© Freepik - Freepik.com
Wissensbox Recht

KI, Cloud & Datenschutz – wer ist verantwortlich?KI, Cloud & Datenschutz – wer ist verantwortlich?

Cloud und KI gehören für viele Unternehmen längst zum Alltag. Doch sobald personenbezogene Daten im Spiel sind, stellt sich eine zentrale Frage: Wer trägt eigentlich die datenschutzrechtliche Verantwortung?

Werden personenbezogene Daten verarbeitet, treffen den Verantwortlichen die Pflichten nach der Datenschutzgrundverordnung (DSGVO). Wer jedoch ist im Falle der Datenverarbeitung durch Künstliche Intelligenz (KI) in der Cloud verantwortlich? Dieser Frage gehen wir im folgenden Beitrag nach.

Begriff des „Verantwortlichen“ im Sinne der DSGVO

Im Sinne der DSGVO ist ‚Verantwortlicher‘, wer über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (Art. 4 Nr. 7 DSGVO). Dies gilt sowohl für natürliche als auch juristische Personen wie etwa Unternehmen. Neben demjenigen, der allein über die Zwecke und Mittel entscheidet, ist auch derjenige verantwortlich, der mit anderen gemeinsam tätig wird. Zentrales Kriterium bildet die tatsächliche oder rechtliche Einflussmöglichkeit auf den jeweiligen Datenverarbeitungsvorgang.

Die Verantwortlichen sind zur Einhaltung diverser datenschutzrechtlicher Vorgaben verpflichtet (z. B. Informations- und Meldepflichten); die Nichterfüllung führt zur Haftung.

Arten von Verantwortlichkeiten nach der DSGVO

Die DSGVO kennt grundsätzlich die alleinige Verantwortlichkeit, die Auftragsverarbeitung sowie die gemeinsame Verantwortlichkeit.

Allgemeine Verantwortlichkeit und Auftragsverarbeitung

Legt ein Beteiligter allein Zwecke und Mittel der Datenverarbeitung fest, ist er allein verantwortlich. Werden Teile der Verarbeitung ‚im Auftrag‘ von einem weiteren beteiligten (externen) Akteur ausgeführt, ohne dass dieser Akteur an den Entscheidungen mitwirkt oder Einfluss auf diese hat, liegt ein Auftragsverarbeitungsverhältnis vor. Die Auftragsverarbeitung ist durch ein hierarchisches Verhältnis zwischen den Beteiligten gekennzeichnet. Der Auftragsverarbeiter (Art. 4 Nr. 8 DSGVO) hat kein über die Erfüllung des Verarbeitungsvertrages hinausgehendes Interesse an der Datenverarbeitung.

Gemeinsame Verantwortlichkeit

Eine gemeinsame Verantwortlichkeit liegt vor, wenn mehrere gemeinsam über Zwecke und Mittel der Datenverarbeitung entscheiden. Die gemeinsame Verantwortlichkeit liegt bei kooperativen Verarbeitungsprozessen vor. Außerdem kann sie vorliegen, wenn mehrere beteiligte Stellen Entscheidungen über Zwecke und Mittel nicht grundsätzlich gemeinsam, sondern in sich ergänzender Art und Weise treffen. Beurteilungskriterium ist u. a., ob die Datenverarbeitung ohne Beteiligung beider Akteure an der Festlegung der Zwecke und Mittel möglich wäre. Die Verarbeitungsvorgänge beider Parteien sind untrennbar miteinander verbunden.

Ob eine Auftragsverarbeitung oder eine gemeinsame Verantwortlichkeit vorliegt, ist für einzelne Schritte der Datenverarbeitung unter Umständen unterschiedlich zu beurteilen und muss daher jeweils gesondert geprüft werden.

Verantwortlichkeit im Zusammenhang mit KI in der Cloud

Die Datenverarbeitung im Zusammenhang mit KI-Anwendungen (Datenverarbeitung zum Training von KI sowie Datenverarbeitung durch KI) findet häufig auf Cloud-Servern(/Cloud-Plattformen) statt.

Die alleinige Datenspeicherung in der Cloud ist klassischerweise der Auftragsverarbeitung zuzuordnen (siehe unseren Beitrag zur Auftragsverarbeitung). Auffällig ist jedoch, dass der Europäische Gerichtshofs (EuGH) in jüngster Vergangenheit bei Verarbeitungsvorgängen mit mehreren Beteiligten häufiger eine gemeinsame Verantwortlichkeit angenommen hat. Bei der Datenverarbeitung durch KI in der Cloud folgen auf die bloße Datenspeicherung weitere Datenverarbeitungsvorgänge. Aus diesem Grund erfordert die Verteilung der Verantwortlichkeit gerade in diesem Fall eine nähere Betrachtung.

Wird KI auf eigener Infrastruktur (eigenen Servern) zu eigenen Zwecken betrieben (on-premise), ist das betreibende Unternehmen alleiniger Verantwortlicher.

Wird KI nicht on-premise betrieben, sondern Dienste eines externen Anbieters als Cloud-Lösung verwendet, handelt der Dienste-Anbieter häufig im Auftrag des Unternehmens, das KI einsetzt. Das den Cloud-Anbieter einsetzende Unternehmen bleibt in aller Regel allein verantwortlich. Welche Daten zu welchen Zwecken in der Cloud gespeichert werden, entscheidet das Unternehmen nämlich autonom. Es entscheidet auch über die grundlegenden Mittel der Datenverarbeitung (in der Cloud) und bestimmt über die Auswahl des Dienstleisters zudem die weiteren Modalitäten genauer. Der Cloud-Anbieter hat hingegen keinen Einblick in die Daten und auch keinen Einfluss auf die Speicherung. Er legt lediglich die technischen Aspekte fest. Er kann kein Verantwortlicher sein, da für eine Verantwortlichkeit über die Datenverarbeitung nach Art. 4 Nr. 7 DSGVO die Zwecke und Mittel der Verarbeitung festgelegt werden müssen. Selbst wenn die Auswahlentscheidung über die (technischen) Mittel in geringem Umfang an den Cloud-Anbieter delegiert wird, bleibt das Unternehmen weiter allein verantwortlich. Der Cloud-Anbieter ist Auftragsverarbeiter (Art. 4 Nr. 8 DSGVO) (vgl. unseren Beitrag zur Auftragsverarbeitung).

Gemeinsame Verantwortlichkeiten

Im Rahmen von Datenverarbeitung in der Cloud im Zusammenhang mit KI können jedoch auch gemeinsame Verantwortlichkeiten entstehen. Sind z. B. Verarbeitungsvorgänge untrennbar miteinander verbunden, weil dieselbe KI-Anwendung mit mehreren Datensätzen von unterschiedlichen Beteiligten trainiert wird, entsteht eine gemeinsame Verantwortlichkeit. Ebenso, wenn in der Cloud bzw. auf einer Cloud-Plattform die KI-Anwendung eines Akteurs durch einen weiteren Beteiligten zu einer neuen KI-Anwendungen weiterentwickelt wird.

Neben der alleinigen Verantwortlichkeit des Unternehmens und der gemeinsamen Verantwortlichkeit verschiedener Akteure kommt die alleinige Verantwortlichkeit eines AI-as-a-Service-Anbieters für bestimmte Datenverarbeitungsvorgänge in Betracht. Verwendet der Service-Anbieter die vom Unternehmen hochgeladenen Daten dazu, um den eigenen Dienst (die KI) zu verbessern, hat das den AI-as-a-Service nutzende Unternehmen keinen Einfluss auf diese Datenverarbeitung. Diese Wertung kann auch nicht durch den Abschluss eines Auftragsverarbeitungsvertrages umgangen werden, der dem servicenutzenden Unternehmen die Verantwortung zuschreibt.

Bedeutung für KMU

Auch KMU, die KI-Anwendungen mit Bezug zu einer Cloud nutzen, müssen einschätzen können, wo die eigene Verantwortlichkeit beginnt und natürlich auch, wo sie endet. Liegt eine Auftragsverarbeitung vor, muss ein Auftragsverarbeitungsvertrag mit dem KI-Dienstleister abgeschlossen werden. Für die Auftragsverarbeitung können Standardvertragsklauseln genutzt werden (siehe Beitrag zur Auftragsverarbeitung). Liegt eine gemeinsame Datenverarbeitung mit gemeinschaftlicher Verantwortung vor, muss eine Vereinbarung zur gemeinsamen Datenverarbeitung getroffen werden (Art. 26 Abs. 1 DSGVO). Aus dieser muss die Rollenverteilung transparent hervorgehen. Es muss geregelt sein, wer welche Pflichten (bspw. Informationspflichten oder die Erfüllung der Betroffenenrechte etc.) erfüllt. Zu beachten ist auch, dass im Rahmen gemeinsamer Verantwortlichkeit jeder Verantwortliche eine eigene Rechtsgrundlage zur Verarbeitung (Einwilligung, Vertragserfüllung etc.) angeben muss.

Liegt hingegen die Verantwortlichkeit z. B. im Rahmen der Verbesserungen der KI-Dienstleistung allein beim KI-Dienstleister, muss und sollte kein anderslautender Auftragsverarbeitungsvertrag abgeschlossen werden.

Fazit

Bei der Datenverarbeitung in der Cloud ist die alleinige datenschutzrechtliche Verantwortlichkeit mit Auftragsverarbeitung von der gemeinsamen Datenverarbeitung abzugrenzen. Anhand dieser Abgrenzung können die eigenen Verpflichtungen definiert und die entsprechenden Verträge geschlossen werden. Die Verantwortlichkeiten müssen für jeden Verarbeitungsvorgang separat bewertet werden.

Bei KI-Anwendungen kann eine gemeinsame Verantwortlichkeit vorliegen, wenn die KI-Anwendung eines Akteurs durch einen weiteren Beteiligten zu einer neuen KI-Anwendungen weiterentwickelt wird. Insbesondere auch bezogen darauf, wann die Schwelle zu einer solchen ‚neuen KI-Anwendung‘ überschritten wird, die zu gemeinsamer Verantwortlichkeit führt, ist die Rechtsprechung aufmerksam zu verfolgen.

Quellen und weiterführende Inhalte

Angesprochene Rechtsprechung

  • EuGH, Urteil vom 5.6.2018 – C-210/16 – ULD Schleswig-Holstein/Wirtschaftsakademie Schleswig-Holstein
  • EuGH, Urteil vom 10.7.2018 – C-25/17
  • EuGH, Urteil vom 29.7.2019 – C-40/17
  • EuGH, Urteil vom 5.12.2023 – C-683/21
  • EuGH, Urteil vom 11.1.2024 – C-231/22
  • EuGH, Urteil vom 7.3.2024 – C-604/22

Verwandte Beiträge

© Shai Halud - Freepik.com
Wissensbox Recht

Datennutzung und KI – Hamburger Urteil zum Urheberrecht

Datenschutz, Gesetze & Regelungen, Risk & Compliance
Ohne Trainingsdaten kein KI-Modell. Doch welche Vorgaben gelten beim Erstellen von Trainingssätzen? Und wie schützt man eigene Inhalte? Damit beschäftigte sich das Landgericht Hamburg.
© Rawpixel.com - Freepik.com
Nachgelesen, Wissensbox Recht

Blockchain – ein Überblick

Datenschutz, Gesetze & Regelungen, Recht verstehen
Blockchain-Technologie: Was verbirgt sich dahinter und wie kann sie in KMU angewendet werden? Wir geben einen Überblick und gehen auf rechtliche Aspekte ein.
© Biancoblue-Freepik.com
Video, Wissensbox Recht

Vertragsschlüsse mit KI

Gesetze & Regelungen, Recht verstehen
Wie hängen Vertragsschlüsse und künstliche Intelligenz (KI) zusammen? Welche rechtlichen Aspekte sind dabei zu beachten? Wir geben einen Überblick und erklären, wie die Rolle von KI bei Vertragsschlüssen zu verstehen ist.
© Brilian - Freepik.com
Praxisbeispiele, Wissensbox Recht

Legal Tech für den Mittelstand: Wenn Technologie auf Recht trifft

Gesetze & Regelungen
Legal Tech hilft, Rechtsfragen effizienter zu lösen. Unser Praxistipp zeigt, wie KMU Legal Tech im Unternehmen erfolgreich einführen.
Erlöschen des Widerrufsrechts© aapsky - Freepik.com
Trendradar, Wissensbox Recht

Erlöschen des Widerrufsrechts für digitale Inhalte

Gesetze & Regelungen, Risk & Compliance
Ein Urteil des Landgerichts Karlsruhe schafft mehr Rechtssicherheit für das wirksame Erlöschen des Widerrufsrechts. Wir fassen zusammen.
Mängelgewährleistung digitaler Produkte© Clint Patterson - Unsplash.com
Wissensbox Recht

Mängelgewährleistung und Aktualisierungen digitaler Produkte

Gesetze & Regelungen, Recht verstehen
Der neue Mangelbegriff im allgemeinen Kaufrecht betrifft sowohl Verbrauchergeschäfte (B2C) als auch reine Unternehmergeschäfte (B2B). Wir erläutern die Mängelgewährleistung bezogen auf digitale Produkte.