KI nimmt natürlich auch im Onlinehandel eine immer stärkere Position ein. KI-Tools zur Content-Generierung oder zur Automatisierung von Marketingprozessen werden zum Standard. Und natürlich geht da noch viel mehr. Unternehmen, die sich bisher nicht mit KI im Onlinehandel auseinandergesetzt haben, sind inzwischen die Minderheit.
Je „normaler“ der KI-Einsatz wird, umso wichtiger wird auch die Frage: Kann Künstliche Intelligenz im E-Commerce auch DSGVO? Spätestens mit dem EU AI Act ist diese Frage nicht nur rhetorisch, sondern rechtlich relevant. Wie aber sieht datenschutzkonforme KI im E-Commerce aus und wie lässt sie sich umsetzen?
Warum Datenschutzkonformität und KI zusammengehören
Für Kunden soll KI eine personalisierte Customer Journey ermöglichen. Für Unternehmen mehr Kosteneffizienz, mehr Conversions und mehr Automatisierung. Das große „Aber“: Viel KI bedeutet viel Verantwortung, denn die EU hat zusätzlich zur DSGVO den EU AI Act angestoßen, der alle Unternehmen betrifft, die KI nutzen.
Die drei Grundsäulen und der Zeitplan des EU AI Act
In Kraft getreten ist die KI-Verordnung ab dem 1. August 2024. Das Ziel dahinter ist ein einheitlicher und EU-weiter Rahmen für risikobasierte KI-Regulierung, der in nationale Gesetzgebungen zu überführen ist. Als Stichtag galt der 2. August 2025. Ausnahmen und Spielräume sind jedoch vorgesehen, daher haben alle betroffenen Unternehmen bis zum 2. August 2026 und in Ausnahmen bis zum 2. August 2027 für die Umsetzung Zeit.
Die KI-Regulierung basiert auf folgenden Grundsäulen:
- Transparenz: Funktionsweisen und mögliche Risiken angewendeter KI-Systeme müssen für Nutzer erkennbar sein.
- Ethik: KI-Anwendungen und ihr erlaubter, begrenzter oder verbotener Einsatz werden in Risikostufen von „inakzeptabel“ bis „minimal“ eingestuft.
- Menschliche Kontrolle: Die menschliche Überwachung und Kontrolle von KI-Systemen ist vor allem bei sensiblen und kritischen Anwendungen Pflicht.
Die KI-Risikobewertung des EU AI Act
Um KI-Risiken zu minimieren, ethische KI-Anwendung zu lenken und KI-Innovation zu fördern, definiert der EU AI Act vier Risikokategorien:
- Inakzeptables Risiko: KI-Anwendungen, die Gefahren für Grundrechte und Werte der EU bedeuten, sind verboten. Dazu zählen unter anderem Social Scoring, kognitive Verhaltensmanipulation, biometrische Echtzeit-Identifizierung sowie die Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen.
- Hohes Risiko: KI-Anwendungen mit Auswirkungen auf Gesundheit, Grundrechte oder Sicherheit von EU-Bürgern unterliegen strengen Auflagen wie technischer Dokumentation, Konformitätserklärungen, menschlicher Aufsicht, Risiko- und Folgenabschätzungen sowie umfassende Beobachtung. Dazu zählen KI-abhängige Sicherheitsbauteile, KI-gestützte MRT-Bild- oder System-Analysen, Gesundheits- und Bankwesen, kritische Infrastruktur, Strafverfolgung, Justiz, Grenzverwaltung sowie allgemeine/berufliche Bildung und Beschäftigung oder Dienst-/Sozialleistungen.
- Begrenztes Risiko: KI-Anwendungen, die Risiken für Urheber- und Persönlichkeitsrechte darstellen oder Manipulation und Täuschung ermöglichen, erfordern klare Kennzeichnung und Offenlegung. Dazu zählen auch Kundeservice-Chatbots, KI-generierter Content und Deep Fakes.
- Minimales Risiko: Für KI-Anwendungen, die kein gravierendes oder nennenswertes Risiko darstellen, dürfen unter niedrigen und teilweise freiwilligen Auflagen sowohl entwickelt als auch angewendet werden. Dazu zählen unter anderem Spam-Filter, Chatbots, Suchalgorithmen, KI-gestützte Spiele oder Rechtschreibprüfungen.
Warum sind auch Online-Shops davon betroffen?
Die KI-Anwendung im E-Commerce wird sich maßgeblich auf die Performance von Online-Shops sowie auf das Kaufverhalten auswirken. Wer KI geschäftlich in der EU oder für EU-Bürger nutzt, ist daher auch vom AI Act betroffen. Das gilt sowohl für Großunternehmen als auch für Klein- und Einzelunternehmen. Mögliche KI-Risiken betreffen sowohl DSGVO-Verstöße durch eine nicht normgerechte Verarbeitung sensibler oder personenbezogener Daten sowie Haftungsfragen bei falschen KI-Beratungen, intransparenter KI-Anwendung oder Rufschäden durch KI-Fehler.
Was müssen Online-Händler jetzt tun?
Die KI-Regulierung betrifft langfristig alle Unternehmen, die KI nutzen. Wichtige Schritte zur Absicherung umfassen:
- Bestandsaufnahmen verwendeter und geplanter KI-Anwendungen sowie KI-Kompetenzen
- Identifizierung und Einstufung von KI-Anwendungen in Unternehmen gemäß der vier Risikostufen und die Zusammenstellung von KI-Teams
- Zu klärende Fragen: Welche KI-Systeme übernehmen welche Aufgaben, welche Daten liegen zugrunde, welche Entscheidungsprozesse werden beeinflusst und wie werden Sicherheitsvorfälle gemeldet?
- Überprüfung und Dokumentation der DSGVO-Konformität aller KI-Systeme im E-Commerce sowie Anpassungen bei Mängeln
- Rechtsichere Datenschutzerklärungen, KI-Offenlegung/Kennzeichnung, Konformität gemäß Art. 22 DSGVO sowie Nutzereinwilligung und Widerrufoptionen
- Auslagerung der KI-Absicherung bei mangelnden IT-Ressourcen oder Qualifikationen, beispielsweise indem Unternehmen Experten für Datenschutz und KI über IT-Ausschreibungen finden
- Mitarbeiter-Schulungen zu KI-Governance sowie die Übersicht durch Compliance-Teams (dazu zählen Grundlagen-Workshops, fachspezifische Trainings- und Schulungskonzepte sowie Auffrischungskurse)
- Zentrale Ansprechstelle sowie interne Leitlinien zur KI-Nutzung einrichten
Mögliche Folgen einer mangelhaften Einhaltung von KI-Absicherung
Die Nichteinhaltung des AI Acts kann Strafen bis zu 35 Millionen Euro oder bis zu 7 Prozent des Jahresumsatzes bedeuten. Auf nationaler Ebene müssen EU-Mitgliedstaaten zudem Governance-Strukturen schaffen, um die Einhaltung der KI-Verordnung zu kontrollieren.