Künstliche Intelligenz (KI)

Ein System der künstlichen Intelligenz ist in der Lage sich neuen Umgebungen anzupassen und sich zu verändern. Besser trifft das Merkmal „deep machine learning“ das Phänomen der KI. Bei Systemen der KI lässt sich deren Verhalten nicht vorhersehen. Diese Unvorhersehbarkeit führt zu einer Vielzahl von rechtlichen Fragestellungen und technischen Anforderungen. Aufgrund der Unvorhersehbarkeit des Verhaltens der eingesetzten Systeme geht für den Anwender und Nutzer die Transparenz der IT-Systeme verloren („Black Box“).

Systeme mit künstlicher Intelligenz müssen trainiert werden und deren Verhalten muss auf einer soliden Datenbasis beruhen. Die Güte der Datenqualität ist entscheidend für die Qualität des Systems der künstlichen Intelligenz. Weiterhin sind komplexe und differenzierte Algorithmen erforderlich, um das Training des Systems der KI auf einem hohen qualitativen und quantitativen Level zu gewährleisten und stetige Lernerfolge des Systems der KI sicherzustellen.

Der Einsatz von KI fällt in der Regel unter die Datenschutz-Grundverordnung (DSGVO), sobald personenbezogene Daten verarbeitet werden. Das betrifft nicht nur offensichtliche Daten wie Namen oder Adressen, sondern auch indirekt identifizierende Daten wie IP-Adressen, Standortdaten oder Nutzerprofile.

Besonders relevant sind folgende Grundsätze:

  • Rechtmäßigkeit der Verarbeitung (Art. 6 DSGVO): Es muss immer eine Rechtsgrundlage vorliegen, bspw. Einwilligung, Vertragserfüllung, rechtliche Verpflichtung oder berechtigtes Interesse.
  • Zweckbindung und Datenminimierung (Art. 5 Abs. 1 lit. b und c DSGVO): Daten dürfen nur für den festgelegten Zweck verarbeitet und nicht übermäßig gesammelt werden. KI-Systeme benötigen häufig personenbezogene Daten. Ohne klare Regeln drohen Verstöße gegen die DSGVO.
  • Transparenz und Nachvollziehbarkeit: Betroffene haben Anspruch auf verständliche Informationen über KI-gestützte Entscheidungen.
  • Integrität und Vertraulichkeit (Art. 32 DSGVO): Unternehmen müssen durch geeignete technische und organisatorische Maßnahmen die Sicherheit der Daten gewährleisten.
  • Regulatorische Entwicklungen: Mit dem EU AI Act verschärfen sich die Anforderungen an Unternehmen zusätzlich, siehe unten.

Gerade weil KI-Systeme oft große Datenmengen benötigen, ist die Vereinbarkeit mit diesen Grundsätzen eine besondere Herausforderung. Ein falscher Umgang kann nicht nur Bußgelder in Millionenhöhe nach sich ziehen, sondern auch das Vertrauen von Kunden und Geschäftspartnern nachhaltig beschädigen.


Datenverarbeitung in KI-Systemen

KI-Modelle lernen anhand von Daten. Dabei entstehen rechtliche Risiken in mehreren Phasen:

  1. Training von Modellen: Häufig werden historische Daten oder Kundendaten genutzt. Enthalten diese personenbezogene Informationen, ist eine rechtliche Grundlage erforderlich. Zudem stellt sich die Frage, ob die Daten anonymisiert oder pseudonymisiert verarbeitet werden können.
  2. Cloud-Infrastrukturen: Viele KI-Dienste laufen auf Servern außerhalb der EU. Hier ist besonders die Problematik des Drittstaatentransfers relevant (Stichwort: USA, Schrems-II-Urteil). Unternehmen müssen prüfen, ob geeignete Standardvertragsklauseln und zusätzliche Schutzmaßnahmen bestehen..
  3. Speicherung und Zweckänderung: Werden Daten zu anderen Zwecken weiterverwendet, liegt schnell ein Verstoß gegen die Zweckbindung vor.

Transparenz und Erklärbarkeit („Black Box“-Problem“)

Eines der größten Probleme im Datenschutz ist die mangelnde Nachvollziehbarkeit von KI-Entscheidungen. Moderne KI-Modelle, insbesondere im Bereich Deep Learning, treffen Entscheidungen auf Basis hochkomplexer Berechnungen, die selbst Fachleute kaum erklären können. Für den Datenschutz bedeutet das:

  • Betroffene Personen haben Anspruch auf klare Informationen über die Datenverarbeitung (Art. 13, 14 DSGVO). Die Gewährleistung der Betroffenenrechte (Art. 15 ff. DSGVO) ist gefährdet, siehe unten.
  • Es muss nachvollziehbar sein, warum eine Entscheidung getroffen wurde, etwa bei automatisierten Bewerberauswahlverfahren. Insbesondere die automatisierte Entscheidungsfindung ohne das Zwischenschalten einer menschlichen (End-) Kontrolle birgt erhebliche Risiken für die Rechte und Freiheiten von Betroffenen, vgl. Art. 22 DSGVO sowie Art. 35 DSGVO.
  • Unternehmen sollten daher, soweit technisch und wirtschaftlich möglich, auf sog. „Explainable AI“ (kurz: „XAI“) setzen, um die Entscheidungsprozesse transparent zu gestalten. An dieser Stelle wird auf den kurzen und informativen Artikel von IBM verwiesen. Weitergehende Informationen finden sich auch im Whitepaper des BSI.

Rechte der Betroffenen (Übersicht)

Die DSGVO gewährt Betroffenen eine Reihe von Rechten, die beim Einsatz von KI besonders relevant sind:

  • Auskunftsrecht (Art. 15 DSGVO): Unternehmen müssen offenlegen, welche Daten verarbeitet und wie Entscheidungen getroffen werden.
  • Recht auf Berichtigung und Löschung (Art. 16, 17 DSGVO): Praktisch schwierig, wenn personenbezogene Daten bereits in einem KI-Modell „gelernt“ wurden.
  • Recht auf Widerspruch (Art. 21 DSGVO): Betroffene können sich gegen bestimmte Verarbeitungen wehren.
  • Verbot ausschließlich automatisierter Entscheidungen (Art. 22 DSGVO): Besonders bedeutsam für Systeme, die selbstständig Entscheidungen mit erheblichen Auswirkungen treffen, z. B. Zusage/Absage von Bewerbungen oder Kreditanträge, Versicherungsprüfungen.

Unternehmen müssen hier klare Prozesse etablieren, um diese Rechte tatsächlich gewährleisten zu können.


Datenschutz-Folgenabschätzung (DSFA)

In vielen Fällen ist beim Einsatz von KI eine Datenschutz-Folgenabschätzung (Art. 35 DSGVO) erforderlich. Die DSFA dient dazu, Risiken frühzeitig zu erkennen und geeignete Schutzmaßnahmen zu ergreifen. Das gilt insbesondere, wenn:

  • systematisch umfangreiche Profile erstellt werden
  • sensible Daten verarbeitet werden (Gesundheitsdaten, biometrische Daten etc.)
  • automatisierte Entscheidungen erhebliche Auswirkungen auf Betroffene haben

Zusätzliche Regulierung durch „EU AI Act“ (KI-Verordnung, KI-VO)

Neben der DSGVO tritt mit dem EU AI Act eine spezifische Regulierung von KI in Kraft. Kernelement ist eine Einstufung nach Risikoklassen:

  1. Inakzeptables Risiko: Aufgrund der Art des Eingriffs in Persönlichkeits- und Betroffenenrechte wird der Einsatz von KI-Systemen mit inakzeptablem Risiko verboten. Solche Systeme sind bspw. Social-Scoring-Systeme oder unkontrollierte Gesichtserkennung.
  2. Hohes Risiko: Als Hochrisiko-Systeme sind KI-Systeme einzustufen, welche besondere Arten personenbezogener Daten in großen Mengen verarbeitet oder zur automatisierten Entscheidungsfindung im HR-Prozess verwendet werden soll.
  3. Begrenztes Risiko: Systeme mit begrenztem Risiko sind bspw. einfache Chatbots oder Empfehlungssysteme.
  4. Minimales Risiko: Keine oder nur sehr geringe Risiken. Diese Systeme unterliegen deshalb keinen speziellen Regulierungen, z. B. Spam-Filter oder einfache Rechtsschreib- und Grammatikprüfer.

Zur Veranschaulichung finden Sie weitere Beispiele zum jeweiligen Risiko auch hier sowie die gesamte Liste im Anhang III der KI-VO (Seite 127 ff.).


Handlungsempfehlungen für Unternehmen

Um rechtliche Risiken zu vermeiden, sollten Unternehmen folgende Maßnahmen umsetzen:

  • Privacy by Design und by Default: Datenschutz von Beginn an in die KI-Entwicklung integrieren.
  • Dokumentation: Verarbeitungstätigkeiten und Entscheidungsprozesse lückenlos festhalten.
  • Verträge prüfen: Auftragsverarbeitungsverträge und Standardvertragsklauseln mit KI-Anbietern sorgfältig gestalten.
  • Regelmäßige Audits: Überprüfung von KI-Systemen auf Datenschutzkonformität und Diskriminierungsfreiheit.
  • Schulung der Mitarbeiter: Sensibilisierung im Umgang mit KI und personenbezogenen Daten.

Unsere Beratung zu Künstlicher Intelligenz und Datenschutz

Künstliche Intelligenz (KI) eröffnet Unternehmen enorme Chancen: von effizienteren Prozessen über bessere Kundeninteraktion bis hin zu innovativen Geschäftsmodellen. Sie ist eine Schlüsseltechnologie der Zukunft, aber ohne sorgfältige Beachtung des Datenschutzes drohen erhebliche rechtliche Risiken. Unternehmen, die KI einsetzen wollen, sollten sich frühzeitig rechtlich beraten lassen und sowohl die DSGVO als auch die Vorgaben des EU AI Acts berücksichtigen.

Als externe Datenschutzbeauftragte und Spezialisten für IT-Recht unterstützen wir Sie dabei, Ihre KI-Projekte rechtskonform, sicher, transparent und praxisgerecht umzusetzen.

  • Rechtliche Prüfung Ihrer KI-Anwendungen: Analyse der eingesetzten Systeme im Hinblick auf DSGVO und BDSG
  • Datenschutz-Folgenabschätzung (DSFA):Durchführung und Dokumentation bei risikobehafteten Projekten
  • Vertragsgestaltung: Erstellung und Prüfung von Auftragsverarbeitungsverträgen und Standardvertragsklauseln mit KI-Anbietern
  • Transparenz & Betroffenenrechte: Entwicklung praxisgerechter Prozesse für Auskunft, Widerspruch und Löschung
  • Compliance mit dem EU AI Act: Vorbereitung auf die neuen Vorgaben, Einstufung Ihrer Systeme und Begleitung bei der Umsetzung
  • Workshops und Schulungen: Sensibilisierung Ihrer Mitarbeitenden im Umgang mit KI und personenbezogenen Daten

+49 911 7903034

kontakt@it-rechtsberater.de


LinkedIn
Instagram

© 2025 IT-Rechtsberater – Kanzlei für IT-Recht und Datenschutz. All rights reserved. Impressum I Datenschutzerklärung