Der Verantwortlichkeit beim Einsatz von KI-Systemen spielt eine zentrale Rolle im Zusammenspiel von KI-Verordnung und DSGVO. Künstliche Intelligenz ist längst im Unternehmensalltag angekommen – sei es durch eigene Nutzung oder durch den Einsatz externer Dienstleister. Doch viele Unternehmen sind sich nicht bewusst, welche rechtlichen Verpflichtungen sie dabei treffen.
KI-Verordnung und DSGVO: Zwei Regelwerke – ein Ziel
Die neue KI-Verordnung (KI-VO) und die Datenschutz-Grundverordnung (DSGVO) gelten parallel. Während die KI-VO den sicheren und transparenten Einsatz von KI regelt, bleibt die DSGVO weiterhin maßgeblich, wenn personenbezogene Daten verarbeitet werden. Unternehmen, die KI einsetzen, müssen daher beide Regelwerke im Blick behalten.
Betreiber und Verantwortlicher – was ist der Unterschied?
Nach der KI-Verordnung ist Betreiber eines KI-Systems jede Stelle, die ein KI-System in eigener Verantwortung verwendet – ausgenommen ist lediglich die private Nutzung. Das bedeutet: Wer KI-Systeme im Unternehmen einsetzt, ist in der Regel Betreiber im Sinne der KI-VO.
Gleichzeitig gilt das Unternehmen auch als Verantwortlicher im Sinne der DSGVO, sofern mit dem KI-System personenbezogene Daten verarbeitet werden. Der Verantwortliche entscheidet über Zweck und Mittel der Datenverarbeitung – unabhängig davon, ob die KI selbst entwickelt oder von einem Anbieter bezogen wurde.
Verantwortlichkeiten gegenüber Dienstleistern und Anbietern
Verwendet ein Unternehmen ein externes KI-System, entstehen häufig weitere datenschutzrechtliche Beziehungen – etwa zu Anbietern oder zu Dienstleistern, die die KI im Auftrag betreiben. Es gilt zu prüfen:
- Auftragsverarbeitung: Der Dienstleister verarbeitet Daten weisungsgebunden.
- Gemeinsame Verantwortung: Beide Parteien entscheiden gemeinsam über Zwecke und Mittel der Verarbeitung (Art. 26 DSGVO).
Laut KI-VO kann eine gemeinsame Verantwortung z. B. dann vorliegen, wenn mehrere Beteiligte das System mit eigenen Datensätzen trainieren oder weiterentwickeln.
Verantwortlichkeit beim Einsatz von KI-Systemen: Arbeitgeber in der Pflicht
Setzen Mitarbeitende KI-Systeme im Unternehmen ein, handeln sie in der Regel nicht als eigenständige Betreiber. Die Verantwortung liegt beim Unternehmen. Dieses muss sicherstellen, dass:
- die Beschäftigten über ausreichende KI-Kompetenz verfügen,
- klare Weisungen zur Nutzung und zum Datenschutz erteilt werden,
- die Nutzung auf unternehmenseigene Geräte beschränkt bleibt.
Nur wenn diese organisatorischen Vorgaben vorliegen, bleibt die Verantwortung beim Arbeitgeber. Andernfalls droht ein sogenannter Mitarbeiterexzess – mit rechtlichen Folgen.
Mitarbeiterexzess bei KI-Nutzung
Ein Mitarbeiterexzess liegt vor, wenn Beschäftigte entgegen bestehender Weisungen eigenmächtig Daten verarbeiten – etwa indem sie KI-Systeme zu eigenen Zwecken nutzen oder gegen Regelungen zur Anonymisierung verstoßen.
In solchen Fällen wird die/der Beschäftigte selbst zum Verantwortlichen nach DSGVO – und kann auch als Betreiber im Sinne der KI-VO gelten. Um bei einem Mitarbeiterexzess nicht zu haften, müssen Unternehmen klare Richtlinien erlassen und deren Einhaltung sicherstellen.
Fazit: Klare Zuständigkeiten und Regeln schaffen
Der Verantwortliche beim Einsatz von KI-Systemen trägt eine hohe Verantwortung – sowohl datenschutzrechtlich als auch organisatorisch. Unternehmen sollten daher frühzeitig definieren, wer Betreiber ist, welche Rolle Dienstleister spielen und wie Mitarbeitende eingebunden werden.
Ihre nächsten Schritte:
- Prüfen Sie, ob Sie KI-Systeme verantworten oder beauftragen.
- Klären Sie datenschutzrechtliche Beziehungen zu Anbietern und Partnern.
- Erstellen Sie interne Richtlinien zur Nutzung von KI durch Beschäftigte.
Sie benötigen datenschutzrechtliche Beratung bei der Nutzung eines KI-Systems?
Ich berate Sie gern – praxisnah und datenschutzkonform:
RA Christof Kolyvas
Datenschutz für Unternehmen, Selbständige und Vereine
Tel: +49 234 29831858
Mail: anwalt@kolyvas.legal
