Verantwortlichkeiten und Rollen bei KI-Systemen
Die KI-Verordnung (KI-VO) selbst sieht eine Verantwortlichkeit entlang der KI-Wertschöpfungskette vor, vgl. Art. 25 KI-VO.
Rollen gemäß der KI-Verordnung
Die KI-Verordnung definiert verschiedene Rollen. Bei ihnen wird u.a. unterschieden zwischen
- „Anbietern“ (Stellen, die ein KI-System oder ein KI-Modell mit allgemeinem Verwendungszweck entwickeln und in Verkehr bringen oder in Betrieb nehmen) nach Art. 3 Nr. 3 KI-VO und
- „Betreibern“ (Stellen, die ein KI-System in eigener Verantwortung im beruflichen Kontext verwenden) nach Art. 3 Nr. 4 KI-VO.
Allerdings greift die KI-Verordnung bezüglich der Verarbeitung personenbezogener Daten durch KI-Systeme nicht in den Regelungsbereich der Datenschutz-Grundverordnung (DSGVO) ein. Nach Erwägungsgrund 10 KI-VO bleiben die Pflichten der Anbieter und Betreiber von KI-Systemen als Verantwortliche oder Auftragsverarbeiter unberührt, soweit sich diese Pflichten aus dem Unionsrecht oder dem nationalen Recht über den Schutz personenbezogener Daten ergeben.
Die datenschutzrechtliche Verantwortlichkeit richtet sich folglich nach der DSGVO. Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat einen eigenen Versuch einer datenschutzrechtlichen Rolleneinteilung unternommen. Dabei unterscheidet das BayLDA wie folgt:
- Betreiber setzen KI-Systeme zu eigenen Zwecken ein und agieren somit in der Regel in eigener Verantwortlichkeit nach Art. 24 DSGVO.
- Dienstleister bieten die Nutzung von KI-Technologie den Betreibern an und agieren im Regelfall als Auftragsverarbeiter fü…