Künstliche Intelligenz und Compliance Was die Datenschützer zur Haftung bei KI sagen

Trifft eine KI eine falsche Entscheidung, kann schon heute ein Schadensfall eintreten. In Zukunft ist die Frage, wer dann in der Haftung ist, noch weitaus wichtiger. Auch der Datenschutz hat sich mit der Frage nach der Haftung bei KI befasst. So hat sich dazu kürzlich der Europäische Datenschutzausschuss (EDSA) zu Wort gemeldet, mit spannenden Aussagen.

Anbieter zum Thema

Der Europäische Datenschutzausschuss (EDSA) befasst sich auch mit Fragen der Haftung bei KI.
Der Europäische Datenschutzausschuss (EDSA) befasst sich auch mit Fragen der Haftung bei KI.
(Bild: © dehweh - stock.adobe.com)

Unternehmen setzen eine große Hoffnung auf KI, wie zum Beispiel eine Umfrage des Digitalverbands Bitkom zeigt. So erwarten 44 Prozent schnellere und präzisere Problemanalysen durch KI, 35 Prozent beschleunigte Prozesse und 30 Prozent einen geringeren Ressourcenverbrauch, wovon auch die Umwelt profitieren würde. Auch mit Blick auf die Beschäftigten bietet KI viele Vorteile. 39 Prozent rechnen mit der Vermeidung menschlicher Fehler im Arbeitsalltag, 31 Prozent erhoffen sich durch KI-Systeme Expertenwissen, das sonst nicht vorhanden wäre, und 28 Prozent gehen davon aus, dass sich Mitarbeiter dank KI-Unterstützung auf wichtigere Aufgaben konzentrieren können.

Schon heute ist die Verwendung von KI vielschichtig und durchaus in sensiblen, kritischen Bereichen zu finden: Am häufigsten verwenden jene Unternehmen, die bereits KI nutzen, die entsprechenden Technologien für personalisierte Werbung (71 Prozent). 64 Prozent nutzen KI zur Verbesserung interner Abläufe in der Produktion und Instandhaltung, 63 Prozent im Kundendienst, etwa bei der automatisierten Beantwortung von Anfragen. Rund jedes zweite Unternehmen setzt KI bei der Analyse des Kundenverhaltens im Vertrieb (53 Prozent) oder bereichsübergreifend bei Texten wie Berichten oder Übersetzungen (50 Prozent) ein. In der Buchhaltung nutzen 44 Prozent KI, etwa für automatisierte Buchungen, 43 Prozent setzen auf KI zur Managementunterstützung, etwa bei der Entwicklung von Strategien. KI-basierte Tools haben 39 Prozent in ihrer IT-Abteilung eingeführt, 35 Prozent in der Logistik, etwa für bessere Routenplanungen.

Es gibt einen Grund, hier nochmals die Hoffnungen für KI und den bisherigen Einsatzbereich von KI aufzuführen: KI kann zu Fehlern führen und zu Schäden, wirtschaftlicher Art, in Zukunft wohl auch für Leib und Leben von Menschen, wenn man zum Beispiel an autonome Fahrzeuge denkt.

Die Frage nach der Haftung

Wenn ein Schadensfall eintritt, stellt sich schnell die Frage, wer für den Schadensersatz zuständig ist, wer in der Haftung ist. Das gilt auch für Schäden im Bereich Datenschutz, da KI-Lösungen sehr häufig mit personenbezogenen Daten umgehen und diese nutzen und nutzen werden.

Die Datenschutz-Grundverordnung (DSGVO) sagt hierzu: Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde. Ein Auftragsverarbeiter haftet für den durch eine Verarbeitung verursachten Schaden nur dann, wenn er seinen speziell den Auftragsverarbeitern auferlegten Pflichten aus dieser Verordnung nicht nachgekommen ist oder unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des für die Datenverarbeitung Verantwortlichen oder gegen diese Anweisungen gehandelt hat.

Die DSGVO erklärt zudem: Der Verantwortliche oder der Auftragsverarbeiter wird von der Haftung befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.

Hier werden mehrere Problempunkte sichtbar: Nutzt ein Unternehmen (Verantwortlicher) oder Dienstleister (Auftragsverarbeiter) eine KI-Lösung, kann der Schaden durch die KI verursacht sein. Schadensersatz nach DSGVO leisten müssten aber im Fall des Falles das Unternehmen oder aber der Dienstleister, nicht der Hersteller der KI. Hier wird erneut das Problem sichtbar, dass die DSGVO die Rolle des Herstellers nicht kennt.

Ein weiterer Punkt: Wie soll das Unternehmen oder der Dienstleister nachweisen, dass die KI den Schaden verursacht hat? Meist ist die Transparenz zur und das Wissen über die KI doch recht eingeschränkt.

Nun haben sich die Datenschutzaufsichtsbehörden, vertreten durch den Europäischen Datenschutzausschuss (EDSA), dazu zu Wort gemeldet.

Datenschützer wenden sich an EU-Kommission

Der EDSA hat sich an den zuständigen EU-Kommissar gewendet, um auf die Fragen hinzuweisen, die sich zur Haftung bei KI-Nutzung stellen. Es lohnt sich, die Hinweise und Änderungswünsche für eine Haftung bei KI-Einsatz genau anzusehen, da sich darin viele spannende Punkte befinden, die in der Diskussion zur KI-Haftung nicht vergessen werden sollten.

So hält es der EDSA für relevant, die Haftungsregelung für Anbieter von KI-Systemen zu stärken und sicherzustellen, dass Auftragsverarbeiter und Verantwortliche sich vertrauensvoll auf die KI-Systeme verlassen können.

Zudem wird darauf hingewiesen, dass der Haftungsrahmen für KI-Systeme, die als Sicherheitsmaßnahmen für die Verarbeitung personenbezogener Daten verwendet werden, im Zusammenspiel mit bestehenden Vorschriften wie der DSGVO gesehen werden müsse. Vor allem, wenn es um die Zuweisung von Verantwortlichkeiten geht. Um diesbezüglich Klarheit zu schaffen, ist der EDSA der Ansicht, dass die Rolle und Verantwortlichkeit des Anbieters der KI genau definiert werden muss.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zu Big Data, Analytics & AI

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Aufgrund der Natur von KI könnte die Zuweisung der Verantwortung gegenüber einer Partei besonders schwierig sein, insbesondere dann, wenn die Beweislast beim Einzelnen liegt, da letzterer sich dessen möglicherweise nicht bewusst ist, dass KI verwendet wird.

In den meisten Fällen würden die notwendigen Informationen fehlen, um die schädliche Wirkung der KI zu beweisen. Daher müsse die Erklärbarkeit des Systems sichergestellt sein. Zu diesem Zweck betont der EDSA die positiven Auswirkungen der Einbeziehung systematischer menschlicher Überwachung von KI und der Transparenz für den Endverbraucher.

Haftung bei Attacken auf KI

Auch hinsichtlich möglicher Angriffe auf KI gibt es für die Datenschützer Regelungsbedarf:

Einschränkungen und Risiken beim Einsatz von KI-Systemen aufgrund verschiedener Arten von Angriffen, zum Beispiel Cyber-Attacken, sollten auch in den Verantwortlichkeits- und Haftungsregelungen berücksichtigt werden, so der EDSA.

Anbieter von KI-Systemen sollten dafür verantwortlich sein, Benutzern Minderungstools für bekannte und neue Typen von Angriffen bereitzustellen, und die KI-Anbieter sollten für die Einbettung von Security by Design während des gesamten Lebenszyklus der KI verantwortlich sein. Der EDSA ist der Auffassung, dass diese Maßnahmen verbindlich sein sollten, insbesondere wenn das KI-System als Sicherheitsmaßnahme für die Verarbeitung personenbezogener Daten verwendet wird.

Außerdem sollte das KI-System von einer gründlichen und zugänglichen Dokumentation begleitet werden, um die Ursache eines Systemausfalls zu verstehen, insbesondere wenn dies zu einer Datenschutzverletzung geführt hat, und um den Ausfall rechtzeitig stoppen zu können.

Die Rolle der Daten

Es sei von wesentlicher Bedeutung, dass in der bevorstehenden Rechtsordnung zur KI-Haftung der vorläufigen Bewertung der Qualität der Daten, die von maschinellen Lernalgorithmen verwendet werden, um ihre Entscheidungen zu treffen, eine vorrangige Rolle zukommt, so die Datenschützer.

Messbarkeit des Fairnessgrades und die Kausalität von algorithmischen Entscheidungen im Allgemeinen sollten eine Säule der neuen Haftungsregeln sein, um ein vertrauenswürdiges technologisches Umfeld zu schaffen und die negativen Auswirkungen zu begrenzen, die sich aus dem Auftreten von Fehlentscheidungen ergeben.

Wichtig sei es ebenfalls, die KI-Haftung eigenständig zu regeln und nicht nur innerhalb des AI Acts.

Der Grund: Die danach auferlegten Verpflichtungen gelten nur für eingeschränkte Kategorien von KI-Systemen mit hohem Risiko, wobei absehbar ist, dass einige KI-Systeme, die nicht in diese Kategorien aufgenommen wurden, ebenfalls zu Haftungsfällen führen könnten.

Es zeigt sich: Die Datenschützer haben viele zentrale Punkte der KI-Haftung angesprochen, die es zu regeln gilt, nicht nur im Sinne des Datenschutzes, sondern auch für den Verbraucherschutz und zur Klärung der KI-Compliance.

(ID:48229352)