KI-Compliance als Haftungsrisiko: Wie Sie die Rechtsgrundlage für Ihren Chatbot beweisen

KI-Euphorie trifft DSGVO: Warum Sie jetzt Ihre Prozesse stoppen müssen

Künstliche Intelligenz (KI) – insbesondere der Einsatz von Large Language Models (LLMs) oder generativen KI-Systemen – verspricht Produktivität und neue Einnahmequellen. Doch unsere ersten Prüfverfahren bei Unternehmen zeigen: Viele wagen diesen Schritt aus KI-Enthusiasmus, ohne die etablierten Compliance-Prozesse einzuhalten.

Das Problem: KI-Systeme basieren oft auf der Verarbeitung einer großen Menge personenbezogener Daten. Werden diese Daten rechtswidrig verarbeitet, kann dies schwerwiegende Folgen für Ihr Unternehmen haben.

Es gibt zwei Kernfragen, die Sie als Geschäftsinhaber sofort beantworten können müssen, um die KI-Falle zu vermeiden:

1. Die Zweckbindungs-Falle: Wann ist Ihr Trainingsmaterial illegal?

Die DSGVO folgt dem Grundsatz der Zweckbindung. Daten, die Sie von Kunden für einen bestimmten Zweck (z. B. zur Vertragserfüllung) erhoben haben, dürfen nicht einfach für einen neuen, anderen Zweck (z. B. das Training eines KI-Modells) weiterverarbeitet werden.

• ✓Der Weckruf: Wenn Ihr KI-Chatbot mit den Kommunikationsprotokollen Ihrer Kunden trainiert wird, die diese eigentlich für den Support genutzt haben, handelt es sich um eine zweckändernde Weiterverarbeitung.
• ✓Die Konsequenz: Für diesen neuen Zweck (das KI-Training) benötigen Sie eine separate, eigenständige Rechtsgrundlage. Wenn diese fehlt, war das Training rechtswidrig. Die Aufsichtsbehörden prüfen sehr genau, ob die Verarbeitung personenbezogener Daten beim Training der KI-Modelle rechtmäßig war.

2. Der Transparenz-Test: Haben Sie Ihre Nutzer überhaupt informiert?

Im nicht-öffentlichen Bereich stützen sich KMUs häufig auf das "Berechtigte Interesse" (Art. 6 Abs. 1 lit. f DSGVO), um die Verarbeitung von Daten für das KI-Training zu legitimieren.

Dabei lauert die größte Gefahr in der fehlenden Transparenz:

• ✓Die Pflicht: Wenn Sie sich auf das berechtigte Interesse berufen, müssen Sie zwingend die verfolgten berechtigten Interessen den betroffenen Personen mitteilen.
• ✓Der Weckruf: Bei unseren Prüfungen stellen wir fest, dass viele Unternehmen ihre Nutzer gar nicht oder nicht ausreichend über die mit KI-Systemen verbundene Datenverarbeitung informieren. Dies betrifft oft die Chatbots auf Websites.
• ✓Die Konsequenz: Wenn die Betroffenen nicht einmal wissen, welches berechtigte Interesse Sie verfolgen (Art. 13 bzw. Art. 14 DSGVO), gilt die Verarbeitung als unzulässig.

Zusätzlich müssen Sie die vernünftigen Erwartungen der betroffenen Personen berücksichtigen. Eine bloße Zustimmung in der Datenschutzerklärung ist nicht ausreichend, wenn Nutzer die Tragweite der Verarbeitung (z. B. dass ihre Daten für ein großes Sprachmodell genutzt werden) nicht verstehen können.

3. Die Profiling-Gefahr: Was Ihre KI entscheidet

Viele KI-Anwendungen, die Verhalten analysieren, erfüllen die Definition des Profilings. Profiling ist die automatisierte Verarbeitung zur Bewertung persönlicher Aspekte (z. B. Verhalten, Zuverlässigkeit, wirtschaftliche Lage).

Wenn Ihre KI auf Basis dieser Profile eine Entscheidung fällt, die eine rechtliche Wirkung entfaltet (z. B. automatisierte Ablehnung eines Kreditantrags oder, wie in einem Prüffall festgestellt, die automatisierte Entscheidung über die Einleitung gerichtlicher Schritte im Forderungsmanagement), unterliegt dies strengsten Anforderungen (Art. 22 DSGVO).

• ✓Ihre Pflicht: Sie müssen in diesen Fällen aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen für die betroffene Person offenlegen. Dies ist bei komplexen KI-Systemen technisch und rechtlich extrem anspruchsvoll.