Transparenz KI-Einsatz: Nutzer informieren? | IT-Medienrecht

Erfahren Sie, wann Unternehmen Nutzer über KI-Einsatz informieren müssen. Alle Infos zu Transparenzpflichten, DSGVO & KI-Verordnung für Ihr Recht.

Das Wichtigste in Kürze

  • Der Einsatz von KI erfordert umfassende Transparenz gegenüber Nutzern, um deren Rechte zu wahren und Vertrauen zu schaffen.
  • Informationspflichten ergeben sich aus verschiedenen Rechtsgrundlagen, darunter DSGVO, die KI-Verordnung, das UWG und das NetzDG.
  • Besondere Transparenzpflichten gelten für Hochrisiko-KI-Systeme, die in sensiblen Bereichen eingesetzt werden.
  • Unternehmen müssen komplexe KI-Prozesse verständlich erklären, ohne Geschäftsgeheimnisse preiszugeben, und dabei nutzerfreundliche Ansätze wie Layered Notices oder Icons nutzen.
  • Transparenz ist nicht nur eine rechtliche Pflicht, sondern auch ein Qualitätsmerkmal für vertrauenswürdige KI-Anwendungen und fördert eine gemeinwohlorientierte KI.

KI und Datenschutz-Transparenz: Was Unternehmen wissen müssen

Künstliche Intelligenz (KI) ist aus unserem Alltag nicht mehr wegzudenken. Immer mehr Unternehmen setzen KI-Systeme ein, um Prozesse zu optimieren, Entscheidungen zu treffen oder das Nutzerverhalten zu analysieren. Doch was bedeutet das für den Datenschutz?

Müssen Nutzer darüber informiert werden, wenn KI ihre Daten auswertet, Bewertungen vornimmt oder sogar Sperrungen veranlasst? Diese Fragen gewinnen angesichts der rasanten Entwicklung von KI-Technologien zunehmend an Bedeutung. Schließlich haben Nutzer ein Recht darauf zu wissen, wie ihre persönlichen Informationen verarbeitet werden.

Gleichzeitig stehen Unternehmen vor der Herausforderung, komplexe KI-Prozesse verständlich zu erklären, ohne ihre Geschäftsgeheimnisse preiszugeben. Es gilt also, einen Ausgleich zwischen Transparenz und Wettbewerbsfähigkeit zu finden. Dabei spielen nicht nur datenschutzrechtliche Vorgaben eine Rolle, sondern auch wettbewerbsrechtliche Aspekte und branchenspezifische Regelungen wie das Netzwerkdurchsetzungsgesetz (NetzDG) für soziale Netzwerke. Die Frage der Transparenz beim KI-Einsatz ist somit vielschichtig und erfordert eine differenzierte Betrachtung.

Transparenz als Grundprinzip des Datenschutzes

Ein zentraler Grundsatz der Datenschutz-Grundverordnung (DSGVO) ist die Transparenz. Verantwortliche müssen betroffene Personen klar und verständlich darüber informieren, was mit ihren Daten passiert. Nur so können Nutzer selbstbestimmt entscheiden, ob sie mit der Datenverarbeitung einverstanden sind und ihre Rechte wahrnehmen.

Dies ergibt sich aus Art. 12 ff. DSGVO, wonach die Informationen in „präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ bereitzustellen sind. Dabei müssen auch die spezifischen Zwecke der Verarbeitung genannt werden (Art. 13 Abs. 1 lit. c DSGVO). Weitere Informationen zu aktuellen Entwicklungen im Datenschutzrecht finden Sie in unserem Beitrag zu den Neuerungen im Datenschutzrecht.

Das gilt auch und gerade beim Einsatz von KI. Denn KI-Systeme treffen oft Entscheidungen, die für den Einzelnen nicht nachvollziehbar sind. Zudem besteht die Gefahr von Diskriminierung und Fehlentscheidungen. Umso wichtiger ist es, dass Unternehmen offen kommunizieren, wenn sie KI nutzen.

Nur so können Betroffene abschätzen, welche Folgen die Verarbeitung für sie haben kann. Dabei reicht es nicht aus, nur allgemein auf den Einsatz von KI hinzuweisen. Vielmehr müssen die wesentlichen Funktionsweisen und Entscheidungskriterien der KI-Systeme erläutert werden, soweit dies ohne Preisgabe von Geschäftsgeheimnissen möglich ist (vgl. Erwägungsgrund 58 DSGVO).

Informationspflichten beim KI-Einsatz

Die im April 2024 vom Europäischen Parlament verabschiedete KI-Verordnung (Artificial Intelligence Act) sieht spezielle Transparenzpflichten für Hochrisiko-KI-Systeme vor. Dazu zählen etwa KI-Anwendungen, die für den Zugang zu Bildung, Beschäftigung, Justiz oder Strafverfolgung entscheidend sind.

Anbieter solcher Systeme müssen unter anderem offenlegen, dass KI zum Einsatz kommt und die Funktionsweise erklären. Dies soll sicherstellen, dass Betroffene verstehen, auf welcher Grundlage Entscheidungen getroffen werden. Laut Art. 6 Abs. 1 und Anhang III gelten KI-Systeme als Hochrisiko-Systeme, wenn sie in folgenden Bereichen eingesetzt werden:

Auch müssen Nutzer über ihre Rechte aufgeklärt werden, zum Beispiel das Recht auf Einspruch gegen automatisierte Entscheidungen (Art. 22 DSGVO). Bei Sperrungen von Social Media- und Gaming-Accounts durch KI gibt es besondere rechtliche Grenzen, wie wir in unserem Artikel Künstliche Intelligenz in der Moderation erörtern.

Doch auch bei weniger riskanten KI-Systemen sind Informationspflichten sinnvoll und geboten. Schließlich greift jede Form der automatisierten Auswertung in die Rechte der Nutzer ein. Daher sollten Unternehmen in ihren Datenschutzerklärungen transparent machen, wenn sie KI einsetzen für:

Dabei müssen sie die Zwecke der KI-gestützten Verarbeitung nennen und erklären, welche Auswirkungen dies für die Nutzer haben kann. Auch sollten sie angeben, ob die KI-Systeme von Dritten bezogen oder selbst entwickelt wurden. Hier kann das Urteil des EuGH vom 13.05.2014 (C-131/12 – Google Spain) als Orientierung dienen, wonach der Suchmaschinenbetreiber über die Funktionsweise seines Rankingalgorithmus informieren muss, soweit dies ohne Preisgabe von Geschäftsgeheimnissen möglich ist.

Wettbewerbsrechtliche Ansprüche und NetzDG

Neben datenschutzrechtlichen Pflichten können sich auch wettbewerbsrechtliche Ansprüche ergeben, wenn Unternehmen den KI-Einsatz verschleiern. So kann eine irreführende Datenschutzerklärung als Verstoß gegen 5.html" target="_blank" rel="noopener">§§ 5, 5a.html" target="_blank" rel="noopener">5a UWG gewertet werden. Wer Nutzer über die Datenverarbeitung täuscht, handelt unlauter und kann von Mitbewerbern auf Unterlassung in Anspruch genommen werden.

Dies hat der BGH in seiner Entscheidung „Kundenkarten-Bonusprogramm“ vom 29.07.2021 (I ZR 40/20) klargestellt. Demnach liegt eine Irreführung vor, wenn wesentliche Informationen zur Datenverarbeitung verschwiegen oder beschönigt werden. Auch eine intransparente Gestaltung der Datenschutzerklärung kann wettbewerbswidrig sein, wenn dadurch die Tragweite der Einwilligung verschleiert wird (vgl. OLG Frankfurt, Urt. v. 27.06.2019 – 6 U 6/19).

Für soziale Netzwerke gelten zudem die Vorgaben des Netzwerkdurchsetzungsgesetzes (NetzDG). Danach müssen Plattformen ihre Nutzer in allgemeinen Geschäftsbedingungen und Gemeinschaftsstandards darüber informieren, ob und wie sie Inhalte prüfen und entfernen (§ 3b NetzDG). Setzen sie dabei KI ein, muss dies ebenfalls transparent gemacht werden.

Andernfalls drohen Bußgelder durch das Bundesamt für Justiz. Hier ist das Urteil des OLG Karlsruhe vom 28.02.2022 (15 W 4/22) relevant, wonach Facebook seine Löschpraxis offenlegen muss. Das Gericht sah in den Gemeinschaftsstandards unzureichende Informationen darüber, nach welchen Kriterien Beiträge entfernt werden. Auch der Einsatz von KI zur Erkennung von Hassrede und anderen verbotenen Inhalten wurde nicht hinreichend erläutert. Solche Themen sind auch im Kontext des Digitale-Dienste-Gesetzes (DDG) von Bedeutung.

Herausforderung verständliche Information

Die Krux ist: Viele Nutzer lesen Datenschutzerklärungen gar nicht erst, weil sie zu lang und kompliziert sind. Unternehmen stehen daher vor der Herausforderung, die nötigen Informationen zum KI-Einsatz möglichst prägnant und verständlich zu vermitteln. Hinzu kommt, dass KI-Systeme oft als „Blackbox“ wahrgenommen werden, deren Entscheidungsfindung selbst für Experten schwer nachvollziehbar ist.

Umso wichtiger ist es, die Kernpunkte herauszustellen und in allgemeinverständlicher Sprache zu erklären. Dafür braucht es neue, nutzerfreundliche Ansätze wie:

Entscheidend ist, dass die Kernbotschaften schnell erfassbar sind und Nutzer bei Bedarf mehr Details erfahren. Gleichzeitig dürfen die Informationen nicht zu oberflächlich sein, sondern müssen alle wesentlichen Aspekte abdecken. Hier ist Kreativität gefragt, um komplexe Sachverhalte anschaulich darzustellen, ohne die Nutzer zu überfordern.

Auch sollten die Informationen regelmäßig aktualisiert werden, wenn sich der KI-Einsatz ändert. Dabei kann die Orientierungshilfe der Datenschutzkonferenz zu KI und Datenschutz vom 06.05.2024 als Leitfaden dienen. Darin werden Best Practices für die Gestaltung von Datenschutzhinweisen beim KI-Einsatz aufgezeigt, z.B. der Einsatz von Piktogrammen und Ampelfarben zur Visualisierung des Risikograds.

Fazit

KI bietet große Chancen, birgt aber auch Risiken für Grundrechte und Datenschutz. Umso wichtiger ist Transparenz. Unternehmen, die KI einsetzen, sollten Nutzer aktiv darüber informieren – nicht nur, weil es gesetzlich gefordert ist, sondern weil es Vertrauen schafft.

Denn nur wenn Menschen verstehen, was mit ihren Daten passiert, können sie KI-Systemen vertrauen und deren Vorteile nutzen. Der Datenschutz ist hier kein Bremsklotz, sondern ein Enabler für eine gemeinwohlorientierte KI. Gleichzeitig müssen die Informationspflichten mit Augenmaß umgesetzt werden.

Es bringt niemandem etwas, wenn Datenschutzerklärungen immer länger und unverständlicher werden. Vielmehr braucht es eine neue „Informationskultur“, die Transparenz und Nutzbarkeit in Einklang bringt. Gelingt dies, profitieren alle Seiten: Unternehmen können die Potenziale von KI ausschöpfen, Nutzer behalten die Kontrolle über ihre Daten und der Datenschutz wird zum Qualitätsmerkmal für vertrauenswürdige KI-Anwendungen. Dafür bedarf es eines kontinuierlichen Dialogs zwischen Wirtschaft, Wissenschaft, Politik und Zivilgesellschaft, um gemeinsam Standards für einen ethisch verantwortungsvollen und rechtskonformen Einsatz von KI zu entwickeln. Die KI-Verordnung der EU kann hier wichtige Impulse setzen, muss aber in der Praxis mit Leben gefüllt werden.

Weitere Einblicke in rechtliche Aspekte von KI finden Sie in unseren Key Learnings zum Thema KI und Recht.

Häufig gestellte Fragen

Warum ist Transparenz beim Einsatz von KI im Datenschutz so wichtig?
Transparenz ist ein zentraler Grundsatz der DSGVO, der es Nutzern ermöglicht, selbstbestimmt über die Verarbeitung ihrer Daten zu entscheiden und ihre Rechte wahrzunehmen. Beim KI-Einsatz ist sie besonders wichtig, da KI-Systeme oft schwer nachvollziehbare Entscheidungen treffen und das Risiko von Diskriminierung oder Fehlentscheidungen bergen.
Welche rechtlichen Grundlagen verpflichten Unternehmen zur Transparenz beim KI-Einsatz?
Die Informationspflichten ergeben sich primär aus der DSGVO (Art. 12 ff., Art. 13 Abs. 1 lit. c, Art. 22). Zusätzlich schaffen die KI-Verordnung für Hochrisiko-KI-Systeme, das UWG bei irreführenden Datenschutzerklärungen und das NetzDG für soziale Netzwerke weitere Transparenzpflichten.
Was sind Beispiele für Hochrisiko-KI-Systeme gemäß der KI-Verordnung?
Hochrisiko-KI-Systeme sind unter anderem solche, die als Sicherheitskomponente von Produkten dienen, die einer Konformitätsbewertung durch Dritte unterliegen. Auch KI-Systeme in sensiblen Bereichen wie Beschäftigung, Bildung, Strafverfolgung oder Justiz gelten als Hochrisiko-Systeme.
Welche Folgen kann es für Unternehmen haben, wenn sie den KI-Einsatz nicht transparent machen?
Intransparenz kann zu Verstößen gegen die DSGVO mit entsprechenden Bußgeldern führen. Zudem können wettbewerbsrechtliche Ansprüche nach dem UWG entstehen, wenn Datenschutzerklärungen irreführend sind. Bei sozialen Netzwerken drohen bei Verstößen gegen das NetzDG Bußgelder durch das Bundesamt für Justiz.