Transparenz bei KI-Einsatz: Müssen Nutzer informiert werden?

Künstliche Intelligenz (KI) ist aus unserem Alltag nicht mehr wegzudenken. Immer mehr Unternehmen setzen KI-Systeme ein, um Prozesse zu optimieren, Entscheidungen zu treffen oder das Nutzerverhalten zu analysieren. Doch was bedeutet das für den Datenschutz? Müssen Nutzer darüber informiert werden, wenn KI ihre Daten auswertet, Bewertungen vornimmt oder sogar Sperrungen veranlasst? Diese Fragen gewinnen angesichts der rasanten Entwicklung von KI-Technologien zunehmend an Bedeutung. Schließlich haben Nutzer ein Recht darauf zu wissen, wie ihre persönlichen Informationen verarbeitet werden. Gleichzeitig stehen Unternehmen vor der Herausforderung, komplexe KI-Prozesse verständlich zu erklären, ohne ihre Geschäftsgeheimnisse preiszugeben. Es gilt also, einen Ausgleich zwischen Transparenz und Wettbewerbsfähigkeit zu finden. Dabei spielen nicht nur datenschutzrechtliche Vorgaben eine Rolle, sondern auch wettbewerbsrechtliche Aspekte und branchenspezifische Regelungen wie das Netzwerkdurchsetzungsgesetz (NetzDG) für soziale Netzwerke. Die Frage der Transparenz beim KI-Einsatz ist somit vielschichtig und erfordert eine differenzierte Betrachtung.

Transparenz als Grundprinzip des Datenschutzes

Ein zentraler Grundsatz der Datenschutz-Grundverordnung (DSGVO) ist die Transparenz. Verantwortliche müssen betroffene Personen klar und verständlich darüber informieren, was mit ihren Daten passiert. Nur so können Nutzer selbstbestimmt entscheiden, ob sie mit der Datenverarbeitung einverstanden sind und ihre Rechte wahrnehmen. Dies ergibt sich aus Art. 12 ff. DSGVO, wonach die Informationen in „präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ bereitzustellen sind. Dabei müssen auch die spezifischen Zwecke der Verarbeitung genannt werden (Art. 13 Abs. 1 lit. c DSGVO). Das gilt auch und gerade beim Einsatz von KI. Denn KI-Systeme treffen oft Entscheidungen, die für den Einzelnen nicht nachvollziehbar sind. Zudem besteht die Gefahr von Diskriminierung und Fehlentscheidungen. Umso wichtiger ist es, dass Unternehmen offen kommunizieren, wenn sie KI nutzen. Nur so können Betroffene abschätzen, welche Folgen die Verarbeitung für sie haben kann. Dabei reicht es nicht aus, nur allgemein auf den Einsatz von KI hinzuweisen. Vielmehr müssen die wesentlichen Funktionsweisen und Entscheidungskriterien der KI-Systeme erläutert werden, soweit dies ohne Preisgabe von Geschäftsgeheimnissen möglich ist (vgl. Erwägungsgrund 58 DSGVO).

Informationspflichten beim KI-Einsatz

Die im April 2024 vom Europäischen Parlament verabschiedete KI-Verordnung (Artificial Intelligence Act) sieht spezielle Transparenzpflichten für Hochrisiko-KI-Systeme vor. Dazu zählen etwa KI-Anwendungen, die für den Zugang zu Bildung, Beschäftigung, Justiz oder Strafverfolgung entscheidend sind. Anbieter solcher Systeme müssen u.a. offenlegen, dass KI zum Einsatz kommt und die Funktionsweise erklären. Dies soll sicherstellen, dass Betroffene verstehen, auf welcher Grundlage Entscheidungen getroffen werden.Laut Art. 6 Abs. 1 und Anhang III gelten KI-Systeme als Hochrisiko-Systeme, wenn sie als Sicherheitskomponente von Produkten verwendet werden, die einer Konformitätsbewertung durch Dritte unterliegen, oder wenn sie in bestimmten sensiblen Bereichen wie Beschäftigung, Bildung, Strafverfolgung oder Justiz eingesetzt werden. Auch müssen Nutzer über ihre Rechte aufgeklärt werden, z.B. das Recht auf Einspruch gegen automatisierte Entscheidungen (Art. 22 DSGVO).Doch auch bei weniger riskanten KI-Systemen sind Informationspflichten sinnvoll und geboten. Schließlich greift jede Form der automatisierten Auswertung in die Rechte der Nutzer ein. Daher sollten Unternehmen in ihren Datenschutzerklärungen transparent machen, wenn sie KI einsetzen, um Nutzerverhalten zu analysieren und Profile zu erstellen, Nutzer zu bewerten oder in Kategorien einzuteilen sowie automatisierte Entscheidungen zu treffen, z.B. Sperrungen oder Ablehnungen. Dabei müssen sie die Zwecke der KI-gestützten Verarbeitung nennen und erklären, welche Auswirkungen dies für die Nutzer haben kann. Auch sollten sie angeben, ob die KI-Systeme von Dritten bezogen oder selbst entwickelt wurden. Hier kann das Urteil des EuGH vom 13.05.2014 (C-131/12 – Google Spain) als Orientierung dienen, wonach der Suchmaschinenbetreiber über die Funktionsweise seines Rankingalgorithmus informieren muss, soweit dies ohne Preisgabe von Geschäftsgeheimnissen möglich ist.

Wettbewerbsrechtliche Ansprüche und NetzDG

Neben datenschutzrechtlichen Pflichten können sich auch wettbewerbsrechtliche Ansprüche ergeben, wenn Unternehmen den KI-Einsatz verschleiern. So kann eine irreführende Datenschutzerklärung als Verstoß gegen §§ 5, 5a UWG gewertet werden. Wer Nutzer über die Datenverarbeitung täuscht, handelt unlauter und kann von Mitbewerbern auf Unterlassung in Anspruch genommen werden. Dies hat der BGH in seiner Entscheidung „Kundenkarten-Bonusprogramm“ vom 29.07.2021 (I ZR 40/20) klargestellt. Demnach liegt eine Irreführung vor, wenn wesentliche Informationen zur Datenverarbeitung verschwiegen oder beschönigt werden. Auch eine intransparente Gestaltung der Datenschutzerklärung kann wettbewerbswidrig sein, wenn dadurch die Tragweite der Einwilligung verschleiert wird (vgl. OLG Frankfurt, Urt. v. 27.06.2019 – 6 U 6/19).Für soziale Netzwerke gelten zudem die Vorgaben des Netzwerkdurchsetzungsgesetzes (NetzDG). Danach müssen Plattformen ihre Nutzer in allgemeinen Geschäftsbedingungen und Gemeinschaftsstandards darüber informieren, ob und wie sie Inhalte prüfen und entfernen (§ 3b NetzDG). Setzen sie dabei KI ein, muss dies ebenfalls transparent gemacht werden. Andernfalls drohen Bußgelder durch das Bundesamt für Justiz. Hier ist das Urteil des OLG Karlsruhe vom 28.02.2022 (15 W 4/22) relevant, wonach Facebook seine Löschpraxis offenlegen muss. Das Gericht sah in den Gemeinschaftsstandards unzureichende Informationen darüber, nach welchen Kriterien Beiträge entfernt werden. Auch der Einsatz von KI zur Erkennung von Hassrede und anderen verbotenen Inhalten wurde nicht hinreichend erläutert.

Herausforderung verständliche Information

Die Crux ist: Viele Nutzer lesen Datenschutzerklärungen gar nicht erst, weil sie zu lang und kompliziert sind. Unternehmen stehen daher vor der Herausforderung, die nötigen Informationen zum KI-Einsatz möglichst prägnant und verständlich zu vermitteln. Hinzu kommt, dass KI-Systeme oft als „Blackbox“ wahrgenommen werden, deren Entscheidungsfindung selbst für Experten schwer nachvollziehbar ist. Umso wichtiger ist es, die Kernpunkte herauszustellen und in allgemeinverständlicher Sprache zu erklären.Dafür braucht es neue, nutzerfreundliche Ansätze wie Layered Notices, Icons oder Videos. Auch interaktive Elemente wie Chatbots können helfen, Fragen zu beantworten. Entscheidend ist, dass die Kernbotschaften schnell erfassbar sind und Nutzer bei Bedarf mehr Details erfahren. Gleichzeitig dürfen die Informationen nicht zu oberflächlich sein, sondern müssen alle wesentlichen Aspekte abdecken. Hier ist Kreativität gefragt, um komplexe Sachverhalte anschaulich darzustellen, ohne die Nutzer zu überfordern. Auch sollten die Informationen regelmäßig aktualisiert werden, wenn sich der KI-Einsatz ändert. Dabei kann die Orientierungshilfe der Datenschutzkonferenz zu KI und Datenschutz vom 06.05.2024 als Leitfaden dienen. Darin werden Best Practices für die Gestaltung von Datenschutzhinweisen beim KI-Einsatz aufgezeigt, z.B. der Einsatz von Piktogrammen und Ampelfarben zur Visualisierung des Risikograds.

Fazit

KI bietet große Chancen, birgt aber auch Risiken für Grundrechte und Datenschutz. Umso wichtiger ist Transparenz. Unternehmen, die KI einsetzen, sollten Nutzer aktiv darüber informieren – nicht nur, weil es gesetzlich gefordert ist, sondern weil es Vertrauen schafft. Denn nur wenn Menschen verstehen, was mit ihren Daten passiert, können sie KI-Systemen vertrauen und deren Vorteile nutzen.Der Datenschutz ist hier kein Bremsklotz, sondern Enabler für eine gemeinwohlorientierte KI. Gleichzeitig müssen die Informationspflichten mit Augenmaß umgesetzt werden. Es bringt niemandem etwas, wenn Datenschutzerklärungen immer länger und unverständlicher werden. Vielmehr braucht es eine neue „Informationskultur“, die Transparenz und Nutzbarkeit in Einklang bringt. Gelingt dies, profitieren alle Seiten: Unternehmen können die Potenziale von KI ausschöpfen, Nutzer behalten die Kontrolle über ihre Daten und der Datenschutz wird zum Qualitätsmerkmal für vertrauenswürdige KI-Anwendungen. Dafür bedarf es eines kontinuierlichen Dialogs zwischen Wirtschaft, Wissenschaft, Politik und Zivilgesellschaft, um gemeinsam Standards für einen ethisch verantwortungsvollen und rechtskonformen Einsatz von KI zu entwickeln. Die KI-Verordnung der EU kann hier wichtige Impulse setzen, muss aber in der Praxis mit Leben gefüllt werden.

Author: Marian Härtel

Marian Härtel ist Rechtsanwalt und Fachanwalt für IT-Recht mit einer über 25-jährigen Erfahrung als Unternehmer und Berater in den Bereichen Games, E-Sport, Blockchain, SaaS und Künstliche Intelligenz. Seine Beratungsschwerpunkte umfassen neben dem IT-Recht insbesondere das Urheberrecht, Medienrecht sowie Wettbewerbsrecht. Er betreut schwerpunktmäßig Start-ups, Agenturen und Influencer, die er in strategischen Fragen, komplexen Vertragsangelegenheiten sowie bei Investitionsprojekten begleitet. Dabei zeichnet sich seine Beratung durch einen interdisziplinären Ansatz aus, der juristische Expertise und langjährige unternehmerische Erfahrung miteinander verbindet. Ziel seiner Tätigkeit ist stets, Mandanten praxisorientierte Lösungen anzubieten und rechtlich fundierte Unterstützung bei der Umsetzung innovativer Geschäftsmodelle zu gewährleisten.