Ein US-Bundesrichter hat entschieden, dass KI-Chatverläufe als Beweismittel beschlagnahmt werden können. Für Unternehmen – auch in Deutschland – entsteht damit eine neue Kategorie rechtlicher Risiken, die Compliance-Teams ab sofort auf die Agenda setzen müssen.
KI-Chatverläufe als Beweismittel: Was ein US-Urteil für Unternehmen bedeutet
Ein US-Bundesrichter in New York hat entschieden, dass Gespräche mit KI-Assistenten von Staatsanwälten als Beweismittel beschlagnahmt werden können. Mehr als ein Dutzend großer Anwaltskanzleien haben daraufhin ihre Mandanten gewarnt. Compliance-Abteilungen stehen nun vor einer neuen Kategorie rechtlicher Risiken.
Das Urteil und seine unmittelbaren Folgen
Das Urteil stellt klar: Chatverläufe mit Large Language Models unterliegen keinem grundsätzlichen rechtlichen Schutz, der ihre Nutzung als Beweismittel in Strafverfahren verhindert. Konkret bedeutet das, dass Ermittlungsbehörden unter bestimmten Voraussetzungen Zugriff auf gespeicherte Konversationen mit KI-Diensten wie ChatGPT, Copilot oder ähnlichen Plattformen beantragen können – sofern diese für ein Verfahren relevant erscheinen.
Führende US-Kanzleien empfehlen bereits: Sensible geschäftliche oder rechtlich relevante Informationen sollten nicht über kommerzielle KI-Dienste kommuniziert werden – Anbieter können zur Herausgabe der Daten verpflichtet werden.
Welche Daten konkret betroffen sind
Das Problem liegt in der Architektur der meisten kommerziellen KI-Plattformen: Nutzeranfragen werden serverseitig verarbeitet und – je nach Datenschutzeinstellungen – dauerhaft oder temporär gespeichert. Wer also im Chatfenster eines KI-Dienstes Fragen zu folgenden Themen stellt, hinterlässt potenziell verwertbare digitale Spuren:
- Vertragsgestaltungen
- Finanzentscheidungen
- Personalmaßnahmen
- Interne Konflikte
Für Unternehmen relevant ist dabei nicht nur das Strafrecht. Auch in zivilrechtlichen Auseinandersetzungen – etwa bei Streitigkeiten zwischen Geschäftspartnern oder in arbeitsrechtlichen Verfahren – könnten solche Daten durch Discovery-Prozesse zugänglich werden. Dieses Instrument der Beweisermittlung ist im US-amerikanischen Recht besonders weitreichend.
Der Umgang mit KI-Anbietern und deren Datenpraktiken
Nicht alle KI-Dienste speichern Daten in gleichem Umfang. Enterprise Agreements sehen häufig vor, dass Konversationsdaten nicht für das Training verwendet und nach definierten Fristen gelöscht werden. Dennoch schließt auch das eine staatliche Zugriffsanordnung nicht kategorisch aus.
Ob Datenschutzzusagen von KI-Anbietern im Fall einer behördlichen Anforderung standhalten, hängt entscheidend von der jeweiligen Rechtsordnung und dem Serverstandort ab.
Einige Anbieter bieten mittlerweile explizit datenschutzkonforme Varianten an, bei denen keine Logs gespeichert werden – doch auch diese Zusagen sind keine Garantie.
Was Compliance-Teams jetzt prüfen sollten
Rechtlich arbeiten Unternehmen in Deutschland nach einer anderen Rechtsordnung als in den USA – doch die Implikationen sind nicht auf den amerikanischen Markt beschränkt. Wer US-Geschäftspartner hat, Daten auf US-amerikanischen Servern verarbeitet oder in US-Märkten tätig ist, kann von US-Ermittlungsmaßnahmen erfasst werden.
Für deutsche Unternehmen ergibt sich ein konkreter Handlungsbedarf. Compliance-Teams sollten jetzt prüfen:
- Welche KI-Tools sind im Unternehmen im Einsatz?
- Wo werden die jeweiligen Daten gespeichert?
- Welche vertraglichen Regelungen bestehen mit den Anbietern?
- Gibt es interne Richtlinien, die festlegen, welche Informationskategorien nicht über externe KI-Dienste kommuniziert werden dürfen?
Betriebe, die bereits DSGVO-konforme Richtlinien für den KI-Einsatz etabliert haben, verfügen über eine gute Ausgangsbasis – müssen diese aber um die Dimension der rechtlichen Verwertbarkeit erweitern.
Das Thema gehört ab sofort gemeinsam auf die Agenda von Rechts- und IT-Abteilungen.
Quelle: Decrypt AI