„Neben den Vorteilen wird die KI auch Gefahren mit sich bringen, wie zum Beispiel mächtige autonome Waffen oder neue Möglichkeiten für eine kleine Minderheit, die große Mehrheit zu unterdrücken.“
– Stephen Hawking
Generative KI ist längst kein Experiment mehr, sondern bereits fester Bestandteil des Unternehmensalltags. Von Marketing und Kundenbindung bis hin zu Bewerberauswahl und Risikoanalysen – Unternehmen setzen auf KI, um schneller voranzukommen und mit weniger Aufwand mehr zu erreichen. Die Vorteile sind real, aber die Risiken sind es auch.
In Südafrika ist die Verwendung personenbezogener Daten in diesen KI-Systemen keine Grauzone. Sie unterliegt eindeutig dem Gesetz zum Schutz personenbezogener Daten (POPIA). Aufsichtsbehörden, Vertragspartner und Gerichte erwarten von Unternehmen, dass sie nachweisen, dass sie nicht nur die gesetzlichen Bestimmungen verstehen, sondern auch praktische Sicherheitsvorkehrungen für den Einsatz von KI getroffen haben.
ANWENDUNG DES POPIA AUF DIE KI-VERARBEITUNG
Die Grundsätze des POPIA lassen sich nahtlos auf KI übertragen, doch Unternehmen übersehen oft, wie unmittelbar sie greifen. Jedes Mal, wenn personenbezogene Daten durch ein KI-Tool fließen – sei es in Eingabeaufforderungen, Trainingsdaten oder Ausgaben –, muss es einen rechtmäßigen Grund für deren Verwendung und einen klaren Bedarf dafür geben, warum diese Daten benötigt werden. Daten, die für den Kundensupport erhoben wurden, dürfen nicht einfach für das Modelltraining zweckentfremdet werden. Transparenz verlangt von Unternehmen, dass sie den Menschen in verständlicher Sprache erklären, wie ihre Daten verwendet werden. Und jedes Protokoll, jede Eingabeaufforderung oder jeder Output, der personenbezogene Daten enthält, muss vor Datenlecks, Manipulation oder Verlust geschützt werden.
Wenn KI-Modelle oder deren Daten im Ausland gehostet werden, kommen die grenzüberschreitenden Übertragungsvorschriften von POPIA zum Tragen. Das bedeutet, dass Unternehmen von Anbietern verbindliche Zusicherungen darüber benötigen, wo sich die Daten befinden, wie sie behandelt werden und was passiert, wenn etwas schiefgeht.
WESENTLICHE RECHTLICHE RISIKEN UND FEHLERQUELLEN
Das offensichtlichste rechtliche Risiko besteht in unrichtigen oder irreführenden Inhalten, in denen eine reale Person namentlich genannt oder beschrieben wird. Eine haltlose Behauptung oder eine falsche Zuschreibung kann zu unrechtmäßiger Datenverarbeitung, Verleumdung oder Verstößen gegen Vorschriften führen. Das tiefgreifendere Risiko ist die Undurchsichtigkeit. Wenn ein Unternehmen nicht erklären kann, welche Daten auf welcher Rechtsgrundlage verwendet wurden und wer die Ergebnisse überprüft hat, wird es Schwierigkeiten haben, sich gegenüber einer Aufsichtsbehörde, einem Gericht oder sogar der Öffentlichkeit zu verteidigen. Schwache Verträge mit KI-Anbietern verschärfen das Problem: Ohne klare Betreibervereinbarungen können Daten ohne angemessene Kontrolle über Grenzen hinweg oder an Unterauftragsverarbeiter weitergegeben werden.
ANFORDERUNGEN AN DIE GOVERNANCE FÜR EINEN VERANTWORTUNGSBEWUSSTEN EINSATZ
Gute Governance muss nicht schwerfällig sein. Was sie jedoch erfordert, sind Klarheit und Dokumentation. Unternehmen sollten zumindest eine vom Vorstand genehmigte KI-Richtlinie einführen, die Grenzen für die Nutzung festlegt, verbotene Praktiken benennt und Verantwortlichkeiten zuweist. Risikoreichere Anwendungsfälle wie öffentliche Kommunikation, Kundenprofilierung oder sicherheitskritische Ergebnisse erfordern eine formelle Bewertung, in der die Rechtsgrundlage, die Datenquellen, die Punkte für die menschliche Überprüfung und die Sicherheitsvorkehrungen festgelegt werden.
Menschliche Aufsicht ist unverzichtbar für alles, was den Ruf schädigen oder rechtliche Risiken mit sich bringen könnte. Verträge mit KI-Anbietern sollten die Verpflichtungen gemäß POPIA widerspiegeln, einschließlich Benachrichtigungen bei Datenschutzverletzungen, Sicherheitsmaßnahmen und Verpflichtungen zur Löschung. Und jede Entscheidung oder Genehmigung sollte einen Prüfpfad hinterlassen, der zeigt, dass das Unternehmen verantwortungsbewusst gehandelt hat.
DESINFORMATION ALS UNTERNEHMENSRISIKO
Generative KI hat Desinformation zudem kostengünstiger, schneller und schwerer zu erkennen gemacht. Gefälschte Aussagen von Führungskräften, erfundene Bewertungen und manipulierte Bilder können sich innerhalb von Minuten über digitale Kanäle verbreiten. Dies ist nicht nur ein Kommunikationsproblem, sondern ein Governance-Risiko.
Die richtige Herangehensweise verbindet Überwachung mit Bereitschaft. Unternehmen sollten über einen funktionsübergreifenden Leitfaden verfügen, der die Bereiche Recht, IT-Sicherheit und Unternehmenskommunikation miteinander verknüpft und festlegt, wer handelt, wie falsche Inhalte überprüft werden und wie mit Aufsichtsbehörden, Investoren und Kunden kommuniziert wird. Schnelligkeit und Genauigkeit sind entscheidend – ohne einen Plan werden selbst gut ausgestattete Unternehmen unvorbereitet erwischt.
PRAKTISCHER BEREITSCHAFTSTEST
Eine einfache Methode, um den Reifegrad zu messen, besteht darin, drei Fragen zu stellen: –
- Auf welcher Rechtsgrundlage verarbeiten wir personenbezogene Daten bei jedem KI-Anwendungsfall?
- Wer hat jede öffentlich zugängliche KI-Ausgabe geprüft und genehmigt, und wo wird diese Aufzeichnung aufbewahrt?
- Wenn sich heute Abend eine von der KI generierte Falschmeldung über unser Unternehmen verbreitet, was genau geschieht dann in den nächsten Stunden?
Wenn die Antwort auf eine dieser Fragen unklar ist, liegt das Problem nicht in der Technologie, sondern in der Governance.
SCHLUSSFOLGERUNGEN
Generative KI wird Handel, Kommunikation und Compliance ebenso tiefgreifend verändern wie das Internet vor einer Generation. Doch sie hebt bestehende Pflichten nicht auf, sondern verschärft sie. Das POPIA bleibt das maßgebliche Gesetz für personenbezogene Daten, und die Gerichte werden Innovation nicht als Entschuldigung für Nachlässigkeit ansehen. Unternehmen, die KI einsetzen, ohne Rechtsgrundlage, Zweckbindung, Sicherheit und Rechenschaftspflicht in ihr Design zu integrieren, setzen sich der Gefahr von Verstößen gegen Vorschriften, Vertragsstreitigkeiten und Reputationsschäden aus.
Die Frage in den Vorstandsetagen lautet nicht mehr, ob KI eingesetzt werden soll, sondern ob sie verantwortungsvoll eingesetzt wird. Kunden, Regulierungsbehörden und der Markt werden Unternehmen nicht an ihrer Innovationsfreude messen, sondern an ihrer Fähigkeit, bei der Einführung von KI Kontrolle, Weitsicht und Integrität zu demonstrieren. Desinformation ist keine theoretische Bedrohung, sondern bereits eine Waffe auf dem Markt, und Unternehmen, die nicht schnell und rechtskonform auf falsche Darstellungen reagieren können, riskieren, das Vertrauen der Verbraucher und der Investoren über Nacht zu verlieren.
Erfolgreich sein werden jene Unternehmen, die Innovation mit guter Unternehmensführung verbinden: indem sie ihre Entscheidungen dokumentieren, den Menschen in den Entscheidungsprozess einbeziehen, intelligente Verträge mit Anbietern abschließen und ihre Reaktion auf simulierte Krisen üben, bevor diese eintreten. In diesem Bereich ist Disziplin kein Hemmnis für den Fortschritt, sondern das Fundament, das eine mutige Umsetzung erst möglich macht. KI ist nicht mehr wegzudenken. Die einzige wirkliche Frage ist, ob Ihr Unternehmen Compliance und Glaubwürdigkeit als strategische Vermögenswerte betrachtet oder sie im Streben nach Schnelligkeit aufs Spiel setzt.
