Dr. Carsten Ulbricht über die Frage, wie Unternehmen KI rechtssicher einsetzen können

KI-Kompetenzzentrum MedienBlogDr. Carsten Ulbricht über die Frage, wie Unternehmen KI rechtssicher einsetzen können
Blog / KI-Kompetenzzentrum Medien

Dr. Carsten Ulbricht über die Frage, wie Unternehmen KI rechtssicher einsetzen können

Von der einfachen Texterstellung bis hin zu komplexen Hochrisiko-Systemen: Die rechtlichen Anforderungen an KI-Anwendungen variieren je nach Use Case drastisch. Während kompakte Richtlinien für Standard-Tools oft ausreichen, stellt die neue KI-Verordnung Unternehmen bei tiefergehenden Integrationen vor komplexe Prüf- und Dokumentationspflichten.

Dr. Carsten Ulbricht gibt im Vorfeld des Webinars KI & Datenschutz: Rechtliche Anforderungen an den Einsatz von KI-Systemen am 16. April einen fundierten Überblick darüber, welche rechtlichen Hürden Medienhäuser jetzt nehmen müssen und warum eine „menschliche Qualitätskontrolle“ im Zeitalter von KI-Halluzinationen unverzichtbar geworden ist.

Wie gefährden Medienunternehmen konkret sensible Daten oder Betriebsgeheimnisse durch den Einsatz von KI?

Dr. Carsten Ulbricht (CU): Bei der Nutzung von KI gibt es erhebliche Unterschiede zwischen den verschiedenen Anbietern, aber auch innerhalb der KI-Werkzeuge selbst : Vielen Unternehmen ist nicht bekannt, dass bei den kostenlosen Varianten verschiedener KI-Produkte kaum Rechtssicherheit besteht.

Dies liegt daran, dass verschiedene Produkte mit den Eingaben (also den Prompts und Uploads) die eigenen KI-Modelle trainieren. Geheimhaltungsbedürftige und vertrauliche Informationen sollten hier also nicht eingegeben werden. Auch rechtlich geschützte Werke (wie z.B. Software) können so gefährdet werden.

Zudem besteht bei der Nutzung der kostenlosen Varianten oft nicht die Option, einen Auftragsverarbeitungsvertrag abzuschließen. Die Eingabe von personenbezogenen Daten in diese Systeme stellt in diesen Fällen einen klaren Datenschutzverstoß dar. Medienunternehmen sollten daher wissen, welche Anbieter bzw. welche KI-Tools die notwendige Rechtssicherheit für die eigenen Anwendungsfälle bieten.

Wie groß bewerten Sie den Aufwand, der notwendig ist, um KI rechtssicher im eigenen Haus zu verwenden?

CU: Der Aufwand hängt sehr von den geplanten Use Cases ab. Es gibt Anwendungsfälle, die bergen kaum rechtliche Risiken. Die Nutzung von ChatGPT zur Erstellung von Texten, bei der also weder personenbezogene Daten verarbeitet werden, noch Anwendungsfälle vorkommen, die als Hochrisiko im Sinne der KI-Verordnung einzuordnen sind, lässt sich etwa mit geringsten Aufwänden (wie z.B. mit der Einführung einer kompakten KI-Richtlinie) umsetzen.

Dementgegen ist der Umsetzungsaufwand bei komplexeren Systemen wie etwa Microsoft 365 Copilot oder Google Gemini, über die auch personenbezogene Daten (z.B. Kunden- oder Mitarbeiterdaten) verarbeitet werden sollen, deutlich größer. In einigen dieser Fälle ist eine sogenannte Datenschutzfolgenabschätzung durchzuführen, in der dargelegt wird, dass die insofern bestehenden Risiken durch technische und organisatorischen Maßnahmen sinnvoll reduziert werden.

Welche KI-Use-Cases sind mit den größten juristischen Herausforderungen verbunden?

CU: Besondere Herausforderungen gehen mit der KI-basierten Verarbeitung sensibler und/oder geheimhaltungsbedürftiger Daten und Informationen einher. Deutlich komplexer werden die Anforderungen der KI-Verordnung zudem, wenn das Unternehmen KI-Systeme nicht nur selbst nutzt, sondern Dritten zur Nutzung anbietet.

Am größten ist aber wohl der Aufwand, wenn der jeweilige Anwendungsfall als Hochrisiko-KI-System im Sinne der KI-Verordnung zu qualifizieren ist. In diesen Fällen müssen Anbieter sicherstellen, dass diese Systeme vor dem Inverkehrbringen eine umfassende Risiko-, Sicherheits- und Qualitätsprüfung durchlaufen, transparent dokumentiert sind, menschliche Aufsicht ermöglichen und während ihres gesamten Lebenszyklus kontinuierlich überwacht werden, um Grundrechte, Sicherheit und Gesetzeskonformität zu gewährleisten

Was ist aus juristischer Sicht der kritischste Punkt, der bei der Einführung einer KI-Richtlinie beachtet werden sollte?

CU: Die Gestaltung der KI-Richtlinie hängt entscheidend von den konkreten Use Cases, aber auch den eingesetzten KI-Systemen ab. Regelmäßig sollten die Mitarbeiter in der KI-Richtlinie für die urheber- und datenschutzrechtliche Implikationen sensibilisiert werden.

Oft müssen auch Anforderungen aus der KI-Verordnung (z.B. Kennzeichnungspflichten) adressiert werden, um die Risiken etwaiger Verstöße durch die Mitarbeiter für die Unternehmen zu reduzieren. Üblicherweise werden die Mitarbeiter in KI-Richtlinien auch auf das Risiko von Halluzinationen und Fehlern von KI-Systemen hingewiesen und eine „menschliche Qualitätskontrolle“ (sog. Human-in-the-Loop) gefordert, bevor der KI-Output veröffentlicht oder anderweitig genutzt wird.

Dr. Carsten Ulbricht ist als Rechtsanwalt bei der Kanzlei Menold Bezler in Stuttgart auf die rechtlichen Herausforderungen der digitalen Transformation spezialisiert. Sein Fokus liegt auf der Beratung nationaler und internationaler Mandanten im IT- und Datenschutzrecht, insbesondere bei der Prüfung internetbasierter Geschäftsmodelle sowie dem Einsatz von Künstlicher Intelligenz. Seit 2007 teilt er seine Expertise zudem als Referent und Blogger, wo er aktuelle Entwicklungen der digitalen Wirtschaft analysiert und praxisnahe Einblicke in die rechtlichen Erfolgsfaktoren moderner Technologieprojekte gibt.

Von

Wir freuen uns, euch vom 22. – 24. Oktober 2025 auf den #MTM25 begrüßen zu dürfen. Mit der „Media For You“ gibt es auch wieder die beliebte Career-Erlebnismesse zum Thema Jobs & Ausbildung.