Alle News & Events anzeigen
13.12.2024

KI-Flash: KI und Betroffenenrechte

Nachdem wir in unserem letzten KI-Flash über die sog. KI-Kompetenz nach Artikel 4 der europäischen KI-Verordnung berichtet haben, möchten wir Ihnen auch weiterhin in regelmäßigen Abständen rechtliche Impulse mit auf den Weg geben. Da Zeit in der heutigen Gesellschaft ein rares Gut ist, wollen wir mit unseren „KI-Flash“ gleich auf den Punkt kommen und die rechtlichen Herausforderungen kurz und prägnant zusammenfassen:

Aufriss: Sind datenschutzrechtliche Betroffenenrechte nach der DS-GVO (z.B. Löschungs- und Auskunftsanspruch) auch bei KI-Modellen zu beachten? Kann ein Arbeitnehmer z.B. Auskunft über seine personenbezogenen Daten verlangen, weil er am Arbeitsplatz ein KI-System genutzt hat? Und wenn ja, wie weit reicht dieses Recht?

Kurzantwort: Es kommt darauf an, aber es gibt gute Gründe in Bezug auf KI-Modelle nicht von einer Datenverarbeitung nach der DS-GVO auszugehen, sodass Betroffenenrechte insoweit nicht zu erfüllen sind. Der Einsatz des jeweiligen KI-Systems selbst, unterfällt demgegenüber dem vollen Anwendungsbereich der DS-GVO.

 

Heutiges Thema: KI und Betroffenenrechte 

 

Der Einsatz von KI geht bekannterweise mit datenschutzrechtlichen Herausforderungen einher. Ein besonders relevantes Themenfeld ist insoweit die Umsetzung von Betroffenenrechten gemäß den Art. 15 ff. DS-GVO. Der nachstehende KI-Flash soll einerseits die hierbei auftretenden Fragestellungen aufzeigen und andererseits mögliche Lösungsansätze für Unternehmen bereitstellen. Da das Themenfeld Gegenstand vielfacher Diskussionen (aus rechtlicher sowie technischer Sicht) ist, kann der vorliegende Beitrag lediglich eine erste Einordnung vornehmen, ohne hierbei bereits auf der Autorität einer gerichtlichen oder aufsichtsbehördlichen Entscheidung aufbauen zu können.

 

Wo liegen die Schwierigkeiten bei der Umsetzung von Betroffenenrechten?

Um die maßgeblichen Fragestellungen im Kontext der Umsetzung von Betroffenenrechten darzustellen, soll zunächst folgendes Beispiel dienen:

Ein Unternehmen möchte ein generatives KI-System zur Steigerung der Produktivität und Effizienz der arbeitstäglichen Abläufe nutzen. Hierzu soll ein cloudbasierter KI-Dienst („AI-as-a-Service“) eines namhaften Anbieters in Anspruch genommen werden, wobei das hierbei eingesetzte KI-Modell des Anbieters auf dessen Servern betrieben wird. Das Unternehmen nutzt das KI-System „von der Stange“, was bedeutet, dass die Entwicklung sowie das Trainieren der KI im alleinigen Entscheidungsbereich des Anbieters der KI liegt. 

Müssen nun beim Einsatz des hier dargestellten KI-Systems Betroffenenrechte gemäß den Art. 15 ff. DS-GVO umgesetzt werden (etwa da ein Beschäftigter des Unternehmens seinen Anspruch auf Löschung gemäß Art. 17 Abs. 1 DS-GVO geltend macht), stellen sich verschiedene datenschutzrechtliche Fragestellungen:

  • Ist es dem Unternehmen (technisch) überhaupt möglich, Betroffenenrechte in Bezug auf das KI-Modell umzusetzen? Wie bereits aufgezeigt, hat das Unternehmen keinerlei Einfluss auf die Entwicklung sowie das Trainieren des genutzten KI-Modells. 
  • Besteht überhaupt eine rechtliche Verpflichtung, Betroffenenrechte auch in Bezug auf das KI-Modell umzusetzen? Dies kann aus gleich mehreren Gesichtspunkten zumindest infrage gestellt werden. So ist es insbesondere höchst umstritten, ob ein KI-Modell für sich genommen einen Personenbezug aufweist (bzw. personenbezogene Daten „in sich trägt“) und daher Bezugspunkt für Betroffenenrechte sein kann. Ebenso kann freilich in Diskussion gestellt werden, ob das Unternehmen – soweit es um das KI-Modell in dem hier dargestellten Beispielfall geht – tatsächlich als verantwortliche Stelle im Sinne des Art. 4 Nr. 7 DS-GVO anzusehen ist.

 

Wiederholung: Unterscheidung zwischen KI-System und KI-Modell

Wir haben bereits in vergangenen KI-Flashs sehr detailliert die Unterscheidung zwischen KI-System und KI-Modell vorgenommen. Um ein besseres Verständnis für die hier aufgeworfenen Fragestellungen zu schaffen, soll nachstehend dennoch noch einmal eine kurze Zusammenfassung erfolgen:

Bei einem KI-System handelt es sich um die funktionsfähige und im Regelfall mit einer Benutzeroberfläche ausgestattete KI-Anwendung, während das KI-Modell das dahinterstehende (technische) Herzstück, also die KI-gestützte Funktionsweise, darstellt. Letzteres meint insbesondere den eigentlichen Algorithmus und seine Gewichtungen. In Erwägungsgrund 97 der europäischen KI-Verordnung heißt es in Bezug auf bestimmte KI-Modelle (konkret GPAIM) wörtlich:

Der Begriff „KI-Modelle mit allgemeinem Verwendungszweck“ sollte klar bestimmt und vom Begriff der KI-Systeme abgegrenzt werden, um Rechtssicherheit zu schaffen. Die Begriffsbestimmung sollte auf den wesentlichen funktionalen Merkmalen eines KI-Modells mit allgemeinem Verwendungszweck beruhen, insbesondere auf der allgemeinen Verwendbarkeit und der Fähigkeit, ein breites Spektrum unterschiedlicher Aufgaben kompetent zu erfüllen. Diese Modelle werden in der Regel mit großen Datenmengen durch verschiedene Methoden, etwa überwachtes, unüberwachtes und bestärkendes Lernen, trainiert. KI-Modelle mit allgemeinem Verwendungszweck können auf verschiedene Weise in Verkehr gebracht werden, unter anderem über Bibliotheken, Anwendungs programmierschnittstellen (API), durch direktes Herunterladen oder als physische Kopie. Diese Modelle können weiter geändert oder zu neuen Modellen verfeinert werden. Obwohl KI-Modelle wesentliche Komponenten von KI-Systemen sind, stellen sie für sich genommen keine KI-Systeme dar. Damit KI-Modelle zu KI-Systemen werden, ist die Hinzufügung weiterer Komponenten, zum Beispiel einer Nutzerschnittstelle, erforderlich. KI-Modelle sind in der Regel in KI-Systeme integriert und Teil davon.

Ein (IT-) System wird also gerade dann zum KI-System, wenn ein KI-Modell integriert wird. Während das KI-System – bildlich gesprochen – die KI „zum Nutzen“ darstellt, ist das KI-Modell ohne Integration in ein System nicht für den Endnutzer geeignet.

Zur Klarstellung: Die vorliegend aufgegriffenen Fragestellungen beziehen sich ausschließlich auf das KI-Modell. Soweit es um die bloße Nutzung eines KI-Systems geht (also insbesondere die Input-und/oder Output-Daten sowie deren konkrete Verwendung), sind sämtliche Betroffenenrechte gemäß den Art. 15 ff. DS-GVO von dem Unternehmen umzusetzen, welches das KI-System einsetzt.

 

Weist ein KI-Modell einen Personenbezug auf?

Um sich den hier dargestellten Problemen im ersten Schritt zu nähern, kann zunächst die grundlegende Frage aufgeworfen werden, ob sich Betroffenenrechte gemäß den Art. 15 ff. DS-GVO überhaupt auf ein KI-Modell beziehen können. Da die DS-GVO nur die Verarbeitung personenbezogener Daten adressiert, müsste das KI-Modell in seiner „Rohform“ bereits als eine Verarbeitung personenbezogener Daten anzusehen sein. Ob und inwieweit dies der Fall ist, wird – auch von den Datenschutzaufsichtsbehörden – unterschiedlich bewertet.

Eine sehr eindeutige Auffassung wird insoweit vom Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit vertreten. In seinem Diskussionspapier „Large Language Models und personenbezogene Daten“ werden hierzu die folgenden Grundaussagen getroffen:

  1. Die bloße Speicherung eines LLMs stellt keine Verarbeitung im Sinne des Art. 4 Nr. 2 DSGVO dar. Denn in LLMs werden keine personenbezogenen Daten gespeichert. Soweit in einem LLM-gestützten KI-System personenbezogene Daten verarbeitet werden, müssen die Verarbeitungsvorgänge den Anforderungen der DSGVO entsprechen. Dies gilt insbesondere für den Output eines solchen KI-Systems. 
  2. Mangels Speicherung personenbezogener Daten im LLM können die Betroffenenrechte der DSGVO nicht das Modell selbst zum Gegenstand haben. Ansprüche auf Auskunft, Löschung oder Berichtigung können sich jedoch zumindest auf Input und Output eines KI-Systems der verantwortlichen Anbieter:in oder Betreiber:in beziehen. 
  3. Das Training von LLMs mit personenbezogenen Daten muss datenschutzkonform erfolgen. Dabei sind auch die Betroffenenrechte zu beachten. Ein ggf. datenschutzwidriges Training wirkt sich aber nicht auf die Rechtmäßigkeit des Einsatzes eines solchen Modells in einem KI-System aus.“

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit setzt sich in seinem Diskussionspapier sehr ausführlich mit den technischen Grundlagen von LLMs auseinander und kommt zu der – jedenfalls gut vertretbaren – Ansicht, dass ein KI-Modell für sich genommen keine personenbezogenen Daten enthält. Als Argument wird insoweit angeführt, dass in einem KI-Modell von vornherein keine „Klardaten“ abgelegt werden, sondern lediglich Sprachfragmente (sog. Tokens) enthalten sind, welche durch vektorielle Bezüge (mathematisch) in einen Kontext gebracht werden. Das KI-Modell enthält an keiner Stelle einen Namen wie z.B. den des Gründers von SKW Schwarz „Wolf Schwarz“, sondern lediglich Fragmente wie „Wo“, „lf“, „Schwa“ und „rz“ sowie die antrainierten statistischen Gewichtungen nach denen die wahrscheinlichste Abfolge dieser Fragmente im Output „Wolf Schwarz“ ergeben dürfte. Andere Kombinationen sind theoretisch möglich („SchwaWorzlf“), aber mit geringerer Wahrscheinlichkeit. Auch werden die Auswirkungen von potenziellen Privacy Attacks (also gezielten Angriffen auf das KI-Modell) dargestellt, wobei insbesondere auf das Urteil des Europäischen Gerichtshofs vom 19. Oktober 2016 (C-582/14, Rn. 14) Bezug genommen wird, wonach Daten nur dann als personenbezogen eingestuft werden, wenn die Identifizierung mit Mitteln des Verantwortlichen oder Dritter keinem gesetzlichen Verbot unterliegt bzw. nicht bloß mit einem unverhältnismäßigen Aufwand an Zeit, Kosten und Arbeitskräften möglich ist. In unserem Beispiel erfordert es etwa einen viel zu großen Aufwand, allein aus den gespeicherten Fragmenten und Gewichtungen zu entnehmen, dass diese aus dem Namen Wolf Schwarz ermittelt wurden.

Die (weiteren) technischen Details der Stellungnahme würden den Rahmen des vorliegenden Beitrags übersteigen, weshalb interessierten Lesern insoweit eine Lektüre des Diskussionspapiers angeraten wird. Folgt man jedoch der Ansicht des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit, müssten Betroffenenrechte bereits mangels Personenbezug von KI-Modellen (insoweit) nicht umgesetzt werden. Diese Ansicht ist insgesamt als sehr wirtschaftsfreundlich zu bewerten, da sie viele Probleme in der täglichen Praxis bereits im Ansatz umgeht.

Etwas zurückhaltender ist demgegenüber bspw. das Bayerische Landesamt für Datenschutzaufsicht (BayLDA). Auf der Themenseite „KI & Datenschutz“ findet sich zu dieser Frage lediglich die folgende Aussage:

Beauskunftung zum KI-Modell:
Hier stellen sich zunächst eine Reihe grundlegender technischer und rechtlicher Fragen, ob ein KI-Modell an sich überhaupt ein personenbezogenes Daten darstellt (siehe oben) – falls man der Ansicht wäre, dass dem nicht so ist, dann müsste entsprechend auch gar nicht beauskunftet werden. Falls doch, dann stellt sich die Frage, wie das technisch im Einzelfall überhaupt gehen kann, da KI-Modelle Klartextdaten nicht wie in einer Datenbank abspeichern, sondern diese (ggf. kodiert als sog. Tokens) mittels Wahrscheinlichkeitsverteilungen und mathematisch verkettet in mehrere Ebenen in den Unmengen internen Parametern ablegen – und häufig erst durch spezifische Eingaben/Prompts als KI-Ausgabe generiert werden können.

Noch komplexer wird es bei KI-as-a-Service: Während die meisten KI-Modelle zwar an sich deterministisch sind, d.h. zu einer Eingabe wird immer die gleich Ausgabe erzeugt, werden diese im Betrieb mit Zufallsstartwerten, ggf. zusätzlich noch weiteren internen Zuständen (abhängig von vorherigen Eingaben) und unterschiedlichen Hardwareumgebunden (bei KI-as-a-Service) versehen, was eine Reproduktion von Ein-/Ausgaben mitunter gar nicht möglich macht.

Das BayLDA erkennt zwar ebenfalls die maßgeblichen Fragestellungen, hält sich mit einer eindeutigen Einordnung jedoch etwas zurück. Nach hiesiger Einschätzung lässt auch diese Stellungnahme des BayLDA zumindest die differenzierte Prüfung zu, ob in einem KI-Modell überhaupt personenbezogene Daten enthalten sind oder eben nicht. Da diese Frage nicht aus einem rein juristischen Blickwinkel bewertet werden kann, müssen für eine interne Prüfung stets IT-Verantwortliche mit dem nötigen Fachwissen hinzugezogen werden.

Die (wohl) strengste Auffassung vertritt – soweit ersichtlich – der Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI) Baden-Württemberg. In seinem Dikussionspapier „Rechtsgrundlagen bei Einsatz von Künstlicher Intelligenz“ (Version 2.0) heißt es u.a. wörtlich:

„Ein solcher Personenbezug könnte sich beispielsweise daraus ergeben, dass im KI-Modell die personenbezogenen Daten selbst enthalten sind. Aber auch außerhalb der direkten Speicherung[14] der personenbezogenen Daten könnte eine mittelbare Identifizierbarkeit wahrscheinlich sein. So vertreten etwa die Hamburger und die dänische Aufsichtsbehörde, dass große Sprachmodelle (Large Language Models; folgend: LLM) keine personenbezogenen Daten enthalten.[15] Folgt man dieser Auffassung, so müsste dennoch bei der (öffentlichen) Bereitstellung eines (LLM-)KI-Modells eine Bewertung durch den Anbieter erfolgen, ob Dritte unter Berücksichtigung der o. g. Punkte einen Personenbezug herstellen können.[16] Das KI-Modell kann hier nicht isoliert betrachtet werden, vielmehr muss das KI-System bzw. die KI-Anwendung als Ganzes betrachtet werden. Dabei ist insbesondere zu prüfen, ob Dritte bzw. hier die Nutzenden z.B. mit bestimmten Eingabeprompts personenbezogene Daten als Ausgabe erhalten können.[17] Dabei sollten reale oder fiktive[18] Aussagen über Personen, die erst durch die KI-Anwendung ermöglicht werden, dem Anbieter des KI-Modells nur dann zugerechnet werden, wenn die Eingabeprompts von ihm vernünftigerweise erwartet werden können. So wäre etwa zu unterscheiden zwischen den Eingabeprompts „Wer ist [Name]?“ und „Was wird [Name], geboren am [Geburtsdatum] in [Geburtsort], wohnhaft in [Stadt], vorgeworfen, am [Datum] begangen zu haben?“. Im Ergebnis kann festgehalten werden, dass Dritte einen Personenbezug herstellen können. Ob dabei bestimmte Eingabeprompts etwa durch technische und organisatorische Maßnahmen wirksam unterbunden werden können, ist im Einzelfall zu prüfen. In diesem Zusammenhang sind zudem sogenannte Model Attacks zu beachten.[19] Als Beispiel wird bei sog. Membership Inference Attacks versucht, herauszufinden, welche personenbezogenen Daten in den Trainingsdaten waren, um damit Merkmale der natürlichen Personen abzuleiten. Bei sog. Model Inversion Attacks wird hingegen direkt versucht, aus den Lernergebnissen des Modells Informationen über die Trainingsdaten zu gewinnen. Sollten solche Attacken auf KI-Systeme möglich sein, so könnte dadurch das Modell selbst wiederum als personenbezogenes Datum anzusehen sein.“

Auch wenn der LfDI Baden-Württemberg ebenfalls keine pauschale Aussage zum Personenbezug eines KI-Modells trifft, sondern gerade eine Gesamtschau bestehend aus KI-System und KI-Modell vornimmt, sehen die Ausführungen des Diskussionspapiers jedenfalls den Bedarf einer sehr gründlichen Prüfung im Einzelfall.

Daneben gibt es z.B. auch bei den Aufsichtsbehörden Vertreter, die die Tokenisierung und mathematische Verkettung von Klartextdaten in trainierten KI-Modellen mit der Verschlüsselung personenbezogener Daten vergleichen, bei der die verschlüsselten Klardaten ebenfalls nicht lesbar sind (auch nicht mit vertretbarem Aufwand lesbar zu machen sind) aber allein durch die Verschlüsselung nicht ihren Personenbezug verlieren. Wie bei der Entschlüsselung der Daten können auch insbesondere bei kleineren KI-Modellen die Trainingsdaten durch das richtige Prompting wieder im Output reproduziert werden (vgl. auch das Phänomen des „Overfitting“ der KI).

Soweit die Datenschutzkonferenz (DSK) in einer Pressemitteilung vom 2. September 2024 mit Bezug auf das Trainieren von KI anführt, dass „schon hier in den allermeisten Fällen eine Verarbeitung personenbezogener Daten nicht auszuschließen ist“, trifft dies keine klare Aussage über die rechtliche Qualifikation des jeweiligen KI-Modells selbst. Dass KI-Modelle im Regelfall mit personenbezogenen Daten trainiert werden und ebenfalls (technisch) dazu in der Lage sind, personenbezogene Daten zu erzeugen, soll vorliegend nicht weiter in Frage gestellt werden. Diese Umstände sagen nach hiesiger Einschätzung jedoch nichts darüber aus, ob ein KI-Modell in seiner „fertig“ trainierten Form einen Personenbezug aufweist. 

Fazit: Je nach Fallgestaltung und je nach eingesetztem KI-Modell ist es zumindest möglich, dass Betroffenenrechte bereits mangels Personenbezug des jeweiligen KI-Modells (insoweit) nicht umgesetzt werden müssen. Die maßgeblichen Fragen sind gemeinsam mit der IT-Abteilung abzuklären und zu Zwecken der Rechenschaftspflicht (vgl. Art. 5 Abs. 2 DS-GVO) zu dokumentieren. Solange hierzu keine verbindlichen Aussagen der europäischen Aufsichtsbehörden oder des EuGH vorliegen, ist eine nachvollziehbar dokumentierte und sachgerecht abgewogene Entscheidung für eine der beiden Ansichten das Einzige, was von Unternehmen verlangt werden kann.

 

Inwieweit besteht eine Verantwortlichkeit für das KI-Modell?

Möchte man die soeben dargestellte Auffassung nicht teilen und aufgrund der bestehenden Rechtsunsicherheiten den Personenbezug eines KI-Modells unterstellen, müssen nach hiesiger Einschätzung jedenfalls die Verantwortungsbereiche klar voneinander getrennt werden.

Das BayLDA sieht auch diese Fragestellung und äußert sich wie folgt auf der bereits angeführten Themenseite „KI & Datenschutz“:

„Tipp 1: Die Verantwortungssphären prüfen (siehe oben). Evtl. Ist man als KI-Betreiber gar nicht der richtige Adressat eines Auskunftsersuchens zu Daten des KI-Modells?“

Für den oben dargestellten Beispielfall des KI-Systems aus der Cloud können nach hiesiger Einschätzung die folgenden Verantwortungsbereiche voneinander getrennt werden:

  • Soweit es um den Input in das KI-System sowie die Nutzung des daraus resultierenden Outputs geht, ist zweifelsohne das Unternehmen (auch für die Umsetzung von Betroffenenrechten) verantwortlich. Gleiches gilt für eventuell mit dem KI-System verknüpfte Datenbanken. In diesem Umfang ist lückenlos sicherzustellen, dass Betroffenenrechte gemäß den Art. 15 ff. DS-GVO umgesetzt werden können.
  • Soweit es demgegenüber um das KI-Modell und die hierin (zumindest theoretisch) mögliche Verarbeitung personenbezogener Daten geht, ist das Unternehmen insoweit nicht als verantwortliche Stelle anzusehen. Einerseits ist bereits zu berücksichtigen, dass eine (zumindest aktive) Verarbeitung von personenbezogenen Daten immer nur in einem Zusammenspiel mit dem jeweiligen Prompt angenommen werden kann. Ohne eine aktive Einwirkung auf das KI-Modell findet keinerlei durch das Unternehmen irgendwie gesteuerte Verarbeitung von Informationen (also auch personenbezogenen Daten) statt. Die Situation kann – sehr abstrahiert dargestellt – gewissermaßen mit sonstigen Informationen im Internet verglichen werden, die zwar rein theoretisch jederzeit abrufbar sind, jedoch eine aktive Informationsverarbeitung (etwa über eine Suchmaschine) erfordern. Dass das KI-Modell also für sich genommen, jederzeit nutzbar und auf den Servern des Anbieters abrufbar ist, führt nicht zu einer Verarbeitung personenbezogener Daten, welche im Verantwortungsbereich des Unternehmens liegt. Dies muss umso mehr gelten, weil das jeweilige KI-Modell im Regelfall nicht „exklusiv“ für ein bestimmtes Unternehmen bereitgestellt wird.

Zudem stehen der Trainingsprozess sowie etwaige Einwirkungsmöglichkeiten auf das genutzte (und auf Servern des Anbieters gehostete) KI-Modell (z.B. durch „finetuning“ des KI-Modells) im alleinigen Einflussbereich des Anbieters. Dem Unternehmen steht insoweit lediglich die Möglichkeit zur Verfügung, den Umgang mit dem KI-System zu regulieren und die Verwendung von unerwünschten Ergebnissen zu unterbinden. Dies bedeutet insbesondere, dass fehlerhafte Ergebnisse des KI-Systems nicht genutzt werden dürfen und – soweit möglich – durch technische Filter zu unterbinden sind. Wollte man auch eine Verantwortlichkeit des Unternehmens für das KI-Modell begründen, würde dies zu faktisch nicht lösbaren Aufgaben für KI-nutzende Unternehmen führen.

Auch die Datenschutzkonferenz (DSK) positioniert sich – wenngleich sehr vorsichtig – zu diesen Fragen und trifft in ihrer Orientierungshilfe „KI und Datenschutz“ die folgende Aussage:

„Das Unterdrücken von unerwünschten Ausgaben mittels nachgeschalteter Filter stellt zwar nicht generell eine Löschung im Sinne von Art. 17 DS-GVO dar. Denn die Daten, die nach einer bestimmten Eingabe zu einer bestimmten Ausgabe führen, könnten weiterhin personenbeziehbar für das KI-Modell verfügbar sein. Filtertechnologien können aber einen Beitrag dazu leisten, bestimmte Ausgaben zu vermeiden und damit den Rechten und Freiheiten der von einer bestimmten Ausgabe betroffenen Personen dienen.“

Auch wenn die DSK (auch hier) weder klärt, ob ein KI-Modell einen Personenbezug aufweist oder nicht, noch eine Abkehr von der Pflicht zur Umsetzung von Betroffenenrechten vornimmt, erkennt sie jedenfalls die Problematik für das ein KI-System einsetzende Unternehmen. Die originäre Pflicht zur Einwirkung auf das jeweilige KI-Modell liegt – soweit dieses (wie vorliegend) nicht durch das Unternehmen entwickelt und gehostet wird – beim Anbieter des KI-Systems, während das ein KI-System einsetzende Unternehmen lediglich auf interne Prozesse Einfluss nehmen kann und insbesondere den Einsatz von Filtertechnologien beim Output des KI-Systems prüfen sollte.

 

Fazit: Nach hiesiger Einschätzung bestehen verschiedene Argumentationsspielräume, welche herangezogen werden können, um eine Verantwortlichkeit eines Unternehmens für ein eingesetztes KI-Modell zu verneinen. Diese Einordnung ist – wie bereits angeführt – jedoch nicht unangreifbar, weshalb die weiteren Entwicklungen (insbesondere Stellungnahmen der Datenschutzaufsichtsbehörden und Entscheidungen des EuGH) stets im Auge behalten werden sollten.

Wichtig ist insoweit jedoch anzumerken, dass die hier aufgegriffenen Fragestellungen anders zu bewerten sind, sofern ein Unternehmen eigenständig den Prozess der Entwicklung sowie des Trainierens von KI-Modellen vornimmt. In diesem Fall besteht jedenfalls ein direkter Einfluss auf das KI-Modell. Daher ist auch von einer entsprechenden Verantwortlichkeit des Unternehmens auszugehen.

 

Praxishinweis

Die vorstehend dargestellten Fragestellungen sind aus rechtlicher sowie technischer Sicht äußerst komplex. Pauschale Aussagen sind daher bereits im Ansatz ungeeignet, um eine sinnvolle Strategie zur KI-Compliance im Unternehmen aufzubauen. Aus Sicht von Unternehmen sollte der vorliegende Beitrag jedoch zumindest als Anstoß genutzt werden, sich mit den Fragestellungen auseinanderzusetzen, und eine Strategie zur Umsetzung von Betroffenenrechten – gerade beim Einsatz von KI – aufzusetzen. Kommen Sie bei Rückfragen jedweder Art gerne direkt auf uns zu – wir unterstützen Sie gerne!

    Teilen

  • LinkedIn
  • XING

Erfahren Sie schon heute, worüber die Rechtswelt morgen redet.

Newsletter abonnieren