Teil 16: Wie Unternehmen beim Einsatz von KI Transparenz gewährleisten können

Der Datenschutz verlangt sie nach Ansicht von gewissen Datenschützern immer, der EU AI Act tut dies ausdrücklich nur in bestimmten Fällen, und in der "Ethik" ist sie eine Grundforderung: Transparenz beim Einsatz von KI. Doch wann und wie muss oder sollte ein Unternehmen Transparenz schaffen? In diesem Teil 16 unserer KI-Blog-Serie diskutieren wir rechtliche und ethische Grundlagen der Transparenz – und einen praktischen Ansatz zu ihrer Gewährleistung.

Es gibt manche Gründe, warum heute Transparenz beim Einsatz von KI gefordert wird. Transparenz soll betroffenen Personen erlauben, sich auf Entscheide und andere Ergebnisse von KI einstellen zu können, sie einzuordnen und möglicherweise sogar dagegen vorzugehen. Ein anderer Grund ist aber zweifellos auch die verbreitete Unsicherheit, was diese Technik kann und was sie in Bezug auf jeden einzelnen von uns bewirkt. Wir verspüren im Zusammenhang mit ihrem Einsatz einen Kontrollverlust betreffend die Bearbeitung unserer Daten und über uns getroffene Entscheide, die andere mithilfe einer Technik vornehmen, die viele von uns nicht ansatzweise verstehen, geschweige denn kontrollieren können. Dies führt zu einem Unbehagen, für das wir Massnahmen zum Umgang suchen. Weil wir solche nicht wirklich haben, greifen wir auf ein vermeintliches Patentrezept zurück, dessen wir uns in solchen Situationen gerne bedienen: die Schaffung von Transparenz.

Transparenz ist kein Patentrezept

Transparenz ist jedoch kein Patentrezept. Sie kann zwar unser Bewusstsein über die KI als mögliche Gefahrenquelle erhöhen, vermag den Kontrollverlust aber nicht wettzumachen. Auch wer erfährt, mit welchen KI-Techniken wir im Internet überwacht werden, kann sich als einzelne Person nur mässig dagegen wehren. Und ernsthafte Anstrengungen, um sich über diese Dinge ins Bild zu setzen, betreiben ohnehin nur die wenigsten von uns. Anders als bei gewissen anderen Techniken stellen Sozialwissenschaftler inzwischen sogar fest, dass das Interesse des Publikums, KI zu verstehen und etwas darüber zu lernen, stagniert oder sogar zurückgeht. Dabei fehlt es nicht an Informationen, wie KI funktioniert, wo sie zum Einsatz kommt und was sie wirklich kann (und was nicht).

Für ein solches Desinteresse gibt es manche Gründe. Der Informationsaufwand steigt stetig, die Interventionsmöglichkeiten nehmen ab, die Gewöhnung an die Technik nimmt zu und damit sinkt auch der Leidensdruck. Wir alle haben diese Erfahrungen mit der Verarbeitung unserer Daten und den dazu passenden Datenschutzerklärungen gemacht: Das Gesetz schreibt diese Erklärungen zwar vor, aber eine Mehrheit sieht in ihnen keinen Beitrag zum Datenschutz sondern eine Alibiübung. Die betroffenen Personen interessiert sie normalerweise nicht. Nur die Aufsichtsbehörden stellen immer absurdere Anforderungen an Datenschutzerklärungen.

Im Bereich der künstlichen Intelligenz zeichnet sich eine ähnliche Entwicklung ab. Datenschutz-Aufsichtsbehörden wie der Schweizer Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) fordern öffentlich, dass bei jedem Einsatz von KI offengelegt werden muss, wozu dies geschieht, was genau vor sich geht und welche Daten hierfür benutzt werden. Eine gesetzliche Grundlage für eine solch umfassende Forderung wird von ihm zwar behauptet, existiert aber nicht. Die Vorgabe ist viel zu absolut, macht so keinen Sinn und wird auch nicht eingehalten – sicher auch nicht vom EDÖB. KI ist schon seit Jahren an so vielen Orten im Einsatz, dass eine vollständige Offenlegung jeden Rahmen sprengen würde.

Die Forderung nach totaler Transparenz verkennt, dass "KI" als Technik zunächst nur bedeutet, dass ein Computersystem nicht nur deterministisch von einem Menschen ausprogrammiert, sondern sein System auf Basis von Beispielen trainiert worden ist. So ist es in der Lage, Ergebnisse nicht nur "linear" zu berechnen, sondern auch "non-lineare" Muster zu erkennen, womit es vereinfacht gesagt als "autonom" gilt und damit als KI im rechtlichen Sinne (z.B. unter dem EU AI Act). Über das damit für betroffene Personen verbundene Risiko einer Anwendung – dem zentralen Element – sagt dies rein gar nichts aus: Viele Antispam-Scanner sind schon seit Jahren KI-basiert, und es käme niemand auf die Idee, ihre Verwendung speziell auszuweisen und so im geforderten Sinne transparent zu machen. So gibt es auch viele andere, alltägliche KI-Anwendungen, deren Einsatz sicherlich nicht offengelegt werden müssen – von der Textübersetzungen mit Tools wie "DeepL" über die Zeichenerkennung (OCR) die heute in zahlreichen Büroscannern und oder in unseren PDF-Readern stecken bis hin zur Fotografie- und Bildbearbeitungssoftware auf heutigen Mobiltelefonen oder bildbasierenden Fahrassistenzsystemen in unseren Autos. Techniken der KI gibt es seit Jahrzehnten und vielerorts ist sie für uns so selbstverständlich, dass wir keinen Gedanken darauf verschwenden (wie diese Techniken funktionieren werden wir in einem weiteren Blog-Beitrag am Beispiel eines Large Language Modells erklären). Was erst seit kurzem von einer breiteren Öffentlichkeit bestaunt wird, sind neue Entwicklungen in bestimmten Bereichen, wie etwa der generativen KI. Allerdings gibt es auch hier für uns alle bereits bestens vertraute und als harmlos beurteilte Anwendungen wie die bereits genannten Textübersetzungssysteme, die ebenfalls generative KI in ihrer reinsten Form sind.

Doch warum ist Transparenz auch im Bereich KI kein Allerheilmittel? Das Konzept der Problemlösung durch Transparenz basiert im Bereich der KI auf dem Verständnis, dass eine von der KI betroffene Person eine realistische Chance hat, sich der KI zu entziehen oder deren Einsatz Einfluss zu nehmen – es quasi eine "algorithmische" Selbstbestimmung gibt. Diese besteht in der Praxis oft nicht wirklich und selbst dort, wo sie an sich bestünde, ist es für eine durchschnittlich verständige Person kaum möglich, eine vernünftige Entscheidung zu treffen, weil ihr normalerweise das dafür nötige technische Verständnis fehlen wird, um die Wirkungsweise und Konsequenzen des Einsatzes von KI zu verstehen. Dies kann auch kaum in praktikabler Form für den Alltagsgebrauch vermittelt werden, abgesehen davon, dass sich die meisten Menschen gar nicht dafür interessieren. Kommt hinzu, dass nicht einmal Experten bei manchen Anwendungen von KI heute wissen, warum die Systeme genau das tun, was sie tun. Also kann unter dem Titel der Transparenz maximal ein sehr grobes Bild dessen vermittelt werden, was KI tut und wie die Entscheide ungefähr ablaufen. Das wiederum bedeutet, dass es bei Lichte betrachtet letztlich zum reinen Bauchentscheid wird, ob sich jemand dafür oder dagegen entscheidet, zum Beispiel eine Stellenbewerbung bei einer Firma einzureichen, welche diese mit einer KI vorprüft. Auch die Möglichkeit eines solchen Bauchentscheids kann ein Gewinn an Selbstbestimmung sein, aber das Beispiel zeigt, dass es die eigentlichen Probleme, welche ein solcher Einsatz von KI mit sich bringt, wie etwa die mangelnde Zuverlässigkeit der Outputs einer KI, nicht löst. Es wird sicherlich solche Bewerbende geben, die sich angesichts des Wissens, dass eine KI ihre Bewerbung prüft, ohnmächtig und damit netto schlechter fühlen, als wenn dies eine menschliche HR-Person tut, selbst wenn sie die Unterlagen nicht nur voreingenommen, sondern auch zufällig prüfen sollte.

Der Ruf nach Transparenz als Schutzmassnahme birgt dabei ihrerseits Risiken: So kann sie den Eindruck vermitteln, dass die Verantwortung damit an die betroffenen Personen abgeschoben wird – nach dem Motto "sie sind ja informiert und können sich wehren, wenn es ihnen nicht passt." Im Schweizer Datenschutzrecht ist das ein Grundprinzip. Ebenso führt eine zu breit angesetzte Transparenzpflicht zu einer Inflation an Information, welche wiederum eine "attention fatique" bewirkt, eine Abnahme der Aufmerksamkeit seitens der betroffenen Personen: Vor lauter Informationen nehmen sie sie gar nicht mehr wahr, wodurch die wirklich wichtigen Informationen untergehen. Die Pflicht zur Datenschutzerklärung und Cookie-Bannern hat das eindrücklich gezeigt. Gut gemeinte gesetzliche Vorgaben sind eben oft nicht zwangsläufig gut. So verhält es sich auch bei manchen Forderungen nach Transparenz in Bezug auf KI.

Augenmass ist also angezeigt. Entscheidend muss daher in der Regel sein, wofür ein System eingesetzt wird und welches Risiko damit verbunden ist, und nicht, ob ihm eine bestimmte Technik zugrunde liegt. Informiert werden sollte dort, wo es wirklich wichtig ist, damit sich betroffene Personen darauf einstellen. Das Giesskannenprinzip hat hier keinen Platz. Wir gehen daher davon aus, dass extreme Forderungen, wie sie etwa der EDÖB postuliert, mit wachsender KI-Gewöhnung und zurückgehendem GenKI-Hype ebenfalls wieder verschwinden werden.

Wo und wann sie wirklich vorgeschrieben ist

Rechtlich ist Transparenz über den Einsatz von KI im europäischen Datenschutzrecht grundsätzlich in diesen vier Fällen zwingend (für das US-Recht fand wir z.B. den Blog-Beitrag unserer Kollegen von Orrick hilfreich):

• Im Rahmen der Informationspflicht (Art. 13/14 DSGVO, Art. 19 ff. CH DSG): Hier geht es um die Datenschutzerklärung, die von bestimmten Ausnahmen abgesehen immer dann erforderlich wird, wenn personenbezogene Daten beschafft, d.h. planmässig erhoben werden. Angegeben werden müssen Dinge wie die Bearbeitungszwecke, die Kategorien von Daten, die über Dritte beschafft werden, aber grundsätzlich nicht die Computertechniken, mit denen diese Daten bearbeitet werden. Ob ein ausprogrammiertes oder aber ein trainiertes (d.h. KI-) Computersystem Daten verarbeitet, spielte bisher nie eine wesentliche Rolle und tut es grundsätzlich auch weiterhin nicht. Selbstverständlich ist es als Zweck offenzulegen, wenn Daten eines Kunden nicht nur zur Vertragsabwicklung, sondern auch für das Training eines KI-Modells genutzt werden sollen, aber dabei ist der (weitere) Verwendungszweck und nicht die Technik der Grund für die Transparenz. Vier Caveats sind hier anzubringen: Erstens kann der Einsatz von KI zur Beschaffung neuer personenbezogener Daten führen, die auszuweisen ist. Wer eine generative KI dazu nutzt, Analysen einer natürlichen Person zu erstellen, beschafft sich neue personenbezogene Daten über diese Person, und zwar nicht direkt von ihr, sondern indirekt. Dies heisst, dass diese Kategorie von personenbezogenen Daten in der Datenschutzerklärung offengelegt werden muss. Zweitens besteht die Pflicht, über bestimmte automatisierte Einzelentscheide (nach EU-Datenschutz-Grundverordnung, DSGVO, inklusive Profiling) zu informieren. Dies kann KI betreffen, aber ebenso gut andere Techniken. Neu ist das zudem nicht. Hier ist auch zu bedenken, dass automatisierte Einzelentscheide/Profiling auch zu weiteren Betroffenenrechten führen können (namentlich dem Recht auf menschliches Gehör). Die meisten Datenschutzerklärungen erwähnen solches ebenfalls. Drittens sieht das Schweizer Datenschutzgesetz (CH DSG) als Sonderregelung vor, dass auch alle sonstigen Angaben zur Gewährleistung einer "transparenten Datenbearbeitung" in der Datenschutzerklärung aufzuführen sind. Das ist jedoch eine Regelung für Ausnahmefälle, die entsprechend selten greift. Der Einsatz von KI löst sie nicht per se aus, und weiter als Art. 13/14 DSGVO geht Art. 19 CH DSG auch damit in der Regel nicht. Viertens gehen wir davon aus, dass bestimmte Datenschutzbehörden auf die Idee kommen werden, den Beizug von KI-Dienstleistern wie OpenAI oder Microsoft namentlich offenlegen zu müssen, so wie sie dies auch beim Einsatz von Drittanbietern im Rahmen der Online-Aktivitäten eines Unternehmens verlangen. An sich sehen weder die DSGVO noch das CH DSG die Pflicht vor, Provider als Empfänger von personenbezogenen Daten in einer Datenschutzerklärung beim Namen zu nennen; es genügt die Angabe von Kategorien. Wo jedoch Provider selbst die Aktivitäten des Unternehmens nutzen, um personenbezogene Daten für eigene Zwecke zu erheben, wird eine ausdrückliche Erwähnung in der Regel angezeigt sein. Ist der Provider ein reiner Auftragsbearbeiter, sehen wir jedenfalls rechtlich keinen Grund zur namentlichen Nennung.
• Im Rahmen der Erkennbarkeit des Zwecks einer Datenverarbeitung und deren weiteren wichtigen Parameter (Art. 5(1)(a) und (b) DSGVO, Art. 6 Abs. 2 und 3 CH DSG): Personenbezogene Daten dürfen normalerweise nur für jene Zwecke verarbeitet werden, die bei ihrer Beschaffung erkennbar waren oder die mit diesem Zweck vereinbar sind. Wenn wir von Fällen wie dem Training einer KI absehen, ergibt sich der Bearbeitungszweck normalerweise unabhängig von der dazu verwendeten Technik. Immerhin kann nach dem Prinzip von Treu und Glauben bzw. Fairness auch abgeleitet werden, dass auch andere wichtige Parameter einer Datenverarbeitung für die betroffenen Personen erkennbar sein müssen, damit sie sich entscheiden können, ob sie ihre personenbezogenen Daten bereitstellen oder ihrer Verarbeitung gar widersprechen. Hier macht Transparenz sehr viel Sinn und ist im Sinne des Erfinders. Doch auch dabei führt der Einsatz von KI nicht automatisch zur Transparenzpflicht. So ist es ohne Weiteres denkbar, dass die Tatsache, dass Daten einer betroffenen Person mittels KI (statt anderer Methoden) verarbeitet werden, für diese Person objektiv gesehen irrelevant ist oder sie von einer solchen Verarbeitung ausgehen muss, weil sie sich aus den Umständen ergibt. Wer über eine Bank Transaktionen tätigt, muss heute davon ausgehen, dass sie diese auch mittels KI auf Hinweise auf Geldwäscherei und illegale Aktivitäten untersucht. Wer einem Unternehmen einen Text sendet, wird davon ausgehen müssen, dass dieser Text mittels KI auf Malware geprüft wird, möglicherweise mittels generativer KI übersetzt wird und auch in seinem Inhalt analysiert oder zusammengefasst wird. Keiner dieser Vorgänge bedarf einer separaten Offenlegung. Die Frage lautet daher: Müssen betroffene Personen damit rechnen, dass KI in der konkreten Weise ohne besonderen Hinweis eingesetzt wird? Ist die Antwort objektiv gesehen ja, so ist keine Offenlegung erforderlich. Es ist dabei davon auszugehen, dass das, was als "normal" erachtet wird, sich laufend weiterentwickelt. Mit anderen Worten: Ist GenKI dereinst überall im Einsatz, muss dann auch ständig damit gerechnet werden.
• Im Rahmen einer Einwilligung (Art. 4 Nr. 11 DSGVO, Art. 6 Abs. 6 CH DSG): Mit dem Grundsatz der Erkennbarkeit verwandt ist das Erfordernis, dass eine Einwilligung nur dann gültig ist, wenn sie auf informierter Basis erfolgt ist, d.h. der betroffenen Person klar ist, worin sie einwilligt. Auch hier wird die für eine Verarbeitung verwendete Technik (sprich: KI) nicht per se zu einer Offenlegung führen. In der Praxis viel wichtiger sein wird der Zweck, zu welchem Daten verarbeitet werden. Das Gegenbeispiel wird vor allem Vorgänge sein, in welchen eine KI benutzt wird, um wichtige Entscheidungen zu treffen oder vorzubereiten, etwa wenn es darum geht, von einem Bewerber auf eine Stelle eine Einwilligung zur KI-Prüfung seines Dossiers zu erhalten. Hier wird den Bewerber interessieren, ob ein Mensch aus Fleisch und Blut oder eine Maschine seine Daten beurteilt. Darum geht es bei der Transparenz im Datenschutz: Die betroffene Person soll entscheiden können, ob sie ihre Daten von einer verantwortlichen Stelle für einen bestimmten Zweck verarbeiten lässt. Ist es objektiv relevant zu wissen, ob und wie eine KI dies in massgeblicher Weise tut, ist auch Transparenz angezeigt. Dies ist bei der Prüfung von Bewerbungsunterlagen nicht zwangsläufig der Fall, jedenfalls wenn GenKI einen menschlichen Prüfer nur unterstützt (auch wenn dies nach EU AI Act ein "Hoch-Risiko"-KI-System sein mag).
• Im Rahmen des Auskunftsrechts (Art. 15 DSGVO, Art. 25 f. DSG): Dies ist das Gegenstück zur proaktiven Information im Rahmen einer Datenschutzerklärung. Sie geht mitunter etwas weiter, weil hier auf spezifische Fragen reagiert werden muss, und dies einen höheren Grad an Spezifizierung der Information erfordern kann. So ist unter der DSGVO inzwischen vom EuGH klargestellt worden, dass ein Unternehmen auch über die spezifischen Empfänger von personenbezogenen Daten informieren muss, nicht nur über deren Kategorien. Wenn also eine betroffene Person wissen will, ob einem bestimmten KI-Dienstleister ihre personenbezogenen Daten übermittelt werden, kann sie darüber Auskunft verlangen.

In allen Fällen sehen wir in der Praxis, dass Unternehmen in Bezug auf die Transparenzpflicht nicht nur an die KI als solche denken sollten, sondern auch an die Datenverarbeitungen, die im Rahmen oder aus Anlass der KI ebenfalls stattfinden. Wenn ein Unternehmen einen Chatbot für seine Mitarbeitenden lanciert und sämtliche Dialoge aufzeichnet (Audit Trails, Logs) und allenfalls sogar für das eigene Training auswertet, dann sollten die Mitarbeitenden darüber informiert werden. Sie werden sich dann genau überlegen, was sie dem Chatbot des Unternehmens an privaten oder persönlichen Informationen anvertrauen wollen.

Ferner kann Transparenz indirekt rechtlich erforderlich sein, wenn sie gegenüber denjenigen nötig ist, welche ein KI-System bedienen sollen und daher wissen müssen, dass es möglicherweise gewisse Risiken birgt, auf die sie für einen rechtskonformen Einsatz zu achten haben. Selbst wenn der Einsatz eines KI-Systems gegenüber den davon betroffenen Personen nicht dargelegt werden muss, kann zum Beispiel generative KI zu Fehlern  führen, auf welche die Mitarbeitenden beim Einsatz solcher Systeme besonders achten müssen. Tun sie das nicht, kann zum Beispiel der Grundsatz der Richtigkeit von Personendaten verletzt werden, wenn Gespräche falsch protokolliert werden, oder falsche Zahlen Eingang in die Buchhaltung finden, weil eine KI-gestützte Umwandlungen von Zahlen auf Belegen nicht richtig funktioniert hat. 

Auch Gesetze ausserhalb des Datenschutzes können selbstverständlich Transparenz über den Einsatz von KI erfordern. Das ist aber heute die Ausnahme, und diese Bestimmungen sind nicht KI-spezifisch, sondern finden beim Einsatz von KI auch Anwendung, sobald die Voraussetzungen gegeben sind:

• Ein Beispiel ist Verordnung 3 zum Schweizer Arbeitsgesetz, welche unter anderem die Verhaltensüberwachung am Arbeitsplatz verbietet (Art. 26); sind Überwachungssysteme aus anderen Gründen erforderlich, kann eine Information und Konsultation der Arbeitnehmer nötig sein (Art. 6). Ob aber eine solche Überwachung z.B. aus Gründen der Sicherheit mit KI oder ohne KI stattfindet, ändert an der Informationspflicht jedoch nichts.
• Genauso kennt das Lauterkeitsrecht keine grundsätzliche Pflicht zur Offenlegung des Einsatzes von KI, wie wir in Teil 9 unserer Blog-Serie dargelegt haben. Es gibt heute noch nicht einmal eine allgemeine Pflicht zur Deklaration von Deep Fakes; das wird erst im Rahmen des EU AI Acts eingeführt werden (dazu sogleich). Selbstverständlich kann aber der Einsatz von KI, wenn er etwa der Täuschung dient, als solcher mit bestehenden Erlassen erfasst werden.

Wir gehen davon aus, dass in künftiger Regulierung Transparenz betreffend KI punktuell vorgeschrieben werden könnte, beispielsweise in hochregulierten Bereichen wie etwa dem Versicherungsrecht oder etwa in Lehre und Forschung, wie z.B. in einer Prüfungsordnung (Verwendung von Transparenz für das Verfassen von Arbeiten), oder z.B. bei Eingaben an staatliche Stellen (z.B. verlangt das U.S. Copyright Office die Offenlegung von KI in Werken, die zur Registrierung angemeldet werden).

Selbstverständlich enthält der EU AI Act einige Vorschriften, die Transparenz über den Einsatz von KI erfordern, etwa im Falle des Einsatzes von Emotionserkennung am Arbeitsplatz, wo Menschen mit einer KI interagieren (und dies nicht erkennen können) oder bei der Markierung von Deep Fakes oder von KI-generierten oder manipulierten Inhalten (siehe unser Teil 7 unserer Blog-Serie). Diese Transparenzvorschriften gelten übrigens für alle KI-Systeme, nicht nur jene, die nicht als hochriskant gelten.

Warum freiwillig Transparenz über KI schaffen

Dies gesagt, gibt es manche Unternehmen, die in Sachen Transparenz freiwillig weiter gehen wollen als das, was (heute) gesetzlich vorgeschrieben ist. Wir bewegen uns dabei im Bereich der "Business-Ethik", also den übergesetzlichen Regeln, die sich ein Unternehmen freiwillig auferlegt, um den Erwartungen von bestimmten Stakeholdern zu entsprechen. Unternehmen tun dies nach unserer Erfahrung zwar primär aus Furcht vor Vertrauens- und Reputationsverlust (oder umgekehrt, weil sie sich durch die Bekanntgabe solcher Vorgaben Marketingeffektive erhoffen) und nicht, weil ihnen Transparenz als Wert intrinsisch wichtig ist. Das vermindert aber nicht die positiven Effekte, die es haben kann, wenn Transparenz über den Einsatz von KI auch dort geschaffen wird, wo sie gesetzlich nicht zwingend wäre.

Was aber sind diese positiven Effekte? Was kann über die reine Compliance hinaus für die Schaffung von Transparenz sprechen? Hier einige Beispiele:

• Transparenz kann einer betroffenen Person die Wahl ermöglichen zu entscheiden, wie sie beraten oder sonst behandelt werden soll (z.B. von einer KI oder einem Menschen). Eine solche Wahl muss nicht zwangsläufig "gegen die Maschine" ausfallen. Die Wissenschaft zeigt, dass computergestützte Entscheidungen in vielen Bereichen weniger zufällig und damit qualitativ besser sind als solche von Menschen, die eben nicht nur Vorurteilen (Verzerrungen, Bias) unterliegen wie schlecht trainierte KI, sondern oft auch von sachfremden Faktoren beeinflusst sind (Verstreuungen, Noise). Die Qualität eines Entscheids ist allerdings nicht das einzige relevante Kriterium. Es kann auch eine Frage der Menschenwürde sein, dass von einem Menschen nicht verlangt wird, sich in wichtigen Dingen dem Diktat einer Maschine statt eines Menschen zu unterwerfen. Wie oben schon bemerkt ist diesbezüglich freilich zu berücksichtigen, dass Betroffene oft nicht wirklich die Wahl haben werden, über den Einsatz von KI zu entscheiden. Immerhin kann Transparenz in solchen Fällen den Ansatz eines Gefühls der Selbstbestimmung vermitteln.
• Transparenz kann einer Person helfen, Ergebnisse einer KI besser einzuschätzen und Schwächen zu akzeptieren. Wer weiss, dass ein bestimmter Text von einem LLM produziert worden ist und weiss, wie ein LLM funktioniert, kann die Qualität des Inhalts verstehen und weiss, dass er sich nicht von der perfekten Formulierung darüber täuschen lassen darf, dass er den Text genau auf Richtigkeit kontrollieren muss. Transparenz kann in diesem Sinne die Form eines Disclaimers bzw. Warnhinweises haben, welcher ein Erwartungsmanagement betreibt und so den Anbieter einer KI-Lösung vor rechtlicher Verantwortung schützt, weil er dem Benutzer etwa gesagt hat, dass die Antworten der Maschine Fehler oder Vorurteile enthalten können, so gut sie auch klingen mögen.
• Transparenz kann dazu beitragen, das Vertrauen der Nutzer oder Öffentlichkeit zu stärken. Wenn Menschen verstehen, wie Entscheidungen getroffen werden oder wie KI zum Einsatz kommt und warum, können sie womöglich eher Vertrauen in diese Technik gewinnen – und in das Unternehmen, das sie einsetzt. Die Technik selbst werden erfahrungsgemäss die wenigsten verstehen wollen. Sie wollen aber den Eindruck haben, dass Unternehmen, die diese Technik einsetzen, wissen, was sie damit tun, und auch entsprechende Massnahmen treffen. Doch auch andere Aspekte können hier relevant werden. So sollte nicht nur erwogen werden, über den Einsatz von KI zu informieren, sondern auch darüber zu informieren, wo keine KI eingesetzt wird oder KI nur untergeordnet zum Einsatz kommt. In diesem Zusammenhang sind die Medien zu erwähnen, weil aus Sicht von Mediennutzern die Qualität und die Glaubwürdigkeit von KI-generierten Inhalten tiefer ist als solche, die von einem Menschen stammen. Für ein Medienhaus kann es daher interessant sein herauszustreichen, dass es KI für bestimmte Zwecke nicht benutzt oder quasi-verbindlich erklärt, dass es den Einsatz von KI in bestimmten Bereichen offenlegt.
• Transparenz kann Verantwortlichkeit lenken, so dass Unternehmen durch ein Bekenntnis zum Einsatz von KI in bestimmten Bereichen Verantwortung selbst übernehmen oder eben auch anderen zuweisen können. So wie im Datenschutz festgehalten werden muss, wer die für eine Datenbearbeitung "verantwortliche Stelle" (Controller) ist (welche dann auch mit Begehren von betroffenen Personen eingedeckt oder verklagt werden kann), ist es auch im Bereich der KI möglich, die Verantwortlichkeit für den Einsatz bestimmter Anwendungen zum Beispiel in einer Gruppe oder bei verschiedenen Partnern an bestimmter Stelle festzumachen, d.h. den betroffenen Personen zu sagen, wer dafür verantwortlich ist, wenn ihre Daten (auch) mittels KI verarbeitet werden, und wer nicht. Der EU AI Act nimmt das Prinzip übrigens auf und knüpft Verantwortlichkeit unter anderem daran an, unter wessen Namen oder Markenzeichen ein KI-System angeboten bzw. vertrieben wird. Das kann zum Beispiel dazu führen, dass es für ein Unternehmen rechtlich von Vorteil sein kann, wenn es den Chatbot auf seiner Website, der von einer anderen Firma betrieben wird, auch als Chatbot eben dieser anderen Firma ausgewiesen wird ("Powered by …"), um nicht selbst als Anbieter qualifiziert zu werden.

Und noch ein Punkt, der halbwegs in das Kapitel "freiwillige Transparenz" gehört: Fragen Sie sich, ob Sie in Zukunft mit den heute beschafften Daten etwas tun wollen, dass eine Anpassung der Datenschutzerklärung heute schon rechtfertigt. Das kann zum Beispiel die Verwendung von Personendaten für das Training einer KI sein. Wir gehen davon aus, dass viele Unternehmen ein solches Bedürfnis entwickeln und sich dann fragen werden, ob sie dies dürfen mit den Daten, die sie bereits in der Vergangenheit gesammelt haben. Wer dies heute schon in seiner Datenschutzerklärung erwähnt, hat es später leichter, sich darauf zu berufen, dass die zwischenzeitlich gesammelten Daten für diesen Zweck genutzt werden können (wir werden noch in einem separaten Blog darauf eingehen, was für das Training von KI-Modellen zu beachten ist).  

Wie aber konkret informieren in der Praxis?

Entscheidet sich ein Unternehmen dazu, über seinen Einsatz von KI in bestimmten Anwendungen zu informieren, kommen in der Praxis vor allem drei Wege zum Einsatz (die auch kombiniert werden können):

• Datenschutzerklärung erweitern: Es wird die bestehende Datenschutzerklärung benutzt, um auch über den KI-Einsatz zu informieren. Nötig ist das sowieso dort, wo der Datenschutz zusätzliche Angaben verlangt, wie beispielsweise die Verwendung von personenbezogenen Daten für KI-Zwecke (inklusive dem Training von KI-Modellen, allenfalls auch nur für die Zukunft), die Generierung von neuen Daten über eine Person oder wenn über bestimmte Datenempfänger informiert werden soll oder muss. Zu denken ist auch an allenfalls anwendbare KI-Vorschriften in ausländischen Zielmärkten, in denen das Unternehmen tätig ist (in den USA gibt es zum Beispiel in diverse US-Bundesstaaten spezielle "opt-out"-Rechte in Bezug auf KI-basierte Entscheide und es wird auch empfohlen anzugeben, wenn Daten für das KI-Training verwendet werden). Die Datenschutzerklärung kann sich jedoch auch anbieten, um freiwillige Informationen über die Verwendung von KI zu präsentieren, beispielsweise in einem separaten Abschnitt zum Thema (so wie auch über Datenbearbeitungen auf Websites typischerweise separat informiert wird). Darin wird übersichtsartig dargelegt, in welchen Bereichen und für welche Zwecke KI eingesetzt wird. Wer weitergehen will, kann auch angeben, welche Daten hierfür verwendet werden und ggf. sogar welche Techniken bzw. Modelle (die jedoch erfahrungsgemäss immer wieder ändern). Das Unternehmen sollte sich überlegen, auch jene Dinge festzuhalten, die es nicht tun will, beispielweise die Weitergabe an fremde Provider für deren KI-Modell-Training – das ist das, wovor das Publikum sich besonders fürchtet. Die Aufnahme solcher Zusätze in einer Datenschutzerklärung will allerdings gut überlegt sein, zumal sie freiwillig sind: Das Unternehmen bindet sich damit in einem Bereich, in dem es nicht weiss, wo es als Nutzer der Technik und die Technik selbst in einem Jahr steht und was das Unternehmen dann tun will. Das Unternehmen kann zwar seine Datenschutzerklärung jederzeit anpassen, doch ein "Rückschritt" (zuerst wird versprochen, dass Daten nicht auf eine bestimmte Weise genutzt werden und dann tut es das Unternehmen doch) kann reputationsmässig sehr viel negativer ausfallen als wenn von Beginn weg nichts kommuniziert worden ist. Zudem wirkt eine solche Anpassung in Bezug auf die zwischenzeitlich gesammelten (personenbezogenen) Daten nur für die Zukunft. Kommt hinzu, dass ein Unternehmen sich die Äusserungen auf einer Datenschutzerklärung mindestens in Bezug auf personenbezogene Daten entgegenhalten lassen muss. Stellen sich diese als falsch oder unvollständig heraus, sind sogar Bussen denkbar, auch wenn über Dinge informiert worden ist, über welche überhaupt nicht hätte informiert werden müssen. Für die Verwendung der Datenschutzerklärung für Transparenz über KI-Anwendungen spricht, dass es sie bereits gibt und viele betroffene Personen sich vermutlich auch dort danach erkundigen werden.
• Information im Rahmen der KI-Anwendung selbst (oder ihres Outputs): Werden konkrete KI-Anwendungen betrieben oder Daten für eine solche erhoben, kann darüber in der direkten Interaktion mit den betroffenen Personen am Ort der Anwendung informiert werden. Wer beispielsweise einen Chatbot auf seiner Website oder im Intranet einsetzt, mag hierfür einen kurzen Disclaimer verwenden, der z.B. auch angibt, dass die Dialoge aufgezeichnet, aber nicht für das Training benutzt werden. Es können auf einer separaten Seite weitergehende Informationen angeboten werden. Wer Stellenbewerber mittels KI beurteilt und zum Ergebnis kommt, dass er dies offenlegen muss (was in gewissen Konstellationen nicht der Fall sein muss), kann dies beispielsweise in einem Stelleninserat mit einem Stichwort "KI-Check" andeuten und ggf. auf weiterführende Hinweise verweisen; für die meisten Bewerber wird klar sein, in welche Richtung der Hinweis in einem solchen Kontext geht und sich bei Interesse weiter informieren. Da der Hinweis letztlich zum Zeitpunkt erfolgen muss, an dem der Stellenbewerber seine Bewerbung abgibt und damit der KI ausgesetzt wird, kann ein solcher Hinweis bei der Verwendung eines Bewerbungsportals auch erst dort angebracht werden, wo der Bewerber seine Unterlagen hochlädt. Da keine spezifischen Vorgaben bestehen, über welche Aspekte informiert werden müssen, ist das Unternehmen frei, sich dem konkreten Fall und dem damit verbundenen Risiko (für die betroffenen Personen) anzupassen. Werden KI-Bilder oder andere Inhalte generiert, wird ein kleiner, unauffälliger Hinweis wie "AI-gen" genügen, um den Transparenzerwartungen gerecht zu werden. Das Beispiel zeigt auch, dass der Einsatz von KI nicht immer eine Frage des Datenschutzes ist: Das Transparenz-Erfordernis in Bezug auf Deep Fakes zielt nämlich nicht auf den Schutz von Personen vor einer Verarbeitung ihrer Daten ab, sondern es soll vor allem eine Täuschung des Publikums verhindern.
• Verwendung einer "KI-Erklärung": Gemeint ist eine Erklärung ähnlich der Datenschutzerklärung, die ähnlich wie diese, jedoch von ihr getrennt kommuniziert wird. Sie kann auf der Website nebst der Datenschutzerklärung publiziert werden. Sie beschreibt in allgemeiner Form, wo und wie das Unternehmen Techniken der KI einsetzt, um dann einzelne Anwendungsfälle und allenfalls auch spezifische Techniken und Situationen herauszugreifen. Einen vorgegebenen Inhalt gibt es nicht, da eine solche Erklärung vom Gesetz jedenfalls bisher nicht vorgeschrieben ist. Das Unternehmen kann aber auf diese Weise dem Publikum einerseits vermitteln, wie innovativ es beim Einsatz von KI ist, und andererseits einen verantwortungsvollen Umgang damit mindestens suggerieren, indem es Transparenz herstellt und Verantwortung übernimmt. Wie glaubwürdig eine solche Bekenntnis ist, hängt unseres Erachtens davon ab, ob eine solche KI-Erklärung aus lauter Gemeinplätzen besteht oder ob das Unternehmen konkret wird und den Eindruck vermittelt, dass es über die geschaffene Transparenz hinaus sich im Einsatz auch über das Gesetz hinaus einschränkt oder den Einsatz mindestens regelt. Wer zwar informiert, aber zu erkennen gibt, dass er in Bezug auf die KI an die Grenze gehen will, für den ist eine KI-Erklärung nach unserer Einschätzung kein passendes Instrument, weil die Erklärung dem Publikum negative Assoziationen vermitteln wird; es ist dann primär ein Disclaimer. Aus Studien in der Praxis ist bekannt, dass selbst gut gemachte Datenschutzerklärungen ihren Lesern in der Regel kein positives Gefühl vermitteln, da diese Leser sich bewusst werden, wie viel mit ihren Daten getan wird. Wenn ein Online-Medium in seinem Cookie-Consent offenlegt, dass mit einer Zustimmung >800 Werbepartner die Daten des Benutzers erhalten (was im Bereich des Real-Time-Bidding nicht ungewöhnlich ist), dann schreckt das solche zweifellos ab. In einer KI-Erklärung können ferner die Rechte der betroffenen Personen thematisiert werden, die das Unternehmen ihnen gewähren will; hier empfiehlt es sich, diese klar von jenen im Rahmen des anwendbaren Datenschutzrechts zu trennen, wie dies auch der EU AI Act tut, der nur ein weiteres eigenes Betroffenenrecht definiert (zu berücksichtigen sind aber auch die zunehmende Zahl an KI-Regulierungen in anderen Ländern, in denen das Unternehmen tätig ist).

Weitere Empfehlungen

Jedes Unternehmen wird seinen Weg – und allenfalls eine Kombination der obigen Varianten – selbst festlegen müssen. Einige Praxishinweise sollte es dabei beachten:

• Die meisten Unternehmen stossen auf das Thema Transparenz, weil sie sich mit den Regeln für den internen Einsatz von KI beschäftigen. Rasch wird in einer Weisung festgehalten, dass der Einsatz von KI transparent erfolgen soll. Eine solche Vorgabe klingt gut und wird auch breite Zustimmung finden – bis das Unternehmen sich an deren Operationalisierung machen muss. Es wird feststellen, dass eine bedingungslose Transparenz, wie sie auch der EDÖB fordert, nicht umzusetzen ist, weil KI heute an sehr vielen Orten zum Einsatz kommt, wo Transparenz nicht erforderlich ist und keinen Sinn macht. Darum sollte ein Unternehmen sich maximal eine "angemessene" Transparenz verordnen. Es muss dann für jede Anwendung bestimmt werden, wie weit das Unternehmen gehen muss. Doch auch dies wird für manche letztlich zu weit gehen, wenn sie dies in Gedanken durchspielen. Sie werden feststellen, dass wenn sie ihren Mitarbeitenden Tools wie ChatGPT, Copilot oder dergleichen zur Verfügung stellen, sie gar nicht wissen, was sie Dritten kommunizieren sollen. In solchen Fällen kann das Konzept der KI-Erklärung (oder einer Ergänzung der Datenschutzerklärung) der kleinste gemeinsame Nenner sein: Das Unternehmen verzichtet auf eine allgemeine Transparenz-Vorgabe, richtet aber die KI-Erklärung als Ersatz dafür ein. Auch wenn das als Alibi oder Feigenblatt erscheinen mag: Das Unternehmen kann für sich in Anspruch nehmen, dass es über den Einsatz von KI informiert und damit über das hinausgeht, was andere tun.
• Eine KI-Erklärung kann nicht nur benutzt werden, um darzulegen, was mit KI getan wird. Sie kann auch als Schaufenster für die intern erlassenen Regeln für den "verantwortungsvollen" Umgang mit KI dienen. Dient die Transparenz letztlich dem Ziel der Vertrauensbildung, ist das auch durchaus zielkonform. Es wird nicht nur kommuniziert, was das Unternehmen tut, sondern auch betont, dass es sich der Risiken bewusst ist und entsprechend damit umgeht. Wir selbst sind der Ansicht, dass auf die Darlegung der internen Weisungen in einem externen Dokument verzichtet werden sollte; wer eine KI-Erklärung vornimmt, zeigt damit bereits, dass er weiter geht als andere. Wer seine eigenen Regeln und internen Weisungen offenlegt, engt sich damit unnötig ein: Kommt es zu einem Zwischenfall, wird sich das Unternehmen an diesen Regeln womöglich sogar messen lassen müssen und hat damit allenfalls (ohne Not) eine Haftungsgrundlage geschaffen.
• Eine KI-Erklärung sollte beispielhaft aufgebaut sein. Es wird weder erwartet noch ist es realistisch, dass sie vollständig ist. Diesen Eindruck sollte das Unternehmen auch nicht erwecken. KI kommt heute an zu vielen Orten zum Einsatz. Selbstverständlich wäre es sinnvoll, die aus Sicht der betroffenen Personen (dieser Begriff ist nicht nur datenschutztechnisch zu verstehen, sondern umfasst auch die von einer KI betroffenen Personen) besonders riskanten Anwendungen darzustellen, aber das setzt eine entsprechende Risikoanalyse und eine gut funktionierende Compliance-Organisation voraus, die in diesem Bereich die meisten Unternehmen bisher nicht haben. Sie sind mit anderen Worten gar nicht in der Lage, einen vollständigen Überblick zu gewährleisten.
• Wie im Falle einer Datenschutzerklärung stellt sich bei allen drei oben beschriebenen Vorgehensweisen die Frage, wie die Angaben bei Veränderungen nachgeführt werden sollen. Typischerweise wird die Verantwortung hierfür beim Eigner der jeweiligen Anwendung liegen.
• Denken Sie daran: Auch wenn Sie sich für eine separate KI-Erklärung entscheiden, muss die Datenschutzerklärung richtig und vollständig sein, d.h. ggf. kommen Sie nicht umhin, auch dort Anpassungen vorzunehmen, wo über den Einsatz von KI datenschutzrechtlich zu informieren ist. 

Eine musterhafte "KI-Erklärung" bieten wir hier zum Download an auf Deutsch und Englisch:

Kategorie: Data & Privacy