Regulatorik.

Deshalb gilt: Du musst bei der Auswahl von KI-Tools für dein Unternehmen a) gründlich recherchieren und b) mitdenken.

Tipp: Mache dir das KI-Gesetz auf dem zweiten Monitor auf, dann kannst du die Primärquelle mitlesen. Im Artikel sind einige Querverweise drin. Link: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32024R1689

Inhalt

Tl;dr bzw. Abstract am Anfang
Was ist der AI Act?
Was ist denn überhaupt ein „KI-System“ im EU-Sinne?
Die Grundidee des EU AI Act
So komplex ist die Rechtslage
DSGVO und EU AI Act: Überschneidungen
Risiko- und Qualitätsmanagementsystem? EU-Extrawurst
Aufs European AI Office schauen
KI-Ethik selbst definieren
KI-Ethik und Urheberrecht
KI-Gesetz und Betriebsverfassungsgesetz

Tl;dr bzw. Abstract am Anfang

Unfassbar komplexe Rechtslage
Problematisch: KI-Tools, die negative Auswirkungen auf Menschen haben (automatisierte Entscheidungen) – und unkontrollierte Datensammlung
Unproblematisch: Automatisierte positive Entscheidungen, und wenn ein Mensch drüberschaut.
Vorteilhaft: KI-Tools, die gut dokumentiert sind (von Anbietern mit Ansprechpartnern in der EU). Und: Open Source, da sind die Regelungen etwas easier.
Extrem sinnvoll: Transparenz gegenüber dem User, also Infos darüber, wie und warum KI eingesetzt wird.
Es kann sein, dass „Praxisleitfäden“ kommen.
Aufpassen: Es gibt Abhängigkeiten mit anderen Rechtsräumen, u.a. DSGVO.

Über den Autor

Stefan Golling, Köln. Seit 2011 Freelance Creative Director, freier Texter, Creative Consultant und Online-Marketing-Berater mit Kunden von Mittelstand bis S&P 500. Erfahrung: 1998 mit Radiowerbung in Stuttgart gestartet, 2000 als Junior-Werbetexter zu Publicis München, 2001 Counterpart Köln, 2002 als Copywriter zu Red Cell Düsseldorf (heißt heute Scholz & Friends), dort ab 2007 Creative Director.

Was ist der AI Act?

Der EU AI Act ist die „Verordnung (EU) 2024/1689 des Europäischen Parlaments und des Rates vom 13. Juni 2024 zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz“. Es geht also um EU-weit einheitliche Regelungen für KI. Da das Themenfeld recht groß ist, wurden im selben Aufwasch direkt einige weitere EU-Verordnungen und EU-Richtlinien geändert.

Das Ziel des AI Acts ist die Schaffung von „vertrauenswürdiger KI“ – damit die Bürger u.a. nicht materiell oder immateriell Opfer von intransparenten KI-Entscheidungen werden. Besonderer Schutz gilt für Minderjährige (vgl. Punkt 9 im AI Act) und, natürlich, für personenbezogene Daten (vgl. 10).

Was ist denn überhaupt ein „KI-System“ im EU-Sinne?

In Artikel 3.1 steht:

„‘KI-System‘ (ist) ein maschinengestütztes System, das für (…) autonomen Betrieb ausgelegt ist und das nach seiner Betriebsaufnahme anpassungsfähig sein kann und das aus den erhaltenen Eingaben (…) ableitet, wie (…) Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen erstellt werden.“

In Punkt 12 steht es ausführlicher, zum besseren Verständnis gekürzt:

„Ein wesentliches Merkmal von KI-Systemen ist ihre Fähigkeit, abzuleiten. Diese Fähigkeit bezieht sich auf den Prozess der Erzeugung von Ausgaben, wie Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen, die physische und digitale Umgebungen beeinflussen können, sowie auf die Fähigkeit von KI-Systemen, Modelle oder Algorithmen oder beides aus Eingaben oder Daten abzuleiten. (…) Die Fähigkeit eines KI-Systems, abzuleiten, geht über die einfache Datenverarbeitung hinaus, indem Lern-, Schlussfolgerungs- und Modellierungsprozesse ermöglicht werden. (…) KI-Systeme sind mit verschiedenen Graden der Autonomie ausgestattet, was bedeutet, dass sie bis zu einem gewissen Grad unabhängig von menschlichem Zutun agieren und in der Lage sind, ohne menschliches Eingreifen zu arbeiten.“ Übrigens fällt Machine Learning (maschinelles Lernen) unter KI.

Die Grundidee des EU AI Act

Vereinfacht gesagt soll der EU AI Act dafür sorgen, dass die Menschen in der EU vor schädlicher KI geschützt werden. Das steht schon im Artikel 1 des Gesetzes. Die Schwerpunkte sind u.a. Gesundheit, Sicherheit und Grundrechte.

Dabei werden KI-Systeme in 4 Gruppen eingeteilt:

Verboten. Das ist in Artikel 5 geregelt. Ein verbotenes Beispiel wäre, wenn ein Unternehmen mittels Kameraüberwachung und KI den Gesichtsausdruck von Mitarbeitern auslesen und auf Krankheiten bzw. Stimmung analysieren würde, um daraufhin automatisiert Kündigungen auszusprechen. Solche Systeme sind ab Anfang 2025 verboten. Das anlasslose Auslesen von Gesichter-Fotos aus dem Internet ist ebenfalls verboten (43), oder die Emotions-„Erkennung“ (44) (außer für u.a. therapeutische Zwecke bzw. mit Zustimmung des Users, vgl. Art. 50.3).
Weitere Beispiele sind „Social Scoring“ (31) – inwieweit da Wirtschaftsauskunfteien Probleme bekommen könnten, die beim Sammeln von Daten zu „breit“ aufgestellt sind, wird sich zeigen.
Beispiel: Verbraucher A hat in Shop B dreimal Sachen bestellt und zurückgeschickt, vielleicht weil’s einfach Schrott war. Scoring-Anbieter C sammelt solche Daten, auch von Autoversicherungen (vgl. 42). Verbraucher A möchte jetzt in Shop D bestellen. Dieser nutzt das Scoring von Anbieter C. Verbraucher A hat dort Minuspunkte gesammelt, weswegen das Scoring-System automatisiert entscheidet: „Den Kunden wollen wir nicht“, also Pflicht zur Vorkasse und hohe Rücksendegebühr (die andere nicht zahlen müssen). Folge: Möglicher Verstoß gegen das KI-Gesetz, wenn’s rauskommt, und sowas kommt raus.
Auch verboten: Verhaltensmanipulation per KI, wobei das sehr schwammig definiert ist.
Hohes Risiko. Das Feld des Artikel 8ff und des Anhang III ist breit, u.a. gehört da die Erkennung von „Schüler schreibt bei einer Prüfung ab“ dazu (56), die Studienplatzvergabe, Zuweisung von Arbeitsaufgaben oder Einstellungs-/Rausschmiss-/Beförderungsentscheidungen (57).
Prinzipiell ist alles ein hohes Risiko, was durch automatisierte Entscheidungen die Zukunft von Menschen negativ beeinflussen kann.
Besonders erwähnt werden zudem staatliche Stellen (z.B. problematisch: automatisierte Kürzung von Sozialleistungen), oder Basis-Service-Anbieter die man zum Leben braucht, wie Wohnen, Strom und Telekommunikation (58).
Solche Systeme erfordern ein Risk-Management-System (RMS) und ein Quality-Management-System (QMS) mit massiven Audit- und Dokumentationspflichten, was für typische Blackbox-KIs eine Hürde ist. Außerdem: Menschen sollen die Systeme beaufsichtigen (Art. 14).
Ab Mitte 2026 bzw. 2027 wird es da richtig ernst.
Unter High Risk fallen u.a. auch automatisierte Kreditentscheidungen, bzw. vor allem Kreditablehnungen. Scoring basiert allerdings schon immer auf eigenwilligen Kriterien. Solche Systeme werden besonders streng überwacht werden. Diskriminierung ist nur ein Problem: Der Name klingt ausländisch, also Minuspunkte? Schlechte Idee. Das KI-System lernt selbstständig, dass das Kreditausfallrisiko bei einer bestimmten Bevölkerungsgruppe besonders hoch ist und ändert daraufhin seinen Entscheidungsalgorithmus? Auch sehr schlecht, vgl. Artikel 15.4. Weiter unten geht’s gleich um die DSGVO, in der solche Themen auch behandelt werden.
Transparency Risk. Darunter fällt u.a., dass KI-generierter Content nicht als solcher erkennbar ist. Stellen wir uns ein manipulatives, perfekt gemachtes KI-Video vor, das 17-jährige Erstwähler beeinflussen soll. Das ist ein Problem, vgl. Artikel 9.9. Ein kleineres Problem ist es, wenn man solchen Unfug mit Nicht-KI-Mitteln macht.
Safe ist man hingegen, wenn man KI-Material einfach kennzeichnet (digitales Wasserzeichen, vgl. Art. 50), oder wenn es Kunst bzw. Satire ist – aber wer legt das im Einzelfall rechtssicher fest?
Minimal or no risk. Solche KI-Systeme sind grundsätzlich erlaubt.
KI-Modelle mit allgemeinem Verwendungszweck. Bei Tools wie LLMs, u.a. ChatGPT, sieht die EU ein „systemisches Risiko“.
Ab einer Milliarde Parameter (vgl. Punkt 98) hat die EU Regulierungsbedarf – und das hat fast jedes System. GPT-2, wir sind jetzt bei GPT-4, hatte schon 1,5 Milliarden Parameter. Bei den LLMs erkennst das du an Angaben wie “1.5 bn”, damit sind “1.5 billion” = Mrd. gemeint.
LLaMA 3.1 von Meta (2024) hat bis zu 405 Milliarden Parameter und wurde mit 1,4 Billionen Token trainiert.
Mit 1 Mrd. Parameter kann man maximal Mini-„Fachidioten“-KIs bauen – und die werden auch kommen, speziell als Open Source.
Was heute auf dem Markt ist und bis 2. August 2025 auf den Markt kommt, muss bis 2. August 2027 die neuen Vorschriften erfüllen. Dazu zählen Offenlegungspflichten zu u.a. den Trainingsdaten, zum Trainingsaufwand (bspw. GPU-Stunden) oder zum Energieverbrauch (!), vgl. Anhang XI ff. – inklusive der Zahl der Parameter des Modells.

So komplex ist die Rechtslage

Der EU AI Act steht nicht im luftleeren Raum. Im Webinar[2] des KI-Büros vom 30. Mai 2024 wurde es transparenter. Du musst beachten:

Den EU AI Act
Die (künftigen) Regulierungen des KI-Büros
EU-Verordnungen 765/2008[3] und 2019/1020[4] (Marktüberwachung, Produktsicherheit)
Der Leitfaden für Produktvorschriften („Blue Guide“) 2022/C 247/01[5]
Und natürlich deine lokal gültigen Gesetze, bspw. für Banken die Bankenregulierung, oder das Betriebsverfassungsgesetz etc. pp.
Bundesdatenschutzgesetz (in Überarbeitung)
Und natürlich die DSGVO

DSGVO und EU AI Act: Überschneidungen

Die Datenschutzgrundverordnung (DSGVO) gilt schon länger – mit hohen Strafen, die auch tatsächlich verhängt werden. Einige Vorschriften passen auch in die KI-Welt.

Artikel 9: verbotene Daten
- Ohne Zustimmung und ohne sinnvollen Grund darf man einige Daten(punkte) ohnehin nicht sammeln bzw. verarbeiten:
  - rassische und ethnische Herkunft – per KI könnte man das (verbotenerweise) über den Namen und/oder biometrische Daten machen
  - politische Meinungen
  - religiöse oder weltanschauliche Überzeugungen
  - Gewerkschaftszugehörigkeit
  - genetischen Daten
  - biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person (Fingerabdruck, Gesicht, evtl. Gangbild etc.)
  - Gesundheitsdaten
  - Daten zum Sexualleben oder der sexuellen Orientierung – das ist u.a. für Personal-/Diversityabteilung relevant
- Dafür gibt es im AI Act eine Entsprechung im Artikel 30: Es verboten, anhand biometrischer Daten KI-basiert z.B. eine Gewerkschaftszugehörigkeit, sexuelle Orientierung oder weltanschauliche Einstellungen vorherzusagen.
  Beispiel: Ein Unternehmen sammelt bei LinkedIn und auf Websites Fotos von Gewerkschaftsmitgliedern, trainiert damit eine KI und bietet Personalabteilungen an, anhand von Fotos einen „Der Typ sieht aus wie ein Gewerkschafter“ Score zu ermitteln – damit man solche Leute nicht einstellt. Sowas ist mehrfach verboten.
  Nicht verboten ist es natürlich, wenn deine Mitarbeiter sich anhand von Bewerberfotos eigene Gedanken zu Bewerbern machen.
Artikel 13
- Bei der Verarbeitung personenbezogener Daten muss man den Betroffenen informieren, was man mit seinen Daten macht. Wir kennen das von Cookie-Bannern und DSGVO-Formularen zur Unterschrift, mit „Recht aus Auskunft“ (vgl. Art. 15), Beschwerderecht bei Auskunftsbehörde etc.
- KI-relevant 1: Anspruch auf Datenlöschung. Das bedeutet, dass der Verbraucher Anspruch auf das Löschen der persönlichen Daten hat (vgl. Artikel 17, „Recht auf Vergessenwerden“).
- Problem: Wenn du ein KI-System nutzt, das RAG verwendet – also mit deinen Dokumenten trainiert wurde – sind die Dokumente Teil des „Hirns“ des KI-System. Wenn in den Dokumenten personenbezogene Daten drin sind, hast du Trouble, da sich diese möglicherweise nicht einzeln rauslöschen lassen.
  Denn: Wenn eine Person die Datenlöschung verlangt, musst du womöglich alle Trainingsdaten löschen.
  Mögliche Lösungen: a) personenbezogen Daten vorher rauslöschen (dafür gibt’s KI) bzw. b) für jeden Kunden eigenes RAG machen oder c) ein KI-System mit einem riesigen Token-Speicher nehmen, das sich quasi in der Sekunde des Aufrufs trainiert und danach wieder löscht (schwierig).
- KI-relevant 2: Information über Profiling und automatisierte Entscheidungsfindung. Du musst dem User bzw. deinem Kunden „aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung“ geben. Du nutzt Profiling bzw. Scoring, und ergänzt das um KI? Darüber musst du informieren.
Artikel 22, automatisierte Entscheidung inkl. Profiling
- Automatisiertes Profiling zur Entscheidungsfindung ist im Grundsatz verboten, bspw. die Ablehnung eines Kreditantrags, eines Stromvertrags[6] oder auch automatisiertes Scoring von Bewerbern auf freie Stellen. Das betrifft den Einsatz von traditionellen Scoring-Systemen genauso wie von KI-Systemen. Prinzipiell heißt das: Über die Entscheidung müsste ein Mensch drüberschauen.
- Es gibt jedoch viele Ausnahmen, damit man die automatisierten Entscheidungen doch anwenden darf. Beispiele:
  - Für Vertragsabschluss oder -erfüllung ist die automatisierte Verarbeitung nötig. Stellen wir uns eine Echtzeit-Überweisung vor, die geht ja nur, wenn das System personenbezogene Daten automatisch verarbeitet – denn es kann nur Geld transferiert werden, wenn auf dem Ausgangskonto Geld liegt. Das Verfahren ist explizit gesetzlich erlaubt (EU-Recht, Recht des Mitgliedsstaats)
- - Die Person willigt ein (vgl. Art. 7). Das ist der Schlüsselsatz: Automatisierte Entscheidung sind erlaubt, wenn man transparent sagt, dass man sowas macht. Dem (Neu-)Kunden / Bewerber etc. muss man jedoch einräumen, dass er beantragen kann, dass ein Mensch über die Entscheidung drüberschaut. Auch ein Einspruchsrecht muss man einräumen. Sowas hast du vielleicht bei ELSTER schon mal gesehen, da gibt es bei Anträgen die Auswahlmöglichkeit „Ich bin mit einer automatisierten Entscheidung einverstanden / Ich möchte, dass ein Mensch entscheidet“. Das ist ziemlich safe.
  - Scoring ohne Einwilligung = Problem. Wenn du automatisierte Entscheidungen maßgeblich auf der Grundlage von zugekauftem Scoring triffst, kann das sehr kritisch sein. Denn: Dein (Neu-)Kunde hat vielleicht deiner automatisierten Entscheidung zugestimmt, aber nicht deinem Scoringanbieter. Der EuGH[7] (C‑634/21) hat im Dezember ´23 entschieden, dass „eine ‚automatisierte Entscheidung im Einzelfall‘ (…) vorliegt, wenn ein (…) Wahrscheinlichkeitswert (…) durch eine Wirtschaftsauskunftei automatisiert erstellt wird“. Der Ausweg ist indes recht einfach: Man darf einfach nicht das zukaufte Scoring als maßgeblichen (Einzel-)Wert nehmen, sondern muss die automatisierte Entscheidung differenzierter aufbauen – Banken nutzen ja unter anderem Gehaltsabrechnungen. Außerdem sollte das Scoring für die Vertragserfüllung nötig sein.
    Eine weitere Alternative: Dein (Neu-)Kunde ist (zahlender) Kunde bei der Auskunftei und liefert dir seine Scoring-Daten freiwillig.
Artikel 25: Pseudonymisierung etc.
- Schon die DSGVO verlangt, wenn technisch möglich und sinnvoll, dass personenbezogene Daten pseudonymisiert werden. Das gilt auch für KI-Systeme.
- Hilfreich ist es, wenn man zertifizierte Verfahren nutzt (vgl. Art. 42)
Artikel 27: Ansprechpartner in der EU
- Wenn du ein EDV-/KI-System nutzt, das außerhalb der EU betrieben wird, muss der Anbieter einen Ansprechpartner in der EU angeben.
- Das bedeutet: Irgendwelche fancy KI-Tools von Startups aus USA oder China nutzen, in denen personenbezogene Daten verarbeitet werden, kannst du – wie bisher – vergessen.
Artikel 35: Datenschutz-Folgeabschätzungen
- Beim Einsatz neuer Technologien zur Verarbeitung personenbezogener Daten – wie KI – muss man eine Folgeabschätzung vornehmen und dabei den Datenschutzbeauftragten konsultieren (wenn man einen hat).
- Besonders relevant ist das bei Profiling-Technologien.
- Die Datenschutz-Aufsichtsbehörde kann neue Prüfpflichten festlegen, weswegen man da auf dem Laufenden bleiben muss.
- Bei einem hohen Risiko ist gem. Art. 36 vor der Einführung die Aufsichtsbehörde zu konsultieren.

Risiko- und Qualitätsmanagementsystem? EU-Extrawurst

Fürs Risikomanagementsystem könnte man sich an der ISO/IEC 23894:2023 orientieren, und beim Qualitätsmanagement an der ISO/IEC 42001:2023, jedoch sind die Standards nicht im Sinne des EU AI Acts verfasst. Das wäre auch zu einfach.

Du kannst dich also an internationale Normen halten und bist nachher trotzdem gekniffen. Denn: Die EU entwickelt ein eigenes Werk. Die Vorgedanken kannst du dir durchlesen: https://publications.jrc.ec.europa.eu/repository/handle/JRC132833.
Merke dir hier einfach die europäische Standardisierung CEN-CLC/JTC21[8] und bleibe auf dem Laufenden.

Aufs European AI Office schauen

Das gewaltige Regelwerk des EU AI Act ist nicht in Stein gemeißelt. Vielmehr wird es daran laufend Nachjustierungen geben, die allerdings außerhalb des festgeschriebenen Gesetzes stattfinden. Dafür zuständig ist das European AI Office[9], das „KI-Büro“ der EU. Es soll im Vollausbau 140 Mitarbeiter[10] haben. Wofür ist es zuständig?

Definition und Durchsetzung der Vorschriften für „große“ KI-Modelle, inklusive Tests
Entwicklung von Benchmarks, mit denen KI-Modelle mit „systemischen Risiken“ bewertet werden – wenn also dein aktuelles KI-Tool bei einem künftigen Test durchfällt, ist es raus bzw. der Anbieter bekommt eine Aufforderung zur Änderung.
Die Regeln laufend an den Stand der Technik anpassen – was die Planungssicherheit für KI-Investitionen natürlich, ähem, reduziert.
Delegierte Rechtsakte ausarbeiten.

Die Referate:

Referat „Exzellenz in KI und Robotik“
Referat „Regulierung und Einhaltung“
Referat „KI-Sicherheit“
Referat „KI-Innovation und Politikkoordinierung“
Referat „KI für das Gemeinwohl“

KI-Ethik selbst definieren

Du kannst davon ausgehen, dass die Gesetzgebungen und Rechtsprechungen in der EU bzw. den Mitgliedsstaaten lückenhaft sind bzw. sich laufend wandeln werden.

Wie immer gibt es zwei Strategien:

Das rechtlich Erlaubte bis zum Maximum ausreizen.
Sich in Gesetzgeber und Richter hineinversetzen, um Probleme früh zu erkennen und zu vermeiden.

Im Rahmen von KI ist die erste Strategie riskant, da Technologien und Regulatorik recht neu sind und sich im Wettstreit befinden. Als Kunde kann man da finanziell aufgerieben werden, wenn es schlecht läuft: Du hast einen KI-Service tief in deine Prozesse integriert, und leider arbeitet der Anbieter nicht sauber, muss Strafe zahlen und geht unter? Pech gehabt.

Deshalb gilt:

KI-Anbieter gründlich aussuchen.
Schweinereien sein lassen.
Offen kommunizieren.

KI-Ethik und Urheberrecht

Das Urheberrecht wird im KI-Gesetz thematisiert, mit Vorschriften für KI mit allgemeinem Verwendungszweck – also GenAI. Zuerst mal gelten Transparenzanforderungen zu Traninings- und Feintuning-Daten, und zwar für kommerzielle als auch für Open-Source-Systeme. Explizit gefordert ist, dass das Urheberrecht der EU eingehalten wird (104).

Verwiesen wird auf die Richtlinie (EU) 2019/790¹ des Europäischen Parlaments und des Rates vom 17. April 2019 über das Urheberrecht und die verwandten Schutzrechte im digitalen Binnenmarkt. Dort steht in Artikel 4: Data Mining, als das automatisierte Rausziehen von Inhalten aus dem Internet ist erstmal erlaubt – für die Forschung per Generalablass. Reine Daten und Fakten ziehen ist ohnehin erlaubt, für die gilt das Urherrecht idR nicht. Für andere Zwecke müssen die Systeme ein Opt-out berücksichtigen. Wer also nicht will, dass seine im Internet stehenden Daten zu KI-Trainingsdaten werden, muss ein (maschinenlesbares) Opt-out hinterlegen. Allerdings ist ja nur das Data Mining geregelt; wenn du dir einen Text generieren lässt, der aus urheberrechtlich geschütztem Material besteht – was du nicht wissen kannst – bekommst du womöglich ein Problem.

Man muss also trennen zwischen “Ich darf eine KI mit urheberrechtlich geschütztem Material trainieren” und “Ich lasse mir Bilder, Texte, Videos generieren und nutze diese dann unbeschwert.”

So wurde das Open-Source-Mega-LLM LLaMA, und nicht nur das, mit den “Public Domain”-Büchern des Project Gutenberg trainiert. In den USA ist das (mutmaßlich) legal, aufgrund der anderen Urheberrechtsregelungen als bei uns (Stichwort: “Fair Use”, haben wir nicht so richtig). Allerdings gilt bei uns, dass das Urheberrecht bis 70 Jahre nach dem Tod des Urhebers gilt. Und bei Gutenberg sind einige Autoren drin, für die noch Urheberrechtsschutz gilt. Der generierte Text enthält 1:1 Passagen aus solchem Trainingsmaterial? Schlecht, außer du würdest zitieren.

Ebenfalls beliebt ist die Wikipedia zum Training, und die ist nicht Public Domain, sondern steht unter CC BY-SA 4.0 – man muss also bei der Datenverwendung Urheberrechtsangaben machen, und die Texte, die Wikipedia-Content enthalten, fallen dann auch unter CC BY-SA 4.0.

KI-Bilder generieren ist beliebt, macht Spaß und liefert kreative Resultate. Das Problem: Die Trainingsdaten wurden selten sauber lizensiert. Das bedeutet, dass die generierten Bilder urheberrechtlich geschützte Elemente beinhalten können – wir kennen die Trainingsdaten schlichtweg einfach nicht. Die Lösung sind professionelle Bild-Generierungs-Tools von sauber arbeitenden Firmen wie Adobe, Getty oder Bria. Da wurden die Trainingsdaten lizensiert. Das hat den Vorteil, dass die Generierungsergebnisse sicher sind.

Bei der KI-Generierung von Musik wird es langsam ernst: Die US-Musikbranche in Form der Recording Industry Association of America® (RIAA) verklagt² KI-Musikgeneratoren-Anbieter, ansichtlich des nicht-lizensierten Trainings der KI-Systeme mit geschützter Musik. Was dabei vor Gericht rauskommen wird, muss man sehen.

KI-Gesetz und Betriebsverfassungsgesetz

Mit AI Act gibt es zwar eine EU-weit „einheitliche“ Regulierung, aber es gelten ja trotzdem noch die gewachsenen Gesetze, Verordnungen sowie die Rechtsprechungen. So nützt es dir für Deutschland gar nix, wenn du den AI Act komplett verstanden haben und dann loslegen willst. Ein Grund ist das Betriebsverfassungsgesetz, in dem die Mitarbeitermitbestimmung geregelt ist.

Wenn deine Organisation also einen Betriebsrat bzw. Personalrat hat, darf er bei bestimmten Themen mitbestimmen. Ein beliebter Streitpunkt ist die Leistungskontrolle bzw. -bewertung. Eine per KI automatisierte Leistungskontrolle ist per AI Act ohnehin erschwert, aber jetzt sitzen drei Parteien am Tisch: Der Arbeitgeber, die Arbeitnehmervertreter und der schwer interpretierbare AI Act.

Rechtsstreitigkeiten könnten die Folge sein. Für multinationale Unternehmen kommt dann die Herausforderung hinzu, dass in jedem Land die Regelungen unterschiedlich sind. Das erschwert den Einsatz von konzerneinheitlichen Lösungen – oder man macht es sich einfach, und verlagert heikle Tätigkeiten aus der EU raus.