Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

01. November 2024

Verantwortlichkeiten und Rollen bei KI-Systemen

DP+
Die KI-Verordnung (KI-VO) sieht verschiedene Rollen und damit einhergehend verschiedene Verantwortlichkeiten für den Datenschutz vor.
Bild: iStock.com/Atomic62 Studio
0,00 (0)
KI-Einsatz wirft datenschutzrechtliche Fragen auf
Immer öfter und in immer mehr Bereichen kommt künstliche Intelligenz (KI) zum Einsatz. Doch wer ist eigentlich für die KI-Systeme verantwortlich? Die Frage stellt sich nicht nur aus haftungsrechtlicher Sicht, sondern insbesondere mit Blick auf den Datenschutz.

Die KI-Verordnung (KI-VO) selbst sieht eine Verantwortlichkeit entlang der KI-Wertschöpfungskette vor, vgl. Art. 25 KI-VO.

Rollen gemäß der KI-Verordnung

Die KI-Verordnung definiert verschiedene Rollen. Bei ihnen wird u.a. unterschieden zwischen

  • „Anbietern“ (Stellen, die ein KI-System oder ein KI-Modell mit allgemeinem Verwendungszweck entwickeln und in Verkehr bringen oder in Betrieb nehmen) nach Art. 3 Nr. 3 KI-VO und
  • „Betreibern“ (Stellen, die ein KI-System in eigener Verantwortung im beruflichen Kontext verwenden) nach Art. 3 Nr. 4 KI-VO.

Allerdings greift die KI-Verordnung bezüglich der Verarbeitung personenbezogener Daten durch KI-Systeme nicht in den Regelungsbereich der Datenschutz-Grundverordnung (DSGVO) ein. Nach Erwägungsgrund 10 KI-VO bleiben die Pflichten der Anbieter und Be­treiber von KI-Systemen als Verantwortliche oder Auftragsverarbeiter unberührt, soweit sich diese Pflichten aus dem Unionsrecht oder dem nationa­len Recht über den Schutz personenbe­zogener Daten ergeben.

Die datenschutzrechtliche Verantwortlichkeit richtet sich folglich nach der DSGVO. Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat einen eigenen Versuch einer datenschutzrechtlichen Rolleneinteilung unternommen. Dabei unterscheidet das BayLDA wie folgt:

  • Betreiber setzen KI-Systeme zu eigenen Zwecken ein und agieren somit in der Regel in eigener Verantwortlichkeit nach Art. 24 DSGVO.
  • Dienstleister bieten die Nutzung von KI-Technologie den Betreibern an und agieren im Regelfall als Auftragsverarbeiter fü…
Marc Wanner Dr. Sebastian Hartmann
+

Weiterlesen mit DP+

Sie haben noch kein Datenschutz-PRAXIS-Abo und möchten weiterlesen?

Weiterlesen mit DP+
Konzentrieren Sie sich aufs Wesentliche
Profitieren Sie von kurzen, kompakten und verständlichen Beiträgen.
Kein Stress mit Juristen- und Admin-Deutsch
Lesen Sie praxisorientierte Texte ohne Fußnotenapparat und Techniker-Sprech.
Sparen Sie sich langes Suchen
Alle Arbeitshilfen und das komplette Heftarchiv finden Sie online.
Verfasst von
Marc Wanner
Marc Wanner
Marc Wanner ist Volljurist und arbeitet bei der atarax Unternehmensgruppe. Er berät seit vielen Jahren Unternehmen unterschiedlichster Größe zum Thema Datenschutz.
Sebastian Hartmann, LL. M. Eur.
Dr. Sebastian Hartmann
Dr. Sebastian Hartmann, LL. M. Eur. ist Volljurist und Datenschutzberater bei der atarax Unternehmensgruppe, einem Dienstleister für strategische Unternehmenssicherheit und Haftungsmanagement.
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.