KI-Einsatz in Anwaltskanzleien und Unternehmen
Effizienz und gute Arbeitsorganisation wird in der modernen Rechtspraxis regelmässig vorausgesetzt. Die juristische Branche erlebt eine Transformation, die massgeblich durch die Integration von Künstlicher Intelligenz (KI) beeinflusst wird. Anwaltskanzleien stehen vor der Herausforderung, effektive und sichere KI-Lösungen zu implementieren, um ihre Effizienz zu steigern und gleichzeitig die Qualität ihrer Dienstleistungen zu verbessern.
Anwendungen von KI-Lösungen in der Anwaltskanzlei sind sowohl bezüglich den eigentlichen Anwaltstätigkeiten als auch bezüglich internen Kanzleiprozessen daher immer verbreiteter. Welche besonderen Überlegungen man sich dabei machen sollte wird im folgenden Artikel dargestellt. Die Überlegungen lassen sich selbstverständlich auch für andere Branchen und Unternehmen verwenden.
Datenschutz
Einer der ersten Gedanken bei der Anwendung von KI gilt üblicherweise dem Datenschutz. Unstreitig gilt auch für KI-Anwendungen das (Schweizer) Datenschutzgesetz (DSG). Möglicherweise gilt gar die deutlich strengere DSGVO, was jeweils im Einzelfall zu prüfen wäre.
Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte hielt in einer Medienmittelung fest, dass bei der Entwicklung von KI-Anwendungen und bei der Planung ihres Einsatzes sicherzustellen sei, dass die betroffenen Personen über ein möglichst hohes Mass an digitaler Selbstbestimmung verfügen. Dies zieht die Frage nach sich, ob beim Einsatz von KI immer eine Datenschutz-Folgenabschätzung (DSFA) stattfinden muss.
Bei einem hohen Risiko für die betroffene Persönlichkeit oder die Grundrechte ist vom Verantwortlichen vorgängig eine DSFA zu erstellen (Art. 22 Abs. 1 DSG). Ein hohes Risiko ergibt sich bei der umfangreichen Bearbeitung von besonders schützenswerten Personendaten (dies sind nebst Daten zu persönlichen Ansichten, Tätigkeiten, Gesundheit, Intimsphäre, etc., auch Daten über verwaltungsrechtliche und strafrechtliche Verfolgung oder Sanktionen) oder wenn systematisch umfangreich öffentliche Bereiche überwacht werden (Art. 22 Abs. 2 DSG). Der Gesetzestext ist insofern eindeutig und stützt die Auffassung von Rosenthal – jedenfalls für private Datenbearbeiter. Bundesorgane werden eine DSFA erstellen müssen, wenn die Grundrechte betroffen sind (Botschaft zum DSG, Seite 7059).
Die Botschaft zum DSG (S. 7059 f) stellt (ebenso wie der EDÖB) auf die informationelle Selbstbestimmung sowie das Recht auf Privatsphäre ab.
«In Bezug auf Daten bedeutet Autonomie insbesondere, selbständig über die persönlichen Daten verfügen zu können und nicht annehmen zu müssen, dass diese sich in unbekannter Menge in den Händen einer Vielzahl von Drittpersonen befinden, welche darüber unbeschränkt verfügen können.»
Das ist aber gerade bei dem Input von Personendaten einer bestimmten Person in eine KI der Fall, zumal die KI in der Lage ist, Daten einer bestimmten Person zusammenzuführen und zu kategorisieren und damit ein umfassendes Bild einer Person zu erstellen.
Ich zitiere weiter aus der Botschaft und biege in die rechtliche Zielgerade ein:
«Von einem hohen Risiko ist grundsätzlich auszugehen, wenn die spezifischen Eigenschaften der geplanten Datenbearbeitung darauf schliessen lassen, dass die Verfügungsfreiheit der betroffenen Person über ihre Daten in hohem Masse eingeschränkt wird oder werden kann. Das hohe Risiko kann sich beispielsweise ergeben aus der Art der bearbeiteten Daten bzw. deren Inhalt (z. B. besonders schützenswerte Daten), der Art und dem Zweck der Datenbearbeitung (z. B. Profiling),der Menge an bearbeiteten Daten, der Übermittlung in Drittstaaten (z. B. wenn die ausländische Gesetzgebung keinen angemessenen Schutz gewährleistet) oder wenn eine grosse oder gar unbegrenzte Anzahl Personen auf die Daten zugreifen können.»
Demnach wäre also bei der Möglichkeit von Profiling durch KI-Systeme (d.h. die automatisierte Bearbeitung von Personendaten, um wesentliche Aspekte einer Persönlichkeit zu beurteilen) sowie bei der Übermittlung in einen Drittstatt ohne angemessenes Datenschutzniveau eine DSFA vorzunehmen. Da aus Sicht der Schweiz die USA (und da werden wohl die meisten KI-Systeme gehostet) KEIN angemessenes Datenschutzniveau gewährleisten (Stand: 01/2024), braucht es daher in diesen Fällen eine DSFA.
Einschätzung - Datenschutz
Wenn mit der KI keine Personendaten, sondern nur Sach- oder Informationsdaten bearbeitet werden, dann besteht auch kein Risiko. Wenn aber bei KI-Systemen Personendaten bearbeitet werden, ist jeweils zu prüfen, ob eine DSFA zu erstellen ist. Denn es besteht nach meiner Auffassung ein hohes Risiko für die betroffene Person, denn es werden Personendaten gespeichert und diese könnten zum späteren Profiling genutzt werden. Denn die technischen Möglichkeiten von Profiling und Datenherrschaft durch KI werden erheblich fortschreiten und m.E. ist nicht ausgeschlossen ist, dass einmal eingegebene Personendaten nicht später doch verwendet und zusammengeführt werden, denn Daten bleiben «das Gold des 21. Jahrhunderts». Art. 22 Abs. 2 DSG konkretisiert weiter, in welchen Fällen eine DSFA zu erstellen ist. Zu welchem Ergebnis die DSFA im konkreten Fall kommt, hängt dann von dem konkreten Einsatzgebiet, der Anzahl der Personendaten, der Technik usw. ab.
Takeaways - Datenschutz
Vor dem Einsatz von KI-System rechtlich abklären lassen, ob eine DSFA zu erstellen ist
Datenübertragung in Drittstatten prüfen (angemessenes Datenschutzniveau?)
Prüfen, ob KI-Agenten ohne Datenübertragung z.B. on premise im Unternehmen eingesetzt werden können, so dass die Datenhoheit erhalten bleibt
Über Verarbeitung von Personendaten ist vorab zu informieren (Datenschutzerklärung), bei besonders schützenswerten Personendaten ist die Einwilligung beim Klienten einzuholen
DSG schützt das Recht auf informationelle Selbstbestimmung – das sollte jedes Unternehmen berücksichtigen
Urheberrecht
Ein weiteres Thema, welches im Zusammenhang mit KI-Lösungen beschäftigt ist das Urheberrecht bei dem Training, der Nutzung und dem Output von KI-Tools.
Nicht erst seit der Klage der New York Times oder von Schriftstellern wie John Grisham oder George R.R. Martin stellt sich die Frage, ob die Verwendung von Daten als Trainingsdaten eine Verletzung des Urheberrechts darstellt. Diese Frage ist ungeklärt und wird letztlich gerichtlich entschieden werden.
Interessanterweise hat ChatGPT in seinen Terms & Conditions (T&C) auf diese Diskussion reagiert. Während es noch im März 2023 hiess ("you own all input" - was natürlich rechtlich und faktisch nicht überzeugt), heisst es seit November 2023 "You are responsible for Content, including ensuring that it does not violate any applicable law...".
Das Urheberrecht bzw. Nutzungsrecht an fremden Werken (z.B. Bilder, Musik, Schriftwerke, Softwarecode) muss selbstverständlich bei der Eingabe und Nutzung in einem KI-Tool beachtet werden. Problematisch ist, dass der Verletzte kaum nachweisen kann, welche Werke für KI-Trainings widerrechtlich genutzt wurden. Es erschliesst sich aber nicht, warum das Urheberrecht bei KI-Tools nicht gelten soll, zumal durch die KI-Tools eine weitere Auswertung und Wertschöpfung erfolgt.
Nach derzeit relativ einhelliger Auffassung geniesst der Output eines von KI erzeugten Ergebnisses keinen Urheberechtsschutz, da es sich um keine menschliche Schöpfung handelt und zudem in vielen Fällen die Schöpfungshöhe fraglich sein dürfte. Die Schöpfungshöhe stellt quasi das kreative Element dar, d.h. nur wenn etwas eine gewisse Höhe an Kreativität aufweist, kann es auch Schöpfungshöhe haben.
Etwas anderes kann sich daraus ergeben, dass ein Mensch einen kreativen Input (Prompt) vornimmt und damit das KI-Ergebnis überhaupt erst erzielt werden kann. Soweit das Bundesgericht (BGE 130 III 168 E. 5.2.) entschieden hat, dass ein Foto des bekannten Sängers Bob Marley auf einem Konzert Urheberrechtsschutz geniessen kann, dürfte diese Rechtsprechung auch auf die KI-Eingabe zu übertragen sein. Der Fotograf des Bildnisses drückte im richtigen Moment auf den Auslöser und schuf damit ein eindrückliches Bildnis. Das überzeugte die Bundesrichter:
"... dass die Fotografie von Bob Marley ansprechend und interessant sei, und bezeichnet als Grund dafür die besondere Mimik und Haltung des Abgebildeten, vor allem die fliegenden Rasta-Locken und ihre an eine Skulptur gemahnenden Formen, wobei ein besonderer Akzent durch den Schatten gesetzt werde, den eine horizontal fliegende Locke auf das Gesicht werfe. [...] Dieser manifestiert sich in der Wahl des Bildausschnittes und dem Zeitpunkt des Auslösens der Bildaufnahme während eines bestimmten Bewegungsablaufs des Sängers."
Im richtigen Moment auf den Auslöser einer Kamera drücken (Bob Marley) ist nach meiner Auffassung ebenso schöpferisch wie eine kreative Eingabe bei einem KI-Tool, um ein bestimmtes, vielleicht schon in Gedanken überlegtes, Ergebnis zu erhalten - Fotoapparat und KI-Tool sind dann nur das Werkzeug der kreativen Schöpfung.
Eine weitere Auslegungshilfe, könnte die Heranziehung der Praxis zu den mit einem Computer erzeugten Werken (Computer als Werkzeug), z.B. im Bereich des Grafikdesigns, sein (BGer 4C.120/2002, E. 2).
Einschätzung – Urheberrecht
Der KI-Output kann Urheberrechtsschutz geniessen, wenn der Input hinreichend kreativ und mit Schöpfungshöhe ist. Urheber wäre derjenige, der den Input/Prompt eingegeben hat. Das KI-Tool ist nur das Werkzeug des kreativen Schöpfers, so dass der Output nach unserer Auffassung Urheberrechtsschutz geniessen kann.
Takeaways - Urheberrecht
Bei der Verwendung von KI-Tools das Urheber- und Nutzungsrecht an den Werken beachten.
Derzeit ungeklärt ist, ob das Training von KI-Tools mit urheberrechtlich geschützten Werken zulässig oder unzulässig ist. Hier besteht eine Rechtsunsicherheit.
Der Output kann Urheberschutz geniessen, wenn der Input auf einer besonderen kreativen Eingabe beruht und der Output Schöpfungshöhe hat.
Das Urheberrecht dürfte eines der spannendsten Themenfelder bei dem Einsatz von KI-Tools sein. Das war aber schon immer so (man erinnere sich nur an Kassetten und CD's und Digitalisierung).
Auftragsrecht und Hinweispflichten
Um es vorweg zu nehmen: Es gibt keine gesetzliche Vorgabe, dass der Auftragnehmer den Auftraggeber über den Einsatz von KI-Tools zu informieren hat, ABER: natürlich schreibt das Datenschutzgesetz Informationspflichten vor, die sich auch auf den Einsatz von KI-Tools beziehen (siehe EDÖB-Medienmitteilung).
Natürlich kann eine Informations- und Aufklärungspflicht ausdrücklich in einem Vertrag geregelt sein. Gerade bei IT-Verträgen bestehen oftmals schon heute umfassende Auskunfts- und Informationspflichten. Schlussendlich kann sich aber nach meiner Auffassung auch aus vertraglicher Nebenpflicht eine Pflicht bestehen, unaufgefordert dem Auftraggeber über wesentliche die Vertragsabwicklung betreffende Information zu geben. Die Nebenpflicht kann sich aus dem Gebot des Handelns nach Treu und Glauben (Art. 2 Abs. 1 ZGB) ergeben. Aus diesem Gebot abgeleitete Nebenpflichten sind namentlich Sorgfalts-, Obhuts-, Aufklärungs-, Informations- und Beratungspflichten (BSK ZGB-I-Lehmann/Honsell, Art. 2 N16).
Eine ungefragte Aufklärungspflicht über den Einsatz von KI-Anwendungen könnte für den Auftragnehmer bestehen, wenn der Auftraggeber davon ausgeht, dass die Leistung höchstpersönlich erbracht wird, das gebietet möglicherweise auch die Transparenzgepflogenheiten in einer guten und fairen geschäftlichen Zusammenarbeit. Ausreichend dürfte hier sein, in allgemeiner Form den Auftraggeber zu informieren, der Auftraggeber kann dann bei Interesse weiter nachfragen. Falls vorhanden, sollten Compliance-Frameworks und interne Arbeitsanweisungen enthalten, ob und wie Kunden und Klienten über den Einsatz von KI-Tools informiert werden sollen.
Denn letztendlich schafft Transparenz Vertrauen. Warum also nicht offensiv Vertragspartner und Klienten über den Einsatz von KI-Tools informieren? Es dürfte wohl auch der Erwartungshaltung von Klienten entsprechen, dass der Anwalt effizient schafft und sich KI-Tools bedient.
Wohl eher unbewusst hat das Bundesgericht (BGer 4A_305/2021) im Jahre 2021 als KI noch nicht in aller Diskussion war, entschieden, dass der Einsatz von KI-Tools auftragsrechtlich keine unzulässige Substituierung darstellt. Denn nach Art. 398 Abs. 3 OR hat der Auftragnehmer "das Geschäft persönlich zu besorgen", es sei denn, er ist zur Übertragung an einen Dritten ermächtigt. Das Bundesgericht kommt zu dem Schluss, dass mit «Dritten» im Sinne von Art. 398 Abs. 3 OR andere natürliche oder juristische Personen gemeint sind:
«Die Verwendung von Hilfsmitteln, wie beispielsweise eines Computers mit entsprechender Software, die das Market Making automatisiert durchführt, stellt keine Substitution dar, da diesen Hilfsmitteln keine Rechtspersönlichkeit zukommt.» (E 7.3.1 ).
Auf KI-Tools übertragen bedeutet diese Rechtsprechung: Der Einsatz von KI-Tools stellt keine unzulässige Substituierung dar, aber es gilt meines Erachtens das unter I. genannte hinsichtlich der Aufklärungs- und Informationspflichten.
Takeaways – Auftragsrecht und Hinweispflichten
Bei dem Einsatz von KI-Tools kann sich eine Informationspflicht aus dem DSG ergeben.
Eine Aufklärungs- und Auskunftspflicht kann sich ergeben, wenn dies vertraglich vereinbart ist.
Eine Informationspflicht kann sich nach meiner Auffassung aber aus Nebenpflicht ergeben, wenn der Auftraggeber die mensch-persönliche Auftragsdurchführung erwartet.
Der Einsatz von KI-Tools (in Anwaltskanzleien oder Unternehmen) stellt keine nach Art. 398 Abs. 3 OR unzulässige Substituierung dar.
Berufsgeheimnisschutz
Eine besondere Herausforderung bei dem Einsatz von KI-Tools stellt der Berufsgeheimnisschutz (z.B. für Anwälte, Ärzte) dar. Abgesehen von dem Vorgenanntem, besteht ein besonderes Vertrauen an die Verschwiegenheit. Die Verletzung der Berufsverschwiegenheit kann gar strafrechtlich geahndet werden. Das PDF-Dokument, z.B. einen Vertrag des Klienten in einen Online-Übersetzer einzustellen, ohne zuvor die Zustimmung von dem Klienten erhalten zu haben, ist bereits unzulässig, und stellt eine Verletzung der Verschwiegenheit dar. Daher ist für Anwältinnen und Anwälte die Einhaltung des Berufsgeheimnisses dringend einzuhalten, auch der eigenen Reputation wegen. Wir regen an, innerhalb der Kanzlei/Unternehmens Reglements für den Einsatz von KI-Tools und den Schutz der Klientendaten einzuführen.
Takeaways – Auftragsrecht und Hinweispflichten
Bei der Nutzung von KI-Tools ist das Berufsgeheimnis zu wahren oder der Klient vorgängig um Einwilligung anzufragen
Idealerweise haben Kanzleien und Unternehmen ein KI-Nutzungs-Reglement
Fazit
KI ist entwickelt worden, um zu bleiben und wird nach unserer Einschätzung erhebliche Auswirkungen auf die Berufs- und Lebenswelt haben. Die Beschaffung und der Einsatz müssen rechtlich abgesichert erfolgen, um Fehlinvestitionen zu vermeiden und das Vertrauen in die Anwaltschaft zu bewahren. Trotz neuer Technologien werden Anwaltskanzleien Berufstraditionen sowie das Anwaltsgeheimnis bewahren müssen. Die Arbeitsweise wird sich allerdings erheblich verändern: von einem oftmals aufwandbasierten zu einem ergebnisorientierten Modell. Dies bietet Chancen für Kanzleien und schafft Raum für innovative und neue Ideen. Insbesondere für kleine und mittelständische Kanzleien öffnen sich neue Märkte und Kunden, indem sie agiler arbeiten und mit Unterstützung von KI-Technologien neue Dienstleistungen und Produkte anbieten können.
Sven Kohlmeier hat gemeinsam mit Katja Böttcher einen Leitfaden für die Integration von künstlicher Intelligenz (KI) in Anwaltskanzleien geschrieben. Bei Fragen oder Anregungen zum Thema, steht Ihnen Sven Kohlmeier gerne zur Verfügung.