
KI im E-Commerce: Das ist rechtlich zu beachten
Der Onlinehandel ist eine der Vorreiterbranchen beim Einsatz von künstlicher Intelligenz. Experten prognostizieren, dass sie die Zukunft des Handels bestimmen wird – z.B. durch Automatisierung und Optimierung von Prozessen. Aber worauf müssen E-Commerce-Unternehmen zum Beispiel beim Thema Datenschutz achten, wenn sie KI nutzen? Rechtsanwalt Dr. Nils Lölfing gibt einen Überblick - und Entwarnung beim Thema europäische KI-Verordnung.
Datenschutzrecht im Fokus
Bisher bereits geltendes Recht ist für den Einsatz von KI im E-Commerce deutlich wichtiger, vor allem das Datenschutzrecht (DSGVO). Dies gilt besonders für Use Cases mit direktem Kundenbezug, für die also Kundendaten ausgewertet werden, z.B. bei KI-gestützten Empfehlungsalgorithmen. E-Commerce-Unternehmen sollten sich hier besonders mit folgenden Fragen auseinandersetzen:
- Ist die Nutzung der Kundendaten durch die KI datenschutzrechtlich erlaubt? Die Auswertung einer Vielzahl von Kundendaten für Marketingzwecke (d.h. aus Behördensicht alles, was irgendwie geschäftsfördernd sein könnte) ist aus Behördensicht i.d.R nur mittels Einwilligung möglich.
- Finden die äußerst strengen und schwer umsetzbaren Regeln für automatisierte Entscheidungen nach der DSGVO Anwendung? Das ist der Fall, wenn automatisierte Entscheidungen mit einer rechtlichen Wirkung gegenüber Kunden von einer KI getroffen werden (z.B. bei Betrugspräventionslösungen, die im Rahmen des Checkouts eingesetzt werden und bestimmte Kunden „blockieren“).
- Wie können Website-Betreiber ihrer Pflicht nachkommen, Kunden transparent und nachvollziehbar zu erklären, wie die KI und deren Logik funktioniert? Grundsätzlich ist das wegen der Black-Box-Problematik bei KI schwierig.
- Müssen gewisse Verzerrungen in den Datensätzen, die zu Diskriminierungen durch die KI führen („bias“, z.B. die Bevorzugung von Käufergruppen mit bestimmten Merkmalen), ausgeglichen werden und wenn ja, durch wen und wie?
- Muss das Unternehmen vor Einsatz der KI eine Datenschutz-Folgenabschätzung durchführen, in der man die Risiken des KI-Einsatzes dokumentiert und versucht, sie zu minimieren?
Verträge mit Anbietern von KI-Lösungen
Häufig kaufen E-Commerce-Unternehmen KI-Lösungen von Drittanbietern ein statt sie selbst zu entwickeln. Um Risiken zu minimieren, sollten sie die Verträge mit diesen Drittanbietern genau prüfen, vor allem:
- Werden mir als Unternehmen neben dem Service-Vertrag für das KI-Tool überhaupt gesetzlich erforderliche datenschutzrechtliche Verträge vom Anbieter vorgelegt, entsprechen sie den rechtlichen Vorgaben und worüber sollte man ggf. mit dem Anbieter verhandeln?
- Wie darf der KI-Anbieter die Kundendaten des Unternehmens laut Vertrag nutzen? Eine Nutzung für eigene Zwecke des KI-Anbieters, wofür diese sich regelmäßig Rechte einräumen lassen (z.B. zur Verbesserung des KI-Modells), ist problematisch.
- Wie sehen Haftung und Gewährleistung im Service-Vertrag aus? In der Regel wollen Anbieter wegen der Black-Box-Problematik rechtlich nicht für die Funktionsfähigkeit ihrer Lösung einstehen, was für Unternehmen problematisch, aber kaum verhandelbar ist. Hier ist es wichtig, sich vor Vertragsschluss im Austausch mit dem KI-Anbieter ausreichend über die KI-Lösung, deren Funktionsmöglichkeiten und Limitierungen zu vergewissern (ggf. über einen Testzeitraum), um unangenehme Überraschungen beim operativen Einsatz der KI zu vermeiden (da diese mangels vertraglicher Rechte für die Unternehmen nach Vertragsschluss kaum abgestellt werden können).
- Empfehlung: Erfahrene Anbieter stellen Whitepaper zur Verfügung, die insbesondere datenschutzrechtliche Themen (z.B. zur Zulässigkeit des KI-Einsatzes) beleuchten und so den eigenen Kunden in dieser Hinsicht viel Prüfaufwand abnehmen.
Künftiges Recht: Digital Services Act
Zudem sollten E-Commerce-Unternehmen, die als Online-Marktplatz auftreten, auch den Digital Services Act (DSA) der EU beim Einsatz von KI-Lösungen beachten. Er gilt ab dem 17.02.2024. Der DSA führt dazu, dass bestimmte KI-Use-Cases verboten werden, z.B. die Nutzung bestimmter Kundendaten für gezielte Werbemaßnahmen (Targeting) oder, in Bezug auf Kinder, auf diese abzielende Werbung. Überdies greifen neue, über die DSGVO hinausgehende Transparenzpflichten in Bezug auf die Algorithmen, die für die Empfehlung von Inhalten oder Produkten verwendet werden (z. B. im Hinblick darauf, wie Inhalte ihren Nutzern empfohlen werden).
Letztlich gibt es durch den DSA aber nicht nur neue Pflichten, die im Hinblick auf den Einsatz von KI-Lösungen durch Online-Marktplätze erfüllt werden müssen. KI-Lösungen können auch die Erfüllung einiger neuer DSA-Pflichten unterstützen. Beispielsweise müssen Online-Marktplätze unter dem DSA ein internes Beschwerdemanagementsystem einrichten, das Kunden ermöglicht, bestimmte Maßnahmen mit nachteiliger Auswirkung (z.B. angeblich unberechtigte Entfernung von Inhalten oder die Sperrung von Nutzerkonten) zu beanstanden: Zwar darf die Entscheidung über eine Beschwerde nicht rein automatisiert erfolgen, aber KI-Lösungen könnten hier einen Großteil des entstehenden Aufwands abfangen.
Von diesen Pflichten weitestgehend befreit sind nur Unternehmen mit weniger als 50 Beschäftigten und einem Jahresumsatz von weniger als 10 Mio. Euro.
Fazit
Die KI-Verordnung ist im E-Commerce voraussichtlich kaum relevant, Schwerpunkt ist stattdessen der Datenschutz. Auch Verträge mit Drittanbietern von KI-Lösungen sind im Hinblick auf Compliance und allgemeine Risikominimierung wichtig. Ab 2024 sind spezielle Regelungen für Online-Marktplätze unter dem DSA zu berücksichtigen. KI-Lösungen können hier jedoch auch zur Compliance mit dem DSA beitragen.
MEHR ZUM THEMA:
Gastautor
Dr. Nils Lölfing ist Counsel für den Bereich Technologie und Kommunikation bei der Kanzlei Bird & Bird. Er berät in allen Fragen des Daten- und Informationstechnologierechts, mit einem starken Fokus auf und Erfahrung mit Projekten zu KI und maschinellem Lernen.
Alle Beiträge