3D-Illustration: gläsernes Schutzschild über KI-Symbol als Sinnbild für Datenschutzrecht bei KI im Handel
© Black Forest Labs / Flux

KI im E-Commerce: Das ist rechtlich zu beachten

Der Onlinehandel ist eine der Vorreiterbranchen beim Einsatz von künstlicher Intelligenz. Experten prognostizieren, dass sie die Zukunft des Handels bestimmen wird – z.B. durch Automatisierung und Optimierung von Prozessen. Aber worauf müssen E-Commerce-Unternehmen zum Beispiel beim Thema Datenschutz achten, wenn sie KI nutzen? Rechtsanwalt Dr. Nils Lölfing gibt einen Überblick - und Entwarnung beim Thema europäische KI-Verordnung.

DNDr. Nils LölfingGastautor
5 Min.· Aktualisiert am
Teilen
Dies gilt grundsätzlich auch für Nutzer von generativer KI wie E-Commerce-Website-Betreiber (z.B. ChatGPT), die beispielsweise einen Chatbot einsetzen. Selbst wenn diese als Hochrisiko-KI eingestuft werden sollten (was derzeit im Gesetzgebungsverfahren diskutiert wird), gilt die Mehrheit der Pflichten (z.B. Risikomanagement, Qualitätskontrolle) nur für die KI-Entwickler. Nach aktuellem Stand obliegen den Nutzern nur eher unproblematische Überwachungs- und Meldepflichten bei Fehlfunktionen oder Vorfällen mit der KI-Lösung.Es ist unwahrscheinlich, dass sich die aktuell nur geringe Relevanz der künftigen KI-Verordnung für den E-Commerce im laufenden Gesetzgebungsverfahren noch grundlegend ändern wird, sodass die Nutzer von KI wie Commerce-Website-Betreiber hierdurch regelmäßig kaum über Gebühr belastet werden dürften.

Datenschutzrecht im Fokus

Bisher bereits geltendes Recht ist für den Einsatz von KI im E-Commerce deutlich wichtiger, vor allem das Datenschutzrecht (DSGVO). Dies gilt besonders für Use Cases mit direktem Kundenbezug, für die also Kundendaten ausgewertet werden, z.B. bei KI-gestützten Empfehlungsalgorithmen. E-Commerce-Unternehmen sollten sich hier besonders mit folgenden Fragen auseinandersetzen:

  • Ist die Nutzung der Kundendaten durch die KI datenschutzrechtlich erlaubt? Die Auswertung einer Vielzahl von Kundendaten für Marketingzwecke (d.h. aus Behördensicht alles, was irgendwie geschäftsfördernd sein könnte) ist aus Behördensicht i.d.R nur mittels Einwilligung möglich.
  • Finden die äußerst strengen und schwer umsetzbaren Regeln für automatisierte Entscheidungen nach der DSGVO Anwendung? Das ist der Fall, wenn automatisierte Entscheidungen mit einer rechtlichen Wirkung gegenüber Kunden von einer KI getroffen werden (z.B. bei Betrugspräventionslösungen, die im Rahmen des Checkouts eingesetzt werden und bestimmte Kunden „blockieren“).
  • Wie können Website-Betreiber ihrer Pflicht nachkommen, Kunden transparent und nachvollziehbar zu erklären, wie die KI und deren Logik funktioniert? Grundsätzlich ist das wegen der Black-Box-Problematik bei KI schwierig.
  • Müssen gewisse Verzerrungen in den Datensätzen, die zu Diskriminierungen durch die KI führen („bias“, z.B. die Bevorzugung von Käufergruppen mit bestimmten Merkmalen), ausgeglichen werden und wenn ja, durch wen und wie?
  • Muss das Unternehmen vor Einsatz der KI eine Datenschutz-Folgenabschätzung durchführen, in der man die Risiken des KI-Einsatzes dokumentiert und versucht, sie zu minimieren?

Verträge mit Anbietern von KI-Lösungen

Häufig kaufen E-Commerce-Unternehmen KI-Lösungen von Drittanbietern ein statt sie selbst zu entwickeln. Um Risiken zu minimieren, sollten sie die Verträge mit diesen Drittanbietern genau prüfen, vor allem:

  • Werden mir als Unternehmen neben dem Service-Vertrag für das KI-Tool überhaupt gesetzlich erforderliche datenschutzrechtliche Verträge vom Anbieter vorgelegt, entsprechen sie den rechtlichen Vorgaben und worüber sollte man ggf. mit dem Anbieter verhandeln?
  • Wie darf der KI-Anbieter die Kundendaten des Unternehmens laut Vertrag nutzen? Eine Nutzung für eigene Zwecke des KI-Anbieters, wofür diese sich regelmäßig Rechte einräumen lassen (z.B. zur Verbesserung des KI-Modells), ist problematisch.
  • Wie sehen Haftung und Gewährleistung im Service-Vertrag aus? In der Regel wollen Anbieter wegen der Black-Box-Problematik rechtlich nicht für die Funktionsfähigkeit ihrer Lösung einstehen, was für Unternehmen problematisch, aber kaum verhandelbar ist. Hier ist es wichtig, sich vor Vertragsschluss im Austausch mit dem KI-Anbieter ausreichend über die KI-Lösung, deren Funktionsmöglichkeiten und Limitierungen zu vergewissern (ggf. über einen Testzeitraum), um unangenehme Überraschungen beim operativen Einsatz der KI zu vermeiden (da diese mangels vertraglicher Rechte für die Unternehmen nach Vertragsschluss kaum abgestellt werden können).
  • Empfehlung: Erfahrene Anbieter stellen Whitepaper zur Verfügung, die insbesondere datenschutzrechtliche Themen (z.B. zur Zulässigkeit des KI-Einsatzes) beleuchten und so den eigenen Kunden in dieser Hinsicht viel Prüfaufwand abnehmen.

Künftiges Recht: Digital Services Act

Zudem sollten E-Commerce-Unternehmen, die als Online-Marktplatz auftreten, auch den Digital Services Act (DSA) der EU beim Einsatz von KI-Lösungen beachten. Er gilt ab dem 17.02.2024. Der DSA führt dazu, dass bestimmte KI-Use-Cases verboten werden, z.B. die Nutzung bestimmter Kundendaten für gezielte Werbemaßnahmen (Targeting) oder, in Bezug auf Kinder, auf diese abzielende Werbung. Überdies greifen neue, über die DSGVO hinausgehende Transparenzpflichten in Bezug auf die Algorithmen, die für die Empfehlung von Inhalten oder Produkten verwendet werden (z. B. im Hinblick darauf, wie Inhalte ihren Nutzern empfohlen werden).

Letztlich gibt es durch den DSA aber nicht nur neue Pflichten, die im Hinblick auf den Einsatz von KI-Lösungen durch Online-Marktplätze erfüllt werden müssen. KI-Lösungen können auch die Erfüllung einiger neuer DSA-Pflichten unterstützen. Beispielsweise müssen Online-Marktplätze unter dem DSA ein internes Beschwerdemanagementsystem einrichten, das Kunden ermöglicht, bestimmte Maßnahmen mit nachteiliger Auswirkung (z.B. angeblich unberechtigte Entfernung von Inhalten oder die Sperrung von Nutzerkonten) zu beanstanden: Zwar darf die Entscheidung über eine Beschwerde nicht rein automatisiert erfolgen, aber KI-Lösungen könnten hier einen Großteil des entstehenden Aufwands abfangen.

Von diesen Pflichten weitestgehend befreit sind nur Unternehmen mit weniger als 50 Beschäftigten und einem Jahresumsatz von weniger als 10 Mio. Euro.

Fazit

Die KI-Verordnung ist im E-Commerce voraussichtlich kaum relevant, Schwerpunkt ist stattdessen der Datenschutz. Auch Verträge mit Drittanbietern von KI-Lösungen sind im Hinblick auf Compliance und allgemeine Risikominimierung wichtig. Ab 2024 sind spezielle Regelungen für Online-Marktplätze unter dem DSA zu berücksichtigen. KI-Lösungen können hier jedoch auch zur Compliance mit dem DSA beitragen.

MEHR ZUM THEMA:

Teilen
DN
Geschrieben vonDr. Nils Lölfing

Gastautor

Dr. Nils Lölfing ist Counsel für den Bereich Technologie und Kommunikation bei der Kanzlei Bird & Bird. Er berät in allen Fragen des Daten- und Informationstechnologierechts, mit einem starken Fokus auf und Erfahrung mit Projekten zu KI und maschinellem Lernen.

Alle Beiträge
Morning Briefing

Alles, was heute zählt — jeden Morgen in Ihrem Postfach.

Das Morning Briefing kuratiert die wichtigsten News aus E-Commerce und Handel. Kompakt, einordnend, werktäglich ab 7 Uhr.

  • 10.800+ Abonnenten
  • Werktäglich ab 7 Uhr
  • Jederzeit abbestellbar

Mit der Anmeldung stimmen Sie unserer Datenschutzerklärung zu. Abmeldung jederzeit möglich.