Die Nutzung von künstlicher Intelligenz im Einzelhandel hat in Deutschland einen bemerkenswerten Anstieg verzeichnet – von 7,5% im Jahr 2020 auf 23,5% im Jahr 2023. Dieser deutliche Zuwachs zeigt, wie schnell die digitale Transformation die Handelsbranche verändern kann.

Während Unternehmen durch den gezielten Einsatz von KI ihren Umsatz optimieren können, müssen sie simultan Datenschutzrisiken minimieren. Der Markt für generative KI wird bis 2032 voraussichtlich ein Volumen von etwa 126 Milliarden Euro erreichen. Das geht aus einer aktuellen Studie der Bloomberg Intelligence hervor. In ähnlichem Ausmaß sind im selben Zeitraum die Datenschutzverstöße gestiegen. Besonders relevant wird die Beobachtung von Datenschutzthematiken ab Februar 2025, wenn der AI Act neue Verpflichtungen für Hochrisiko-KI-Systeme einführt. In diesem Artikel analysieren wir die wichtigsten Datenschutzrisiken, die der Einsatz von künstlicher Intelligenz im Handel mit sich bringt, und zeigen auf, wie Sie diese frühzeitig erkennen und mit unserer Hilfe bewältigen können.

Grundlagen von künstlicher Intelligenz im Handel

Im globalen Wettbewerb um künstliche Intelligenz im Einzelhandel beobachten wir eine rasante Entwicklung. Der weltweite Umsatz mit KI-Unternehmensanwendungen soll laut Tractica von 1,4 Milliarden US-Dollar im Jahr 2016 auf 7,9 Milliarden US-Dollar in diesem Jahr steigen. Parallel hierzu sind die Datenschutzverstöße seit der Einführung der Datenschutz-Grundverordnung (DSGVO) im Jahr 2018 ebenfalls rapide angestiegen. Wie viel davon jedoch auf den Einsatz von KI zurückzuführen ist, ist jedoch nicht veröffentlicht worden.

Definition und Arten von KI-Systemen im Handel

Künstliche Intelligenz ist vielseitig – ebenso Ihre Definition. Mehrere sind aus verschiedenen Blickwinkeln durchaus möglich. Wir verstehen unter KI die Fähigkeit eines IT-Systems, menschliche Fähigkeiten wie Sehen, Hören, Analysieren, Entscheiden und Handeln nachzuahmen.

Wir unterscheiden prinzipiell zwei zentrale KI-Systeme:

• Schwache KI – auch bekannt als Narrow AI
• Starke KI – oftmals auch Artificial General Intelligence (AGI) genannt

Schwache KI-Systeme sind darauf spezialisiert, spezifische antrainierte Aufgaben zu erledigen. Hierzu zählen Sprachassistenten, Empfehlungssysteme wie der Netflix-Algorithmus und Chatbots.

Starke KI hingegen strebt einer menschenähnlichen Generalintelligenz nach. die durch Ihre gesammelten Erfahrungen und Trainingsinhalte komplexe Aufgaben selbstständig lösen kann. Starke KI, wie wir sie verstehen, existiert in diesem Ausmaß noch nicht. Selbstfahrende Autos beispielsweise funktionieren im realen Leben noch nicht ohne Menschen hinter dem Steuer. Es existiert die Idee des selbstlernenden KI-Juristen, der alle Gesetze kennt und rechtliche Beratung auf Expertenniveau anbieten kann. Allerdings bleibt das Fiktion. Da KI-Systeme aktuell noch nicht in der Lage sind, Erfahrungen, Fachwissen, Kreativität und Entscheidungsfindung zu verbinden. Bei Transferaufgaben oder ‑leistungen bleibt der Mensch unersetzlich.

Rechtlicher Rahmen für KI-Implementierung

Der im März 2024 beschlossene und im August 2024 in Kraft getretene EU-AI-Act sieht klare Regelungen für die Entwicklung und Anwendung von KI vor. Der EU AI Act sieht vier klare Sicherheitsstufen für die Entwicklung von künstlicher Intelligenz im Einzelhandel vor:

• Stufe 1: minimalstes Risiko oder kein Risiko – Diese KI-Systeme unterliegen keinen spezifischen Anforderungen. Z. ein Spam-Filter
• Stufe 2: Begrenztes Risiko – für diese Systeme gelten hauptsächlich Transparenzpflichten, Anwender müssen wissen, dass sie mit KI arbeiten
• Stufe 3: Hohes Risiko – Anwendungen dieser Kategorie unterliegen strengen Auflagen wie bspw. KI-Systemen zu Kreditwürdigkeitsprüfungen oder Verantwortung von Daten in öffentlichen Einrichtungen wie Landratsämtern
• Stufe 4: Inakzeptables Risiko – Die Systemanwendungen sind strikt verboten

Der deutsche Staat hat noch bis zum 01.08.2025 Zeit, eine nationale KI-Aufsichtsbehörde zu benennen, die für die Durchführung und Aufzeichnung der Kontrollen verantwortlich ist.

Aktuelle Entwicklungen und Trends

Laut einer offenen Umfrage der KPMG hoffen 70% der Unternehmen, dass sie durch den Einsatz von KI Umsatzsteigerungen verzeichnen können. Weltweit geben 73% der Unternehmen an, ihre KI-Investition im Jahr 2025 zu erhöhen. Deutschland liegt im weltweiten Vergleich hingegen zurück. Lediglich 65% planen in den kommenden Monaten und Jahren, in KI zu investieren. In unseren Gesprächen mit Kunden hören wir aktuell folgende Trends heraus:

• Fokus auf Zuverlässigkeit und Transparenz von KI-Systemen
• Entwicklung spezialisierter KI-Systeme (branchenspezifisch)
• Steigende Bedeutung von Embedded-KI – Integration in IoT-Sensoren
• Einsatz für globale Herausforderungen – Stichwort Klimawandel!

Während in Deutschland viele Unternehmer beim Einsatz künstlicher Intelligenz im Handel eher zögerlich agieren und über zu starke Reglementierungen des Staates und der EU klagen, profitieren die Entwickler in China von den Auflagen des Staats. China hat das feste Ziel vor Augen, bis zum Jahr 2030 Weltmarktführer im KI-Geschäft zu sein. Ihr jährliches Umsatzwachstum beträgt 27,84% und verdeutlicht die Ambition, Ihr Ziel zu erreichen. Dies gelingt aktuell vor allem durch staatliche Subventionierungen der KI-Branche.

Datenschutzrechtliche Risikobereiche

Wir sehen uns in Deutschland bei der Implementierung von künstlicher Intelligenz im Einzelhandel mit bedeutenden datenschutzrechtlichen Herausforderungen konfrontiert. Zunächst müssen wir uns ins Gedächtnis rufen, dass laut der Studien von Bitkom aus dem Sommer 2024 83% der deutschen Unternehmen den Datenschutz als größte Hürde beim KI-Einsatz nennen. Erschwerend kommt wie bereits erwähnt dieses Jahr der EU AI Act hinzu. Richtlinien und Gesetze sollten unserer Meinung nach die digitale Transformation und den Wandel der Dinge nicht hemmen, sondern fordern.

Kundendatenverarbeitung durch KI-Systeme

Bei der Verarbeitung von Kundendaten durch KI-Systeme müssen wir besonders vorsichtig agieren. Es hat sich feststellen lassen, dass weltweit 78% der Verbraucher der Meinung sind, die unkontrollierte Nutzung ihrer personenbezogenen Daten sei bedrohlich. Ein nicht zu vernachlässigendes Kundenfeedback aus unternehmerischer Sicht.

Was für Sicherheitsbedenken haben Verbraucher?

• 90% erwarten, dass KI die Sicherung Ihrer Daten erschweren wird
• 82% der Verbraucher wollen vor Verwendung ihrer Daten um Erlaubnis gefragt werden
• 85% möchten erfahren, mit wem ihre Daten geteilt werden und
• 84% fordern sogar, dass das datenverarbeitende Unternehmen die Datenschutzrichtlinien seiner Drittanbieter überprüft.

Trotz der Einführung des EU AI Acts bleibt die DSGVO das zentrale Instrument zur Regelung der Verarbeitung von personenbezogenen Daten.

Mitarbeiterdatenschutz bei KI-Anwendungen

Im Kontext des Mitarbeiterdatenschutzes stehen wir vor der Herausforderung, dass KI-Systeme zunehmend für Personalentscheidungen eingesetzt werden, wie in einem anderen Beitrag bereits erwähnt. Die Verarbeitung der Arbeitnehmerdaten ist in §26 Abs. 1 BDSG geregelt und erlaubt die Verarbeitung von Arbeitnehmerdaten für Zwecke des Beschäftigungsverhältnisses. Prinzipiell muss der Arbeitnehmer der Verarbeitung seiner Daten durch KI nicht gesondert zustimmen, wenn §26 Abs. 1 die Grundlage bildet. Allerdings muss der Arbeitgeber vor Verwendung von KI prüfen, ob:

• Die Erforderlichkeit der Datenverarbeitung ist notwendig,
• Das KI-System verhältnismäßig richtig eingesetzt ist oder mildere Mittel ausreichend wären und
• Er eine transparente Darstellung der Verarbeitung gegenüber seinen Mitarbeitern gewährleisten kann.

Eine Einwilligung des Arbeitnehmers ist zwar möglich, wird aber aufgrund des Machtgefälles zwischen Führungsetage und Arbeitnehmer als kritisch angesehen, da der Arbeitnehmer sich gewissermaßen in einem Abhängigkeitsverhältnis befindet.

Internationale Datentransfers und Cloud-Lösungen

Bei internationalen Datentransfers und Cloud-Lösungen müssen wir besondere Sorgfalt walten lassen. Nach dem Schrems-II-Urteil des EuGH ist im Einzelfall zu prüfen, ob zusätzliche Maßnahmen zur Sicherstellung eines angemessenen Schutzniveaus erforderlich sind. Der EuGH erklärte in diesem Urteil das EU-US-Privacy-Shield für unwirksam, welches zuvor die Übermittlung personenbezogener Daten zwischen Europa und den USA regelte. Die Begründung im Juli 2020 war, dass das US-Recht keinen vergleichbaren Schutz persönlicher Daten wie die DSGVO bieten kann.

Für eine rechtskonforme Datenübermittlung ins nicht-europäische Ausland empfehlen wir:

• Prüfung der Rechtsgrundlage nach DSGVO
• Ist der Datentransfer in ein Drittland erlaubt?
• Angemessenheitsbeschluss des Ziellandes prüfen
• Garantien implementieren, falls kein Angemessenheitsbeschluss vorliegt
• Transfer Impact Assessment (TIA) durchführen – Analyse der Rechtslage und -praxis des Drittlandes

Durch die Beachtung dieser und weiterer Empfehlungen können Unternehmen und Organisationen das Risiko von Datenschutzverstößen bei internationalen Datentransfers erheblich reduzieren und eine DSGVO-konforme Datenübermittlung gewährleisten. Dennoch empfehlen wir die Verarbeitung der personenbezogenen Daten innerhalb Deutschlands.

Systematische Risikoerkennung

Für eine erfolgreiche Integration von künstlicher Intelligenz im Einzelhandel müssen wir systematische Ansätze zur Risikoerkennung entwickeln. Das Bayerische Landesamt (BayLA) für Datenschutzaufsicht hat spezifische Prüfkriterien veröffentlicht, die wir sorgfältig beachten müssen. Auf drei der wichtigsten Prüfkriterien des BayLA gehen wir im Folgenden genauer ein.

Durchführung einer Datenschutz-Folgenabschätzung (DSFA)

Bei der Implementierung von KI im Einzelhandel ist eine Datenschutz-Folgenabschätzung (DSFA) zwingend erforderlich. Wir müssen dabei folgende Kernaspekte berücksichtigen:

• Systematische Beschreibung der geplanten Verarbeitungsvorgänge und ihrer Zwecke
• Bewertung der Notwendigkeit und Verhältnismäßigkeit
• Risikobewertung für die Rechte und Freiheiten der betroffenen Personen
  • Identifizierung von Risiken
  • Bewertung von Risiken
  • Maßnahmenplanung gegen Risiken
• Entwicklung technischer und organisatorischer Maßnahmen (TOM)
• Dokumentation des gesamten DSFA-Prozesses
• Konsultation des Datenschutzbeauftragten
• Überprüfung und Aktualisierung des DSFA (Berücksichtigung von ggf. Änderungen der Datenverarbeitung)
• Integration der DSFA ab Beginn der Projektplanung
• Sicherstellung der Einhaltung aller rechtlichen Anforderungen

Unter Berücksichtigung dieser genannten Punkte kann die DSFA ein proaktives Instrument zur Identifikation und Minimierung von Datenschutzverstößen darstellen.

Dokumentationspflichten und Nachweisbarkeit

Für die Nachweisbarkeit unserer Compliance-Bemühungen ist eine umfassende Dokumentation unerlässlich. Speziell müssen wir die folgenden Aspekte dokumentieren:

• Technische Dokumentation der KI-Systeme und deren Funktionsweise
• Protokollierung aller Verarbeitungsvorgänge gem. Art. 30 DSGVO
• Nachweis der implementierten Schutzmaßnahmen
• Risiko- und Qualitätsmanagement

Bei Benutzung von künstlicher Intelligenz im Einzelhandel sind sowohl Betreiber als auch Anbieter des KI-Systems in der Nachweispflicht. Diese Pflichten und ihre Verteilung hängen stark vom KI-System selbst ab und können nicht pauschal beantwortet werden.

Monitoring und Kontrolle von KI-Systemen

Für eine effektive Kontrolle unserer KI-Systeme haben wir ein mehrstufiges Monitoring-System implementiert. Die Datenschutzkonferenz empfiehlt dabei besonders die Überwachung folgender Aspekte:

• Zweckbestimmung
• Implementierung
• Nutzungsrichtlinien
• Datenschutz-Folgenabschätzung (DSFA)
• Cybersecurity und Bedienbarkeit
• Transparenzpflichten
• Betroffenenrechte
• Richtigkeit der Ergebnisse
• Einhaltung der DSGVO-Vorgaben

Speziell im Einzelhandel müssen wir besonders auf die Verlässlichkeit unserer KI-Systeme achten. Laut einer aktuellen Studie von Applause berichten 90% der weltweit befragten Unternehmen von Bedenken hinsichtlich der Zuverlässigkeit ihrer KI-Anwendungen. Dies zeigt uns, dass der Großteil der Bevölkerung in KI im Einzelhandel noch kein Vertrauen hat. Die Vorteile, die KI uns jedoch bringt, sind faktisch belegbar und die Risiken können wir proaktiv minimieren.

Darüber hinaus ist es entscheidend, dass wir ein systematisches Risikomanagement etablieren. Die Datenschutzbehörden empfehlen hierfür die Entwicklung eines spezifischen Risikomodells, das kontinuierlich an neue Entwicklungen angepasst wird. Zur Umsetzung dieser Maßnahmen können wir Ihnen den Copiloten unseres Partners empfehlen. Die Einhaltung von Unternehmensrichtlinien und Transparenz von KI-Entscheidungen werden so deutlich einfacher. Hier geht es zum Interview mit Trail.

Präventive Schutzmaßnahmen

Um präventive Schutzmaßnahmen für künstliche Intelligenz im Einzelhandel effektiv umzusetzen, müssen wir einen ganzheitlichen Ansatz verfolgen. Als ganzheitlichen Ansatz kann man in Unternehmen die Einführung einer sogenannten AI-Policy verstehen. Unter einer AI-Policy versteht man ein Regelwerk, das den Einsatz und die Entwicklung von KI im Unternehmenskontext steuert. Die Datenschutzkonferenz empfiehlt zunächst die Implementierung technischer und organisatorischer Maßnahmen (TOM) gemäß den Artikeln 24, 25 und 32 der Datenschutz-Grundverordnung.

Technische Schutzmaßnahmen implementieren

Wir müssen bei der Implementierung von KI-Systemen folgende technische Schutzmaßnahmen berücksichtigen:

• Klassische IT-Sicherheitsmaßnahmen:
  • Firewalls
  • Antivirenprogramme
  • ID- und Accountmanagement
  • Regelmäßige Updates
  • Verschlüsselung von Daten
• KI-spezifische Maßnahmen:
  • Absicherung der Datenbasis und des Lernprozesses
  • Einschränkung der Funktionalität
  • Durchführung von kontrolliertem Training
  • Implementierung von Anomalienerkennung
  • Protokollierung und Überwachung:
    • Protokollierung von Anfragen und Zugriffen auf das KI-System
    • Regelmäßige Aktualisierung der Modelle

Die Verantwortung für die technischen Schutzmaßnahmen bei KI-Systemen sollte primär beim Verantwortlichen bzw. Betreiber des KI-Systems liegen. Jedoch kann die Verteilung der Verantwortung, wie bereits erwähnt, variieren. Es sollte jedoch im Interesse beider Parteien sein, die Maßnahmen zu implementieren und zu überprüfen, da es andernfalls zu exorbitant hohen Geldstrafen kommen kann.

Organisatorische Maßnahmen etablieren

Darüber hinaus empfiehlt die Datenschutzkonferenz die Etablierung klarer organisatorischer Strukturen. Besonders wichtig ist die Festlegung von Verantwortlichkeiten für die Datenverarbeitung. Den oder die Verantwortliche(n) in einem Unternehmen zu finden, ist an einige Bedingungen oder Profilanforderungen geknüpft. Die Person sollte fachliche Kompetenzen mitbringen, interdisziplinäre Eigenschaften, die besprochenen Compliance-Kenntnisse, Führungskompetenzen, strategisches Denken (ist von Vorteil ist), ein solides technisches Know-how und ein ethisches Bewusstsein für die Nutzung von KI im Einzelhandel. Es gibt einige Fachleute, die nicht zu Unrecht die Einberufung eines Chief Ethic Officers (CEO) fordern.

Schulung und Sensibilisierung der Mitarbeiter

Letztendlich ist die kontinuierliche Schulung unserer Mitarbeiter von entscheidender Bedeutung. Die Datenschutzkonferenz betonte nochmals, dass Beschäftigte durch Schulungen, Leitfäden und Gespräche dahingehend sensibilisiert werden müssen, ob und wie sie KI-Anwendungen nutzen sollen und dürfen.

Für die betriebliche Praxis bedeutet dies:

• Regelmäßige Schulungen zur KI-Nutzung und zum Datenschutz
• Entwicklung klarer Handlungsanweisungen
• Sensibilisierung für potenzielle Risiken und Best Practices

Besonders wichtig ist dabei die Einbindung des betrieblichen Datenschutzbeauftragten sowie der verantwortlichen Person für KI-Prozesse. Diese sollten stets konsultiert werden, wenn Entscheidungen über KI-Anwendungen vorbereitet oder getroffen werden. Ebenso sollten wir die Beteiligung von Betriebs- und Personalräten prüfen, da die Einführung einer KI-Anwendung häufig einen betrieblichen Mitbestimmungstatbestand erfüllt.

Schlussfolgerung

Zusammenfassend zeigt die rasante Entwicklung von KI im Einzelhandel sowohl bemerkenswerte Chancen als auch erhebliche Herausforderungen auf. Die Steigerung der KI-Nutzung von 7,5% auf 23,5% unterstreicht die Dringlichkeit einer sorgfältigen Herangehensweise an Datenschutzaspekte.

Folglich müssen wir drei zentrale Handlungsfelder beachten: den Schutz von Kundendaten, die Wahrung des Mitarbeiterdatenschutzes sowie die sichere Gestaltung internationaler Datentransfers. Diese Bereiche erfordern systematisches Handeln und lückenlose Dokumentation aller Maßnahmen.

Allerdings reichen technische Schutzmaßnahmen allein nicht aus. Regelmäßige Mitarbeiterschulungen und klare organisatorische Strukturen bilden das Fundament für einen rechtssicheren KI-Einsatz. Zusätzlich müssen wir die Anforderungen des EU AI Acts seit diesem Monat fest im Blick behalten.

Wenn auch Sie in Ihrem Unternehmen KI sinnvoll einsetzen möchten, um Prozesse zu automatisieren und effizienter zu gestalten, sind wir von ai Pro Solution der ideale Partner für Sie. Wir beraten Sie umfassend und praxisnah zu den besten KI-Lösungen für Ihr Unternehmen. Kontaktieren Sie uns gerne!

Der Schlüssel zum Erfolg liegt in der Balance zwischen Innovation und Datenschutz. Durch sorgfältige Planung und konsequente Umsetzung der beschriebenen Maßnahmen schaffen wir die Voraussetzungen für einen zukunftssicheren und rechtskonformen KI-Einsatz im Einzelhandel.