Startseite
BeLogical
ki-automatisierung

KI im B2B-SaaS: DSGVO, AI Act und Verantwortung

Welche Daten sind erlaubt? Pflichten, Risiken und Checks für sichere KI-Produkte.

Michael Brossart
Autor
Michael Brossart - CTO

schreibt über Architektur, Security und Technologie-Strategien. Wenn Standards kompliziert klingen, erklärt er, warum sie eigentlich simpel sein sollten.

Key Takeaways
Passendes Produkt
IntelliLogical Logo IntelliLogical

Passendes Produkt fuer dieses Thema: IntelliLogical

Inhalt

Management Summary: ## Einführung: KI im B2B-SaaS – Technologie trifft Recht Künstliche Intelligenz (KI) wird zunehmend in B2B-SaaS-Lösungen integriert. Von automatisierten Entscheidungen über Predictive Analytics bis hin zu Natural Language Processing – KI-Technologien bieten enorme Möglichkeiten, werfen aber auch komplexe rechtliche Fragen auf. Dieser Artikel behandelt die wichtigsten rechtlichen Aspekte von KI

Einführung: KI im B2B-SaaS – Technologie trifft Recht

Was ist KI im B2B-SaaS? Die Definition für B2B

KI im B2B-SaaS ist ein wichtiger Aspekt für B2B-Unternehmen. Laut etablierten Standards und Best Practices ist KI im B2B-SaaS essentiell für nachhaltigen Erfolg. Für C-Level-Entscheider bedeutet das: Investition in Qualität, nicht in Quantität.

Künstliche Intelligenz (KI) wird zunehmend in B2B-SaaS-Lösungen integriert. Von automatisierten Entscheidungen über Predictive Analytics bis hin zu Natural Language Processing – KI-Technologien bieten enorme Möglichkeiten, werfen aber auch komplexe rechtliche Fragen auf. Dieser Artikel behandelt die wichtigsten rechtlichen Aspekte von KI im B2B-SaaS-Kontext: die DSGVO, den EU AI Act und die Verantwortung von Anbietern und Kunden.

Dieser Artikel dient als Grundlagenartikel (PILLAR-Artikel) zum Thema KI und Recht im B2B-SaaS-Kontext. Er behandelt die grundlegenden rechtlichen Rahmenbedingungen, auf die spezifischere Artikel zu einzelnen Aspekten verlinken können.

KI & personenbezogene Daten: Warum die DSGVO greift

Die meisten KI-Anwendungen im B2B-SaaS-Kontext verarbeiten personenbezogene Daten. Das bedeutet, dass die Datenschutz-Grundverordnung (DSGVO) vollständig greift, unabhängig davon, ob es sich um B2B oder B2C handelt.

Typische KI-Anwendungen im B2B-SaaS

Die folgenden KI-Anwendungen verarbeiten typischerweise personenbezogene Daten:

Natural Language Processing (NLP): Textanalyse, Sentiment-Analyse, automatische Kategorisierung von E-Mails oder Support-Tickets

Personalisierung: KI-Systeme, die Inhalte oder Angebote personalisieren (z.B. Produktempfehlungen, Content-Vorschläge)

  • Bild- und Spracherkennung: KI-Systeme, die Bilder oder Sprache analysieren (z.B. Gesichtserkennung, Spracherkennung, Videoanalyse)

Personenbezug bei KI-Verarbeitung

KI-Systeme verarbeiten personenbezogene Daten auf verschiedene Weise:

Indirekte Verarbeitung: KI-Systeme erstellen Profile oder Muster, die natürlichen Personen zugeordnet werden können (z.B. Verhaltensprofile, Präferenzprofile)

  • Inferenz: KI-Systeme leiten neue personenbezogene Informationen ab (z.B. Persönlichkeitsmerkmale, Interessen, Risikobewertungen)

Wichtig: Auch wenn KI-Systeme keine direkten personenbezogenen Daten verarbeiten, können sie durch Inferenz neue personenbezogene Informationen erzeugen. Diese unterliegen ebenfalls der DSGVO.

Besondere Risiken bei KI-Verarbeitung

KI-Verarbeitung personenbezogener Daten birgt besondere Risiken:

Diskriminierung: KI-Systeme können diskriminierende Muster lernen und verstärken (z.B. bei Bewerberauswahl, Kreditwürdigkeitsprüfung)

Profiling: KI-Systeme erstellen detaillierte Profile, die tiefe Einblicke in das Verhalten und die Persönlichkeit von Personen geben können

DSGVO + EU AI Act: Der rechtliche Rahmen

KI im B2B-SaaS-Kontext unterliegt zwei rechtlichen Rahmenwerken: der DSGVO und dem EU AI Act. Beide Regelwerke ergänzen sich und müssen gemeinsam beachtet werden.

Die DSGVO: Datenschutzrechtliche Anforderungen

Die DSGVO stellt spezifische Anforderungen an die Verarbeitung personenbezogener Daten durch KI-Systeme:

Rechtsgrundlage (Art. 6 DSGVO)

Jede KI-Verarbeitung personenbezogener Daten benötigt eine Rechtsgrundlage:

Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO): Verarbeitung ist für die Erfüllung eines Vertrags erforderlich

  • Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): Verarbeitung ist zur Wahrung berechtigter Interessen erforderlich (häufig im B2B-Kontext)

Wichtig: Besonders schützenswerte Daten (Art. 9 DSGVO) benötigen zusätzliche Rechtsgrundlagen (z.B. Gesundheitsdaten, biometrische Daten).

Transparenz (Art. 5 Abs. 1 lit. a, Art. 13, 14 DSGVO)

Die DSGVO verlangt Transparenz über die Verarbeitung personenbezogener Daten:

Nachvollziehbarkeit: Die Verarbeitung muss nachvollziehbar sein (herausfordernd bei “Black Box” KI-Systemen)

  • Erklärbarkeit: Automatisierte Entscheidungen müssen erklärbar sein (Art. 22 Abs. 3 DSGVO)

Automatisierte Entscheidungen (Art. 22 DSGVO)

Art. 22 DSGVO regelt automatisierte Entscheidungen, einschließlich Profiling:

Recht auf menschliche Intervention: Betroffene haben das Recht auf menschliche Intervention bei automatisierten Entscheidungen

Widerspruchsrecht: Betroffene können der automatisierten Entscheidung widersprechen

Datenschutz-Folgenabschätzung (Art. 35 DSGVO)

Bei KI-Verarbeitung mit hohem Risiko ist eine Datenschutz-Folgenabschätzung (DSFA) erforderlich:

Inhalt der DSFA: Beschreibung der Verarbeitung, Bewertung der Notwendigkeit, Risikobewertung, geplante Abhilfemaßnahmen

  • Konsultation: Bei sehr hohem Risiko muss die Aufsichtsbehörde konsultiert werden

Der EU AI Act: Produktsicherheitsrechtliche Anforderungen

Der EU AI Act (Verordnung über künstliche Intelligenz) ist das erste umfassende KI-Gesetz der Welt. Er trat 2024 in Kraft und wird schrittweise angewendet. Der AI Act regelt nicht den Datenschutz (das bleibt bei der DSGVO), sondern die Produktsicherheit von KI-Systemen.

Risikokategorien im AI Act

Der AI Act kategorisiert KI-Systeme nach Risikokategorien:

Hohes Risiko: KI-Systeme, die strengen Anforderungen unterliegen (z.B. Bewerberauswahl, Kreditwürdigkeitsprüfung, Biometrie)

Minimales Risiko: KI-Systeme ohne spezifische Anforderungen (z.B. Spam-Filter, Empfehlungssysteme)

Anforderungen an KI-Systeme mit hohem Risiko

KI-Systeme mit hohem Risiko müssen folgende Anforderungen erfüllen:

Datenqualität: Hohe Qualität der Trainingsdaten, Validierungs- und Testdatensätze

Transparenz: Informationen für Nutzer über die Fähigkeiten und Grenzen des KI-Systems

Robustheit, Genauigkeit und Cybersicherheit: Hohe Anforderungen an die technische Leistung und Sicherheit

Verantwortlichkeit im AI Act

Der AI Act definiert verschiedene Verantwortlichkeiten:

Bereitsteller: Unternehmen, die KI-Systeme auf dem Markt bereitstellen (müssen Konformität prüfen)

  • Nutzer: Unternehmen, die KI-Systeme verwenden (müssen bestimmte Verpflichtungen erfüllen)

Risiken automatisierter Entscheidungen

Automatisierte Entscheidungen durch KI-Systeme bergen erhebliche Risiken, die sowohl rechtlicher als auch technischer Natur sind.

Rechtliche Risiken

Automatisierte Entscheidungen können zu folgenden rechtlichen Risiken führen:

Diskriminierung: Verstoß gegen Antidiskriminierungsgesetze (z.B. AGG in Deutschland)

Fehlende Erklärbarkeit: Verstoß gegen das Recht auf Erklärung (Art. 22 Abs. 3 DSGVO)

Schadensersatz: Schadensersatzansprüche nach Art. 82 DSGVO

Technische Risiken

Automatisierte Entscheidungen können zu folgenden technischen Risiken führen:

Bias und Diskriminierung: KI-Systeme können diskriminierende Muster lernen und verstärken (z.B. bei Bewerberauswahl, Kreditwürdigkeitsprüfung)

Data Drift: KI-Systeme können bei Änderungen der Eingabedaten ungenau werden

  • Intransparenz: “Black Box” KI-Systeme sind schwer nachvollziehbar und erklärbar

Geschäftliche Risiken

Automatisierte Entscheidungen können zu folgenden geschäftlichen Risiken führen:

Vertrauensverlust: Kunden können das Vertrauen in automatisierte Entscheidungen verlieren

Compliance-Kosten: Hohe Kosten für Compliance-Maßnahmen (DSFA, Transparenz, Erklärbarkeit)

Verantwortung Anbieter vs. Kunde

Die Verantwortung für KI-Systeme im B2B-SaaS-Kontext ist zwischen Anbieter und Kunde aufgeteilt. Die genaue Aufteilung hängt von der Rolle (Verantwortlicher vs. Auftragsverarbeiter) und den spezifischen Umständen ab.

Verantwortung des SaaS-Anbieters (Auftragsverarbeiter)

Als Auftragsverarbeiter ist der SaaS-Anbieter verantwortlich für:

Datenqualität: Die Qualität der Trainingsdaten und die Validierung des KI-Systems

Dokumentation: Die technische Dokumentation des KI-Systems (für AI Act-Konformität)

Menschliche Aufsicht: Die Implementierung von Mechanismen für menschliche Aufsicht und Intervention

  • Unterstützung bei Betroffenenrechten: Die Unterstützung des Kunden bei der Erfüllung von Betroffenenrechten (z.B. Auskunft, Erklärung automatisierter Entscheidungen)

Wichtig: Der SaaS-Anbieter ist nicht verantwortlich für die Rechtmäßigkeit der Datenverarbeitung (das ist Aufgabe des Kunden als Verantwortlichen). Der SaaS-Anbieter muss jedoch sicherstellen, dass die technische Umsetzung den rechtlichen Anforderungen entspricht.

Verantwortung des Kunden (Verantwortlicher)

Als Verantwortlicher ist der Kunde verantwortlich für:

Zweckbestimmung: Die Bestimmung des Zwecks der Datenverarbeitung

Betroffenenrechte: Die Erfüllung von Betroffenenrechten (Auskunft, Löschung, Widerspruch, etc.)

Auswahl des Anbieters: Die sorgfältige Auswahl eines geeigneten SaaS-Anbieters (Art. 28 Abs. 1 DSGVO)

Meldung von Datenpannen: Die Meldung von Datenpannen an Aufsichtsbehörden (Art. 33 DSGVO)

Wichtig: Der Kunde trägt die Hauptverantwortung für die Rechtmäßigkeit der Datenverarbeitung. Auch wenn der SaaS-Anbieter die technische Umsetzung übernimmt, bleibt der Kunde für die rechtliche Einordnung und Compliance verantwortlich.

Gemeinsame Verantwortung

Einige Aspekte erfordern die Zusammenarbeit beider Parteien:

Erklärbarkeit: Beide Parteien müssen sicherstellen, dass automatisierte Entscheidungen erklärbar sind

Dokumentation: Beide Parteien müssen die KI-Verarbeitung dokumentieren

  • Monitoring: Beide Parteien müssen die KI-Verarbeitung überwachen und bei Problemen eingreifen

Warum KI kein rechtsfreier Raum ist

Ein häufiger Irrtum ist die Annahme, dass KI-Systeme einen “rechtsfreien Raum” darstellen oder dass bestehende Gesetze nicht auf KI anwendbar sind. Diese Annahme ist falsch und kann zu erheblichen rechtlichen Risiken führen.

Bestehende Gesetze gelten auch für KI

KI-Systeme unterliegen allen bestehenden Gesetzen, die für die jeweilige Anwendung relevant sind:

Antidiskriminierungsgesetze: Gilt vollständig für KI-Entscheidungen (z.B. AGG in Deutschland)

Wettbewerbsrecht: Gilt für KI-basierte Geschäftspraktiken

  • Vertragsrecht: Gilt für KI-basierte Verträge und Geschäfte

Neue Gesetze speziell für KI

Zusätzlich zu bestehenden Gesetzen gibt es neue Gesetze, die speziell für KI entwickelt wurden:

KI-VO (geplant): Weitere EU-Verordnungen zu spezifischen Aspekten von KI (z.B. Haftung, Transparenz)

  • Nationale KI-Gesetze: Verschiedene EU-Mitgliedstaaten entwickeln nationale KI-Gesetze (z.B. Deutschland)

Rechtliche Konsequenzen bei Verstößen

Verstöße gegen KI-relevante Gesetze können zu erheblichen rechtlichen Konsequenzen führen:

Schadensersatz: Schadensersatzansprüche von Betroffenen (Art. 82 DSGVO)

Marktverbote: Marktverbote für nicht-konforme KI-Systeme (AI Act)

  • Reputationsschäden: Erhebliche Reputationsschäden durch negative Publicity

Praktische Konsequenzen für B2B-SaaS

Für B2B-SaaS-Anbieter bedeutet das:

Dokumentation ist entscheidend: Umfassende Dokumentation ist erforderlich, um Compliance nachzuweisen

Menschliche Aufsicht ist notwendig: Mechanismen für menschliche Aufsicht und Intervention müssen implementiert werden

  • Risikomanagement ist kontinuierlich: Risikomanagement muss während des gesamten Lebenszyklus des KI-Systems erfolgen

Praktische Umsetzung: KI-Compliance im B2B-SaaS

Für die praktische Umsetzung von KI-Compliance im B2B-SaaS-Kontext sollten folgende Schritte beachtet werden:

Schritt 1: Risikobewertung

Bewerten Sie das Risiko Ihrer KI-Anwendung:

Welches Risiko nach DSGVO? (hohes Risiko = DSFA erforderlich)

Gibt es automatisierte Entscheidungen?

  • Gibt es Profiling?

Schritt 2: Rechtsgrundlage prüfen

Prüfen Sie die Rechtsgrundlage für die KI-Verarbeitung:

Gibt es besonders schützenswerte Daten? (Art. 9 DSGVO)

Sind Informationspflichten erfüllt? (Art. 13, 14 DSGVO)

Schritt 3: Technische Umsetzung

Stellen Sie sicher, dass die technische Umsetzung den Anforderungen entspricht:

Erklärbarkeit: Automatisierte Entscheidungen müssen erklärbar sein

Datenqualität: Hohe Qualität der Trainingsdaten und Validierung

Bias-Prüfung: Prüfung auf diskriminierende Muster

Schritt 4: Dokumentation

Dokumentieren Sie die KI-Verarbeitung umfassend:

Verzeichnis der Verarbeitungstätigkeiten: Dokumentation der KI-Verarbeitung im Verzeichnis (Art. 30 DSGVO)

Risikomanagement: Dokumentation des Risikomanagements (für AI Act-Konformität)

Schritt 5: Monitoring und Wartung

Überwachen und warten Sie das KI-System kontinuierlich:

Bias-Monitoring: Kontinuierliche Prüfung auf diskriminierende Muster

Incident-Response: Verfahren für den Umgang mit Problemen

  • Regelmäßige Updates: Regelmäßige Aktualisierung und Verbesserung des KI-Systems

Beispiele aus der Praxis

Die folgenden Beispiele verdeutlichen die Anwendung der rechtlichen Anforderungen im B2B-SaaS-Kontext:

Beispiel 1: KI-basierte Lead-Bewertung

Ein SaaS-Anbieter bietet ein KI-System an, das Leads automatisch bewertet und priorisiert. In diesem Fall:

Art. 22 DSGVO: Automatisierte Entscheidung (Lead-Bewertung) – menschliche Intervention erforderlich

Erklärbarkeit: Die Bewertung muss erklärbar sein (z.B. “Lead wurde als hochwertig eingestuft aufgrund von Firmengröße, Branche und Interaktionsverhalten”)

  • AI Act: Je nach Risiko können Transparenzpflichten oder Anforderungen für hohes Risiko gelten

Beispiel 2: KI-basierte Textanalyse

Ein SaaS-Anbieter bietet ein KI-System an, das E-Mails oder Support-Tickets automatisch analysiert und kategorisiert. In diesem Fall:

Rechtsgrundlage: Typischerweise berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) oder Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)

AI Act: Je nach Risiko können Transparenzpflichten gelten (z.B. wenn Chatbot-Funktionen verwendet werden)

Beispiel 3: KI-basierte Personalisierung

Ein SaaS-Anbieter bietet ein KI-System an, das Inhalte oder Angebote personalisiert. In diesem Fall:

Profiling: Profiling liegt vor. Die Regelungen zu Profiling (Art. 4 Nr. 4 DSGVO) gelten.

Widerspruchsrecht: Betroffene können dem Profiling widersprechen (Art. 21 DSGVO)

  • AI Act: Je nach Risiko können Transparenzpflichten gelten

Fazit

KI im B2B-SaaS-Kontext unterliegt vollständig den rechtlichen Rahmenbedingungen der DSGVO und des EU AI Act. Die wichtigsten Erkenntnisse:

AI Act ergänzt DSGVO: Der EU AI Act regelt Produktsicherheitsanforderungen für KI-Systeme, während die DSGVO den Datenschutz regelt

Verantwortung ist geteilt: SaaS-Anbieter und Kunde haben spezifische Verantwortlichkeiten, die erfüllt werden müssen

Compliance ist kontinuierlich: KI-Compliance erfordert kontinuierliches Risikomanagement, Monitoring und Wartung

Für B2B-SaaS-Anbieter bedeutet das: KI-Systeme müssen von Anfang an compliance-orientiert entwickelt werden, mit umfassender Dokumentation, Transparenz, Erklärbarkeit und Mechanismen für menschliche Aufsicht. Nur so können die rechtlichen Anforderungen erfüllt und rechtliche Risiken minimiert werden.

Bei BeLogical setzen wir auf transparente, erklärbare KI-Systeme, die den Anforderungen der DSGVO und des EU AI Act entsprechen. Unsere Produkte wie IntelliLogical und RankedLogical wurden von Anfang an compliance-orientiert entwickelt und bieten umfassende Transparenz und Kontrolle.

Hinweis: Dieser Artikel dient der allgemeinen Information und stellt keine Rechtsberatung dar. Bei spezifischen rechtlichen Fragen sollten Sie einen qualifizierten Datenschutzberater oder Rechtsanwalt konsultieren.

Fazit: Menschliche Expertise statt generischem KI-Content

In diesem Beitrag haben wir uns mit dem Thema ‘KI im B2B-SaaS: DSGVO, AI Act und Verantwortung’ beschäftigt und die wichtigsten Aspekte für B2B-Unternehmen erläutert. Die Beispiele zeigen, dass generische KI-Content-Generatoren und automatisierte Prozesse ohne Qualitätskontrolle kein Ersatz für menschliche Expertise sind. In der Cyber‑Security verdeutlichen Studien, dass Mehrfach-Authentifizierung bis zu 99 % der automatisierten Hackerangriffe verhindern kann. Im SEO-Umfeld müssen Templates, strukturierte Daten und Validierungsregeln eingehalten werden, damit Programmatic SEO nicht zu Thin Content führt. Bei der Nutzung von KI müssen Datenschutz und DSGVO eingehalten werden; mehr Daten erhöhen nicht zwangsläufig die Qualität, sondern steigern das Risiko. Setzen Sie KI daher als Werkzeug ein, nicht als Ersatz für strategische Entscheidungen, und verlassen Sie sich auf menschliche Erfahrung, wenn es um Sicherheit, Content-Qualität und Compliance geht.

App Development

Ihre Idee als App?

Wir entwickeln performante Apps für alle Plattformen – klar geplant, sauber umgesetzt.

Projekt besprechen