Transparenz und Rechtsgrundlage: Die Achillesferse vieler KI-Anbieter

Künstliche Intelligenz verändert Geschäftsmodelle, Prozesse und ganze Branchen. Doch je mehr KI-Systeme Entscheidungen beeinflussen – etwa bei Kreditvergabe, Personalentscheidungen oder im Gesundheitswesen – desto stärker rückt ein Aspekt in den Vordergrund: Vertrauen.

Nutzer:innen und Unternehmen akzeptieren KI nur dann dauerhaft, wenn sie nachvollziehen können, wie Entscheidungen zustande kommen, welche Daten verwendet wurden, und auf welcher rechtlichen Grundlage die Datenverarbeitung erfolgt. Fehlen diese Informationen, wird aus Innovation schnell ein Reputationsrisiko.

Sowohl der EU AI Act als auch die Datenschutz-Grundverordnung (DSGVO) verlangen von Anbietern, dass KI-Systeme transparent gestaltet sind und die Rechtsgrundlage der Datenverarbeitung klar definiert ist.
Konkret bedeutet das:

• Nutzer:innen müssen erkennen, dass sie mit einer KI interagieren.
• Es muss klar sein, woher die Daten stammen, auf denen die KI basiert.
• Die Zwecke der Datenverarbeitung müssen eindeutig benannt werden.
• Es muss eine Rechtsgrundlage nach Art. 6 DSGVO vorliegen (z. B. Einwilligung, Vertragserfüllung, berechtigtes Interesse).
• Bei personenbezogenen Daten ist zusätzlich Transparenz nach Art. 13/14 DSGVO nötig – z. B. über Datenempfänger, Speicherdauer und Betroffenenrechte.

Fehlt diese Transparenz, drohen Bußgelder, Nutzungsverbote oder Vertrauensverlust.

In der Praxis sind die Transparenzpflichten oft das größte Defizit in KI-Produkten – und der Grund, warum viele Anbieter regulatorisch angreifbar sind. Typische Schwächen sind:

• Undurchsichtige oder nicht kommunizierte Trainingsdaten
• Unklare Verantwortlichkeiten zwischen Anbieter, API-Anbieter und Hosting-Plattform
• Fehlende oder nicht rechtssichere Einwilligungen bei Nutzerdaten
• Intransparente Modelle, bei denen nicht klar ist, wie Entscheidungen zustande kommen (Black Box)

Beispiel:
Ein KI-Anbieter trainiert ein Empfehlungssystem für E-Commerce-Shops mit realen Kundendaten. Die Nutzer:innen wurden aber weder über den Einsatz der KI informiert noch über ihre Rechte aufgeklärt. Ergebnis: Verstöße gegen DSGVO und potenziell auch gegen Wettbewerbsrecht.

Moderne Kund:innen – egal ob Endnutzer:innen oder Unternehmen – erwarten mehr als funktionierende Algorithmen. Sie wollen:

• Verstehen, wie ein System zu einem Ergebnis kommt
• Vertrauen, dass ihre Daten nicht missbraucht werden
• Einfluss nehmen können, z. B. durch Widerspruch oder Erklärungspflicht

Transparenz ist nicht nur Compliance – sie ist ein zentraler Faktor für Marktakzeptanz.

Laut einer EY-Studie (2025):

• 71 % der befragten Unternehmen wünschen sich von KI-Anbietern vollständige Informationen zur Datenherkunft
• 65 % erwarten eine rechtliche Einordnung der eingesetzten Technologien
• 58 % würden eine Lösung nicht einsetzen, wenn diese Black-Box-Entscheidungen trifft

Die DSGVO fordert eine klare Rechtsgrundlage für jede Verarbeitung personenbezogener Daten. Für KI-Anwendungen bedeutet das: Schon beim Training und später beim produktiven Einsatz muss geregelt sein, auf welcher Basis Daten verarbeitet werden dürfen.

Mögliche Rechtsgrundlagen (Art. 6 DSGVO):

• Einwilligung (Art. 6 Abs. 1 lit. a) – ideal bei freiwilliger Nutzung, aber nur wirksam bei Informiertheit und Widerrufsmöglichkeit
• Vertragserfüllung (lit. b) – z. B. bei KI-Systemen zur Erfüllung von Dienstleistungsverträgen
• Berechtigtes Interesse (lit. f) – zulässig, aber nur nach Interessenabwägung und mit dokumentierter Risikoanalyse
• Sonderregelungen bei besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO) – z. B. Gesundheitsdaten, biometrische Daten

Problematisch: Viele Anbieter setzen einfach „berechtigtes Interesse“ voraus – ohne eine saubere Abwägung oder Risikoprüfung. Das ist gefährlich und rechtlich angreifbar.

Um das Vertrauen von Kund:innen, Geschäftspartnern und Aufsichtsbehörden zu gewinnen, sollten KI-Anbieter die folgenden Grundsätze umsetzen:

Transparenz Maßnahmen:

• Erklärungspflicht: Nutzer:innen müssen erkennen, dass eine KI im Spiel ist
• Erklärbarkeit fördern: z. B. durch visuelle Darstellung der Entscheidungslogik oder „Why this result?“-Buttons
• Herkunft der Trainingsdaten offenlegen – auch wenn anonymisiert oder synthetisch
• Systemgrenzen dokumentieren: Wann ist das System nicht geeignet oder anfällig für Fehler?

Rechtsgrundlage absichern:

• Rechtsgrundlage explizit definieren (Einwilligung, Vertrag, berechtigtes Interesse)
• Datenminimierung und Zweckbindung sicherstellen
• Verzeichnis der Verarbeitungstätigkeiten (VVT) und Risikoanalysen pflegen
• Standardisierte Prozesse zur Einholung und Dokumentation von Einwilligungen implementieren

Kommunikation & UX:

• Transparenz in der Nutzeroberfläche verankern, nicht nur in der Datenschutzerklärung
• Data Sheets für KI-Modelle bereitstellen (analog zu NIST AI cards)
• Feedbackmöglichkeiten einbauen, um unklare oder fehlerhafte Entscheidungen zu melden

Fazit: Wer keine Klarheit schafft, wird überholt

Der regulatorische Rahmen ist eindeutig: Transparenz und eine klare Rechtsgrundlage sind Pflicht, nicht Kür. Doch sie sind nicht nur juristische Notwendigkeit – sondern ein echter Wettbewerbsvorteil für Unternehmen, die langfristig Vertrauen aufbauen wollen.

KI-Anbieter, die frühzeitig auf Verständlichkeit, Dokumentation und rechtliche Absicherung setzen, haben die besseren Karten – bei Kund:innen, Partnern, Investoren und Behörden. Die Achillesferse vieler Anbieter ist die Chance für die nächsten Marktführer.