Rechtliche Aspekte bei selbst gehosteten LLMs: Eigennutzung vs. Dienstleistungsangebot

Die Implementierung und Nutzung selbst gehosteter Large Language Models (LLMs) eröffnet vielfältige Möglichkeiten, birgt jedoch auch erhebliche rechtliche Herausforderungen. Diese variieren signifikant je nach Anwendungsszenario und erfordern eine differenzierte Betrachtung. Im Folgenden werden die zentralen juristischen Aspekte sowohl für die Eigennutzung als auch für das Angebot als Dienstleistung an Dritte erörtert. Dabei wird deutlich, dass die rechtlichen Implikationen weit über oberflächliche Überlegungen hinausgehen und eine fundierte juristische Analyse unabdingbar machen. Die Komplexität der Materie unterstreicht die Notwendigkeit einer professionellen rechtlichen Begleitung, um potenzielle Risiken zu minimieren und Compliance sicherzustellen.

Eigennutzung von selbst gehosteten LLMs

Bei der ausschließlichen Eigennutzung eines selbst gehosteten LLM präsentiert sich die rechtliche Ausgangslage zunächst als vergleichsweise überschaubar. Dennoch existieren diverse juristische Fallstricke, die einer sorgfältigen Prüfung bedürfen. Die folgenden Aspekte sollten hierbei besondere Berücksichtigung finden:

1. Lizenzbestimmungen:
   Die genaue Prüfung der Lizenzbestimmungen des verwendeten LLM ist von essenzieller Bedeutung. Häufig unterliegen diese Modelle restriktiven Nutzungsbedingungen, die eine kommerzielle Verwertung ausschließen oder einschränken. Eine Missachtung dieser Bestimmungen kann schwerwiegende rechtliche Konsequenzen nach sich ziehen, einschließlich potenzieller Schadensersatzforderungen oder Unterlassungsansprüche. Es empfiehlt sich daher, die Lizenzvereinbarungen einer detaillierten juristischen Analyse zu unterziehen und gegebenenfalls Rücksprache mit dem Lizenzgeber zu halten.
2. Datenschutzrechtliche Aspekte:
   Auch bei der Eigennutzung ist die Beachtung datenschutzrechtlicher Vorschriften unerlässlich. Dies gilt insbesondere für die Verarbeitung personenbezogener Daten, die in Prompts oder Outputs vorkommen können. Die Implementierung technischer und organisatorischer Maßnahmen zur Gewährleistung der Datensicherheit ist hierbei von zentraler Bedeutung. Zudem sollte eine Dokumentation der Datenverarbeitungsvorgänge erfolgen, um im Bedarfsfall die Einhaltung der datenschutzrechtlichen Vorgaben nachweisen zu können.
3. Urheberrechtliche Implikationen:
   Die vom LLM generierten Inhalte können urheberrechtlich geschützte Elemente enthalten. Eine sorgfältige Prüfung vor der Weiterverwendung ist daher unerlässlich, um potenzielle Urheberrechtsverletzungen zu vermeiden. Dies umfasst sowohl die Analyse des Outputs auf geschützte Werkteile als auch die Beachtung möglicher Schutzrechte an den Trainingsdaten des LLM. Im Zweifelsfall sollte eine urheberrechtliche Bewertung durch einen Fachanwalt für Urheberrecht erfolgen.
4. Haftungsrisiken:
   Bei der Verwendung von LLM-generierten Inhalten für geschäftliche Entscheidungen ist eine sorgfältige Abwägung der potenziellen Haftungsrisiken geboten. Die Verlässlichkeit und Akkuratheit der KI-generierten Informationen sollte kritisch hinterfragt werden. Es empfiehlt sich, interne Richtlinien für den Umgang mit LLM-Outputs zu etablieren und Entscheidungsprozesse zu dokumentieren. Zudem sollte eine Haftpflichtversicherung in Betracht gezogen werden, die explizit Schäden durch KI-Systeme abdeckt.
5. Compliance-Anforderungen:
   Je nach Branche und Verwendungszweck können spezifische Compliance-Anforderungen gelten, die auch bei der Eigennutzung zu beachten sind. Dies kann beispielsweise regulatorische Vorgaben im Finanzsektor oder im Gesundheitswesen betreffen. Eine umfassende Compliance-Prüfung unter Berücksichtigung der branchenspezifischen Regularien ist daher unerlässlich. Die Implementierung eines robusten Compliance-Management-Systems kann helfen, regulatorische Risiken zu minimieren.
6. IT-Sicherheit:
   Die Implementierung angemessener Sicherheitsmaßnahmen ist auch bei der Eigennutzung von zentraler Bedeutung. Dies umfasst nicht nur technische Aspekte wie Firewalls und Verschlüsselung, sondern auch organisatorische Maßnahmen wie Zugriffskontrollen und Mitarbeiterschulungen. Ein umfassendes IT-Sicherheitskonzept sollte entwickelt und regelmäßig auf seine Wirksamkeit überprüft werden. Dabei sind insbesondere die spezifischen Risiken zu berücksichtigen, die sich aus der Nutzung von KI-Systemen ergeben.
7. Dokumentation und Nachvollziehbarkeit:
   Eine detaillierte Dokumentation der LLM-Nutzung ist dringend anzuraten, insbesondere wenn die generierten Inhalte für wichtige Entscheidungen herangezogen werden. Dies dient nicht nur der internen Nachvollziehbarkeit, sondern kann auch im Falle rechtlicher Auseinandersetzungen von entscheidender Bedeutung sein. Es sollten Protokolle über die Art der Nutzung, die verwendeten Prompts und die generierten Outputs geführt werden. Zudem empfiehlt sich die Implementierung eines Versionsmanagements für das LLM, um Veränderungen im Systemverhalten nachverfolgen zu können.
8. Ethische Überlegungen:
   Obgleich keine unmittelbare rechtliche Verpflichtung besteht, sollten ethische Aspekte bei der Nutzung von KI-Systemen berücksichtigt werden. Dies kann langfristig zur Risikominimierung beitragen und die Akzeptanz der Technologie fördern. Die Entwicklung interner Ethik-Richtlinien für den Umgang mit KI kann hierbei hilfreich sein. Zudem sollte eine regelmäßige Überprüfung der LLM-Outputs auf mögliche Verzerrungen oder diskriminierende Inhalte erfolgen.

Angebot als Dienstleistung an Dritte

Die Bereitstellung eines selbst gehosteten LLM als Dienstleistung für Dritte erhöht die rechtlichen Anforderungen erheblich und erfordert eine umfassende juristische Betrachtung. Folgende Aspekte sind hierbei von besonderer Relevanz:

1. Datenschutz-Grundverordnung (DSGVO):
   Als Anbieter einer KI-Dienstleistung werden Sie zum Verantwortlichen im Sinne der DSGVO, was weitreichende Verpflichtungen nach sich zieht. Dies umfasst die Erstellung umfassender Datenschutzerklärungen, die Führung von Verarbeitungsverzeichnissen und gegebenenfalls die Durchführung von Datenschutz-Folgenabschätzungen. Zudem müssen technische und organisatorische Maßnahmen implementiert werden, um die Sicherheit der verarbeiteten Daten zu gewährleisten. Die Bestellung eines Datenschutzbeauftragten kann erforderlich sein. Es empfiehlt sich, ein umfassendes Datenschutzmanagement-System zu etablieren und regelmäßig externe Audits durchzuführen.
2. Vertragsgestaltung:
   Die Ausarbeitung präziser vertraglicher Vereinbarungen mit den Nutzern ist von zentraler Bedeutung. Diese sollten den Leistungsumfang detailliert definieren, Haftungsbeschränkungen klar formulieren und umfassende Nutzungsbedingungen festlegen. Besonderes Augenmerk sollte auf die Regelung von Gewährleistungsansprüchen und die Festlegung von Service-Level-Agreements gelegt werden. Die Verträge sollten zudem Klauseln zur Datenverarbeitung, zum geistigen Eigentum und zur Vertraulichkeit enthalten. Eine regelmäßige Überprüfung und Anpassung der Vertragswerke an sich ändernde rechtliche Rahmenbedingungen ist unerlässlich.
3. Haftungsrisiken:
   Das Haftungsrisiko bei der Bereitstellung von KI-Dienstleistungen ist erheblich und erfordert eine sorgfältige Risikoanalyse. Die Implementierung eines robusten Risikomanagement-Systems ist dringend anzuraten. Dies umfasst die Identifikation potenzieller Schadenszenarien, die Entwicklung von Präventionsmaßnahmen und die Erarbeitung von Notfallplänen. Der Abschluss einer spezialisierten Haftpflichtversicherung, die explizit Schäden durch KI-Systeme abdeckt, sollte in Erwägung gezogen werden. Zudem empfiehlt sich die Einrichtung eines internen Monitoringsystems zur frühzeitigen Erkennung potenzieller Haftungsrisiken.
4. Urheberrechtliche Aspekte:
   Die urheberrechtliche Situation bei KI-generierten Inhalten ist komplex und teilweise noch ungeklärt. Es muss sichergestellt werden, dass die Nutzung und Weitergabe der vom LLM generierten Inhalte urheberrechtlich zulässig ist. Dies erfordert eine sorgfältige Prüfung der Trainingsmaterialien des LLM sowie eine klare vertragliche Regelung bezüglich der Rechte an den generierten Outputs. Die Implementierung technischer Maßnahmen zur Erkennung potenziell urheberrechtlich geschützter Inhalte im Output des LLM kann sinnvoll sein. Zudem sollten klare Richtlinien für die Nutzer bezüglich der urheberrechtlichen Verantwortlichkeiten erstellt werden.
5. IT-Sicherheit und Datenschutz:
   Die Implementierung umfassender Sicherheitsmaßnahmen ist unerlässlich, um die Daten der Nutzer zu schützen und unbefugten Zugriff zu verhindern. Dies umfasst sowohl technische Maßnahmen wie Verschlüsselung und Firewalls als auch organisatorische Vorkehrungen wie Zugriffskontrollen und Mitarbeiterschulungen. Die Entwicklung eines umfassenden Informationssicherheits-Managementsystems (ISMS) nach ISO 27001 sollte in Betracht gezogen werden. Regelmäßige Sicherheitsaudits und Penetrationstests sind durchzuführen, um die Wirksamkeit der Schutzmaßnahmen zu überprüfen. Zudem sollte ein Incident-Response-Plan für den Fall von Datenschutzverletzungen oder Sicherheitsvorfällen etabliert werden.
6. Transparenz und Informationspflichten:
   Es besteht die Notwendigkeit, klare und verständliche Informationen darüber bereitzustellen, dass es sich um ein KI-System handelt. Die Nutzer müssen über die Grenzen und Risiken der Technologie aufgeklärt werden. Dies umfasst Informationen über mögliche Fehlerquellen, Verzerrungen in den Ergebnissen und die Grenzen der Verlässlichkeit des Systems. Die Entwicklung einer umfassenden Kommunikationsstrategie, die sowohl rechtliche als auch ethische Aspekte berücksichtigt, ist ratsam. Regelmäßige Updates und Schulungen für die Nutzer können dazu beitragen, das Verständnis für die Möglichkeiten und Grenzen des Systems zu verbessern.
7. Qualitätssicherung und Systemüberwachung:
   Die Etablierung eines robusten Qualitätsmanagementsystems ist unerlässlich, um die Zuverlässigkeit und Sicherheit der Dienstleistung zu gewährleisten. Dies umfasst regelmäßige Überprüfungen und Updates des Systems sowie die Implementierung von Feedback-Mechanismen zur kontinuierlichen Verbesserung. Die Entwicklung von Key Performance Indicators (KPIs) zur Messung der Systemleistung und -qualität ist ratsam. Zudem sollte ein Monitoring-System implementiert werden, das Anomalien im Systemverhalten frühzeitig erkennt und automatisierte Alarmmechanismen auslöst. Die Einrichtung eines dedizierten Teams für die kontinuierliche Überwachung und Optimierung des LLM kann sinnvoll sein.
8. Branchenspezifische Compliance:
   Je nach Anwendungsfall und Zielgruppe können zusätzliche regulatorische Anforderungen gelten, die es zu erfüllen gilt. Dies kann beispielsweise spezifische Vorgaben für den Finanzsektor, das Gesundheitswesen oder die öffentliche Verwaltung betreffen. Eine umfassende Analyse des regulatorischen Umfelds und die Entwicklung eines maßgeschneiderten Compliance-Programms sind unerlässlich. Die Zusammenarbeit mit Branchenverbänden und Regulierungsbehörden kann hilfreich sein, um aufkommende regulatorische Trends frühzeitig zu erkennen und zu adressieren. Die Implementierung eines Compliance-Management-Systems, das regelmäßig auf seine Wirksamkeit überprüft wird, ist dringend anzuraten.

Fazit und Handlungsempfehlung

Die Nutzung selbst gehosteter LLMs, sei es zur Eigennutzung oder als Dienstleistung für Dritte, eröffnet vielfältige Möglichkeiten, birgt jedoch auch erhebliche rechtliche Herausforderungen. Die Komplexität der Materie und die sich stetig weiterentwickelnde Rechtslage erfordern eine kontinuierliche juristische Begleitung und Anpassung der Compliance-Strategien. Es ist dringend anzuraten, frühzeitig fachkundige rechtliche Beratung in Anspruch zu nehmen, um potenzielle Risiken zu identifizieren und geeignete Schutzmaßnahmen zu implementieren. Ein proaktiver Ansatz in der rechtlichen Gestaltung kann nicht nur Compliance sicherstellen, sondern auch einen Wettbewerbsvorteil darstellen. Die Entwicklung einer ganzheitlichen Strategie, die technische, organisatorische und rechtliche Aspekte integriert, ist der Schlüssel zur erfolgreichen und rechtssicheren Implementierung von LLM.

Author: Marian Härtel

Marian Härtel ist Rechtsanwalt und Fachanwalt für IT-Recht mit einer über 25-jährigen Erfahrung als Unternehmer und Berater in den Bereichen Games, E-Sport, Blockchain, SaaS und Künstliche Intelligenz. Seine Beratungsschwerpunkte umfassen neben dem IT-Recht insbesondere das Urheberrecht, Medienrecht sowie Wettbewerbsrecht. Er betreut schwerpunktmäßig Start-ups, Agenturen und Influencer, die er in strategischen Fragen, komplexen Vertragsangelegenheiten sowie bei Investitionsprojekten begleitet. Dabei zeichnet sich seine Beratung durch einen interdisziplinären Ansatz aus, der juristische Expertise und langjährige unternehmerische Erfahrung miteinander verbindet. Ziel seiner Tätigkeit ist stets, Mandanten praxisorientierte Lösungen anzubieten und rechtlich fundierte Unterstützung bei der Umsetzung innovativer Geschäftsmodelle zu gewährleisten.