Mitarbeiter nutzen zunehmend private KI für die Zwecke ihrer Arbeitgeber. Das ist rechtlich fragwürdig und birgt Risiken für alle Beteiligten.

Rolf Schwartmann
Eine Kolumne
Diese Kolumne stellt die Sicht von Rolf Schwartmann dar. Informieren Sie sich, wie unsere Redaktion mit Meinungen in Texten umgeht.

Über den Einsatz technischer Hilfsmittel im Unternehmen muss der Chef entscheiden. Wer die Verantwortung trägt, schafft vom Fuhrpark über die Fertigungsstraße in der Fabrik bis zum Smartphone die Arbeitsmittel an. Nur dann hat das Unternehmen das Recht für den Einsatz der Mittel und nur so kann es den Einsatz der Arbeitsmittel, den die Firmenleitung sich zurechnen lassen muss, auch im Rahmen des Rechts kontrollieren.

Mehr zum Thema Digitales

Dass ein angestellter Handwerker eigenmächtig Werkzeug anschafft und nutzt, von dem die Firmenleitung nichts weiß, ist nicht nur ungewöhnlich. Es ist auch rechtlich problematisch, denn vielleicht ist es mangelhaft. Nichts anderes gilt für die IT und die im Unternehmen für dessen Zwecke genutzte Software. "Bring your own device", also "nutze deine eigenen Geräte" ist grundsätzlich ein No-Go.

Das liegt nicht nur an der mangelnden Kontrollierbarkeit der Geräte, sondern hat auch lizenzrechtliche Gründe. Softwareanbieter leben von Firmenlizenzen und private "Schatten-Geräte" oder "Schatten-Software" befinden sich im Schatten des Rechts.

Private KI in jedem dritten Unternehmen

Beim Einsatz von KI, namentlich Chatbots in Unternehmen, scheint diese Schattenwirtschaft aber durchaus verbreitet zu sein. Laut einer Umfrage des Digitalverbandes BITKOM wird in jedem dritten Unternehmen private KI genutzt. In einem weiteren Viertel der Unternehmen weiß man es zwar nicht genau, geht aber davon aus, dass private KI genutzt wird.

Das Motto lautet also anscheinend entweder "Prima, wenn die Mitarbeiter ihre Bots für die Firma nutzen. Dann kann das Unternehmen davon profitieren, ohne selbst Lizenzen zu erwerben" oder "Was ich nicht weiß, macht mich nicht heiß". Denkbar ist auch eine dritte Variante, bei der die Firmenleitung den Einsatz der privaten Technik nicht nur billigt, sondern sogar "genehmigt". Aus der Verantwortung stehlen kann man sich als Unternehmen so aber nicht.

Risiken der "Schatten-KI"

Im Gegenteil: Diese Praxis ist mit beträchtlichen rechtlichen Risiken verbunden. Auf der Ebene der KI-Verordnung geht es darum, wer die privaten Bots im Einsatz der Firma betreibt. Betreiben bedeutet in diesem Zusammenhang: zu nicht ausschließlich privaten Zwecken verwenden. Wird der private Bot für die Firma eingesetzt, dann ist das keine private Nutzung.

Das Kundengespräch über das private Handy des Mitarbeiters ist schließlich auch ein Firmengespräch. Weiß die Firmenleitung von der Nutzung privater Geräte zu dienstlichen Zwecken oder "genehmigt" sie diese sogar, dann ist sie nach der Definition der KI-Verordnung (KI-VO) grundsätzlich deren Betreiber, denn sie veranlasst den Betrieb aktiv oder durch Duldung. In diesem Fall dürfte auch die "eigene Verantwortung" der Verwendung bei der Geschäftsleitung liegen.

Das Unternehmen ist also Betreiber und hat nach der KI-VO die Pflicht, jeden, der in seinem Auftrag mit dem Betrieb oder der Nutzung von KI-Systemen befasst ist, nach besten Kräften mit KI-Kompetenz auszustatten.

KI-Kompetenz ermöglicht Verantwortung

Wer diese im erforderlichen Maß besitzt, stellt schnell fest, dass die Verwendung privater KI für betriebliche Zwecke eine Verarbeitung von Firmendaten bedeutet, die über eine private Lizenz eines Beschäftigten potenziell in die Hände von KI-Anbietern gelangen. Das ist zunächst ein datenschutzrechtliches Problem.

Wenn in den Bot auch Geschäfts- oder Kundengeheimnisse eingeben werden, dann kommen weitere Probleme hinzu, die mit der KI-VO unmittelbar nichts zu tun haben. Denn mit der KI-VO ist es nicht getan.

KI-Recht zusätzlich

Natürlich gelten die rechtlichen Anforderungen für den Einsatz der KI-Systeme aus dem Datenschutzrecht, dem Urheberrecht, dem Arbeitsrecht, dem Medienrecht und vielen Bereichen mehr unabhängig von den Anforderungen der KI-VO fort.

Das leuchtet ein, denn durch die Verwendung der neuen KI-Produkte reduzieren sich die Möglichkeiten für Rechtsverletzungen in diesen Fällen ja nicht. Durch den Einsatz autonomer Technik entsteht vielmehr eine neue Dimension von Risiken, die es zu kontrollieren gilt.

KI-Kompetenz soll Risiken minimieren

Das Konzept der KI-VO zur Schaffung der Verantwortung besteht deshalb unter anderem darin, jeden, der KI-Systeme zu nicht privaten Zwecken verwendet, sprich betreibt, KI-kompetent zu machen. So schließt sich der Kreis. Wer als Beschäftigter KI heimlich im Unternehmen einsetzt, der kann nicht damit rechnen, dass die KI-Verordnung ihn aus seiner Rolle als Betreiber entlässt, denn er entschließt sich ja eigenverantwortlich zur Verwendung eines nicht zugelassenen Arbeitsmittels.

KI rechtskonform und transparent einsetzen

Wenn KI im Unternehmen zum Einsatz kommen soll, dann besteht die einzig seriöse Lösung darin, diese Software für die Beschäftigten oder für einen Teil von ihnen anzuschaffen, sprich Lizenzen für die Nutzung zu erwerben. Vor der Verwendung muss das Unternehmen sicherstellen, dass jeder, der im Auftrag des Unternehmens ein KI-System nutzt oder betreibt, über ein ausreichendes Maß an KI-Kompetenz verfügt.

Erst danach kann man von Beschäftigten verlangen, dass sie die vielen Fälle, in denen die Verwendung der KI ohne nennenswerte Einschränkungen nach der KI-VO erlaubt ist, erkennen. Diese Fälle müssen dann von erlaubten, aber hochriskanten Verwendungen unterschieden werden. Diese liegen etwa dann vor, wenn der Einsatz von KI die Bedingungen von Arbeitsverhältnissen beeinflussen kann. Hier ist der Betrieb an besondere Anforderungen geknüpft, die Spezialwissen verlangen. Die Einhaltung dieser besonderen Pflichten muss der Betreiber dann nachweisen.

Zweckänderung mit schwerwiegenden Folgen

Wer eine KI für allgemeine Verwendungszwecke (wie etwa ChatGPT) wissentlich oder unwissentlich für hochriskante Zwecke einsetzt, der hat besonders unangenehme Konsequenzen zu befürchten. Es sprechen gute Gründe dafür, dass die KI-VO diesem Personenkreis die Pflichten des Anbieters des Systems auferlegt. Die kann er faktisch nicht erfüllen.

Dennoch ist die so harte wie unbefriedigende Lösung des Gesetzes plausibel, denn der Anbieter des für jeden Zweck verwendbaren KI-Systems hat die als hochriskant eingestufte Verwendung der KI ja gerade nicht bezweckt. Ihm kann der Missbrauch, den er weder will noch veranlasst, nicht angelastet werden.

Erste Pflichten gelten ab Februar 2025

Wer KI im Unternehmen einsetzen will, der muss sich jetzt kümmern, denn ab Februar 2025 muss man sicherstellen, dass in ausreichendem Maß KI-Kompetenz herrscht. Zusätzlich gelten ab Februar die Verbote der KI-VO für bestimmte Praktiken. Das macht Sinn, denn Möglichkeiten der erlaubten Nutzung von KI zu kennen und Verbotenes zu meiden, setzt KI-Kompetenz voraus.

"Schatten-KI" ist ein Missstand. Die Befragung des BITKOM hat ergeben, dass sie zugenommen hat. Diesen Trend muss die Wirtschaft jetzt umkehren.

JTI zertifiziert JTI zertifiziert

"So arbeitet die Redaktion" informiert Sie, wann und worüber wir berichten, wie wir mit Fehlern umgehen und woher unsere Inhalte stammen. Bei der Berichterstattung halten wir uns an die Richtlinien der Journalism Trust Initiative.