Der Einsatz von KI, insbesondere von Large Language Models (LLMs), wird auch in der Unternehmensberatung zunehmend zum Standard. Viele Firmen fragen sich jedoch: Wie binden wir KI rechtssicher in unsere Dienstleistungen ein – und was müssen wir gegenüber Kunden transparent machen?
Wir haben für Sie die wichtigsten rechtlichen Aspekte zusammengefasst:
Datenschutzrechtliche Anforderungen
Sobald Unternehmens- oder Projektdaten in Verbindung mit personenbezogenen Daten verarbeitet werden, gilt die DSGVO. Hieraus ergeben sich insbesondere:
- Verantwortlichkeit: Beratungsunternehmen bleiben „Verantwortliche“ im Sinne der DSGVO. Der Einsatz von KI ist hierbei rechtlich nicht privilegiert – es gelten dieselben Spielregeln wie beim Einsatz sonstiger Tools bei der Verarbeitung personenbezogener Daten.
- Subdienstleister & Auftragsverarbeitungsverträge: Werden externe LLM-Anbieter genutzt (z. B. OpenAI, Google, Mistral AI, Aleph Alpha), ist ein Auftragsverarbeitungsvertrag (AV-Vertrag) zwingend erforderlich.
- Datenübertragung in Drittländer: Bei Nutzung von US-basierten Diensten greifen die strengen Vorgaben zu Drittstaatentransfers (Art. 44 ff. DSGVO). Hier benötigen Unternehmen Standardvertragsklauseln oder eine Absicherung über das EU-US Data Privacy Framework. In den Fällen, dass die Drittlansübermittlung lediglich auf sog. Standardvertragsklauseln gestützt wird, ist zusätzlich auch ein sog. TIA (Transfer Impact Assessment bzw. Risikoabschätzung) durchzuführen.
- Transparenzpflichten: In der Datenschutzerklärung gegenüber den Kunden sollte der KI-Einsatz mit Zweck und Rechtsgrundlage aufgeführt sein. Erfolgt ein Einsatz über die reine Vertragserfüllung hinaus(z. B. Training der KI), ist eine ausdrückliche Einwilligung des Kunden erforderlich.
Nutzung nicht-personenbezogener Daten
Wenn nur anonymisierte Projektparameter oder fachliche Inhalte verarbeitet werden, greift die DSGVO für die Kundendaten nicht. Die Verpflichtung zur KI-Kompetenz besteht jedoch unabhängig vom Einsatz personenbezogener Daten. Trotzdem sollte auch hier Transparenz im Vertrag hergestellt werden. Dies ist zur Klarstellung auch für Auftraggeber und Auftragnehmer gleichermaßen sinnvoll. Wir empfehlen z. B.:
- kurze KI-Klauseln zur Aufklärung über den Einsatz,
- Vereinbarungen zum Schutz von Geschäfts- und Betriebsgeheimnissen,
- eine klare Regelung, wenn KI-Outputs in Projektergebnisse einfließen,
- KI-Kompetenz bei Mitarbeitenden sicherstellen.
Musterklausel:
§ 1 Einsatz von KI-Technologien durch den Auftragnehmer
1.1 Der Auftragnehmer kann bei der Erbringung seiner Leistungen Softwarelösungen einsetzen, die Verfahren der Künstlichen Intelligenz nutzen (z. B. Large Language Models).
1.2 Die Verarbeitung personenbezogener Daten im Rahmen solcher Systeme erfolgt ausschließlich zur Vertragserfüllung und unter Beachtung der geltenden gesetzlichen Vorgaben (insbesondere DSGVO, GeschGehG sowie der EU-KI-Verordnung). Auf Nachfrage weist der Auftragnehmer die KI-Kompetenz seiner Mitarbeitenden nach.
1.3 Eine Nutzung von Daten des Auftraggebers zu anderen Zwecken – insbesondere für die Weitergabe an Dritte oder das Training der eingesetzten Systeme – erfolgt nicht ohne vorherige, ausdrücklich schriftliche Zustimmung des Auftraggebers.
tl;dr
- Sorgfalt bei personenbezogenen Daten: AV-Vertrag, Drittlandsregelungen für Datenexporte beachten und transparente Datenschutzerklärung.
- Vertragliche KI-Klauseln auch bei nicht-personenbezogenen Daten nutzen.
- Keine Nutzung von Kundendaten für KI-Training oder andere eigene Zwecke, ohne ausdrückliche Zustimmung.
- KI-Kompetenz bei den eigenen Mitarbeitenden ist nicht nur verpflichtend. Sie stellt auch sicher, dass alle vertraglichen und rechtlichen Anforderungen eingehalten werden.
Fazit:
KI-gestützte Tools bieten enorme Vorteile in der Beratung, dürfen aber nicht ohne Weiteres eingebunden werden. Mit einer Kombination aus vertraglicher Transparenz, datenschutzrechtlicher Absicherung und bewusster Tool-Auswahl können Unternehmen rechtssicher von LLMs profitieren.
Als spezialisierte Kanzlei im IT- und Datenschutzrecht unterstützen wir Unternehmen dabei, den Einsatz von KI rechtssicher zu gestalten – von der Prüfung und Anpassung bestehender Verträge über die Erstellung verbindlicher Richtlinien bis hin zu Schulungen zur KI-Kompetenz Ihrer Mitarbeitenden.
