Die rasante Entwicklung von Künstlicher Intelligenz (KI) stellt Unternehmen zunehmend vor die Herausforderung, geeignete Systeme auszuwählen und diese rechtssicher, transparent und strategisch sinnvoll einzusetzen. Was früher vor allem eine technologische Entscheidung war, ist heute untrennbar mit datenschutzrechtlichen, organisatorischen und haftungsrechtlichen Fragestellungen verbunden.
Dieser Beitrag widmet sich dem Vergleich von Open Source- und Closed Source-KI-Systemen und analysiert deren jeweilige Implikationen im Hinblick auf Transparenz, Sicherheit, Wartung und Lizenzfragen. Darüber hinaus wird die Abwägung zwischen kostenlosen und kostenpflichtigen Modellen unter Berücksichtigung von Datenschutz, Funktionsumfang und Support vorgenommen. Abschließend wird aufgezeigt, wie Governance-Mechanismen – insbesondere das KI-Asset-Register – Unternehmen dabei unterstützen können, ihre KI-Landschaft strukturiert, nachvollziehbar und rechtskonform zu steuern.
Was ist Open Source- und was ist Closed Source-KI?
Open Source-KI-Systeme basieren auf Software, deren Quellcode öffentlich zugänglich ist und unter einer Open-Source-Lizenz steht. Diese Lizenzen erlauben – je nach Ausgestaltung – die Nutzung, Veränderung und Weiterverbreitung des Codes. Open Source bezieht sich dabei primär auf die Softwarebasis, nicht zwingend auf Trainingsdaten oder Modellgewichte. Der Betrieb von Open-Source-KI-Systemen erfolgt häufig – insbesondere bei hohen Datenschutz-, Compliance- oder Kontrollanforderungen – in eigener Verantwortung, etwa On-Premises oder in einer privaten Cloud-Umgebung.
Closed Source-KI-Systeme werden von kommerziellen Anbietern entwickelt und kontrolliert. Der Quellcode sowie wesentliche Details zur Modellarchitektur bleiben geheim. Die Nutzung erfolgt in der Regel über cloudbasierte Dienste oder proprietäre Softwarelösungen. Anpassungsmöglichkeiten, Einsichtstiefe und Kontrolle sind vertraglich begrenzt.
Diese strukturelle Differenz wirkt sich unmittelbar auf rechtliche Verantwortlichkeiten, Kontrollmöglichkeiten und Risiken aus.
Transparenz und Nachvollziehbarkeit
Transparenz ist ein zentrales rechtliches Bewertungskriterium für KI-Systeme, insbesondere im Hinblick auf Rechenschaftspflichten nach Art. 5 Abs. 2 DSGVO sowie Informationspflichten gegenüber Betroffenen. Dabei ist Transparenz im datenschutzrechtlichen Sinne nicht mit vollständiger technischer Offenlegung gleichzusetzen, sondern verlangt eine für die jeweiligen Adressaten verständliche und nachvollziehbare Information über die Datenverarbeitung.
Open Source-KI-Systeme können aufgrund der Offenlegung von Quellcode und Modellogik eine höhere technische Einsicht ermöglichen Die tatsächliche Nachvollziehbarkeit von Entscheidungsprozessen kann jedoch auch hier häufig durch Modellkomplexität, ggf. fehlenden Zugang zu Trainingsdaten oder unvollständiger Dokumentation begrenzt sein. Jedenfalls erleichtert eine solche technische Einsicht:
- interne Risikoanalysen,
- die Prüfung auf Diskriminierung oder systematische Verzerrungen,
- die Vorbereitung von Audits und Nachweisen gegenüber Aufsichtsbehörden.
Closed Source-KI-Systeme sind demgegenüber häufig als „Black Box“ ausgestaltet. Unternehmen müssen sich auf Anbieterinformationen, Whitepaper oder Zertifizierungen verlassen. Dies kann problematisch sein, wenn KI-Systeme Entscheidungen mit rechtlicher oder faktischer Wirkung für Betroffene treffen, etwa im Personalwesen, im Kredit-Scoring oder in der Kundenbewertung.
Aus datenschutzrechtlicher Sicht kann eine eingeschränkte Erklärbarkeit die Erfüllung von Transparenzpflichten gegenüber Betroffenen erheblich erschweren.
Sicherheit und Datenschutz
Der Einsatz von KI-Systemen ist regelmäßig mit der Verarbeitung personenbezogener Daten verbunden. Maßgeblich sind daher die Anforderungen der DSGVO, insbesondere Art. 5, 24 und 32 DSGVO.
Open Source-KI-Systeme ermöglichen häufig einen Betrieb in eigener Infrastruktur. Dies erlaubt:
- vollständige Kontrolle über Datenflüsse,
- klare Festlegung von Speicherorten,
- Vermeidung von Drittlandübermittlungen.
Gleichzeitig liegt die Verantwortung für die Implementierung angemessener technischer und organisatorischer Maßnahmen vollständig beim Unternehmen. Fehlkonfigurationen oder unzureichende Sicherheitskonzepte können erhebliche Haftungsrisiken begründen.
Closed Source-KI-Systeme bieten oft standardisierte Sicherheitsmechanismen, Zertifizierungen und Datenschutzkonzepte. Dennoch bestehen datenschutzrechtliche Risiken, insbesondere bei:
- Cloud-basierten Diensten mit Datenverarbeitung außerhalb der EU,
- unklarer Nutzung von Eingabedaten zu Trainingszwecken,
- fehlender Transparenz über Subunternehmer.
Unternehmen müssen hier sorgfältig prüfen, ob eine Auftragsverarbeitung vorliegt, welche Garantien für Drittlandübermittlungen bestehen und ob eine Datenschutz-Folgenabschätzung erforderlich ist.
Wartung und Betrieb
Die Wartung eines KI-Systems ist nicht nur eine technische, sondern auch eine rechtliche Aufgabe, da Sicherheitsupdates und Modellanpassungen unmittelbare Auswirkungen auf Datenschutz und Compliance haben.
Open Source-KI-Systeme erfordern eigene Ressourcen für:
- Sicherheitsupdates,
- Fehlerbehebung,
- Modellpflege und -anpassung.
Die Verantwortung für die Wartung liegt beim Nutzer selbst. Ohne klare Zuständigkeiten kann dies zu veralteten oder unsicheren Systemständen führen, was insbesondere im Hinblick auf die Sicherheit der Verarbeitung (Art. 32 DSGVO) problematisch ist.
Closed Source-KI-Systeme verlagern diese Aufgaben weitgehend auf den Anbieter. Updates und Wartung erfolgen zentral, was den operativen Aufwand reduziert. Gleichzeitig besteht eine Abhängigkeit vom Anbieter, etwa hinsichtlich Update-Zyklen oder der Weiterentwicklung des Systems.
Lizenzfragen
Lizenzrechtliche Fragen werden im KI-Kontext häufig unterschätzt, sind jedoch von erheblicher rechtlicher Bedeutung.
Open Source-Lizenzen unterscheiden sich stark in ihren Verpflichtungen. Einige Lizenzen verlangen:
- Offenlegung eigener Änderungen,
- Einhaltung bestimmter Nutzungsvorgaben,
- Einschränkungen bei der kommerziellen Nutzung.
Ein Verstoß gegen Lizenzbedingungen kann erhebliche rechtliche Konsequenzen nach sich ziehen, einschließlich Unterlassungs- und Schadensersatzansprüchen.
Closed Source-KI-Systeme basieren auf individuellen Nutzungsverträgen. Diese Regeln:
- Nutzungsumfang,
- Haftung,
- Supportleistungen,
- Kündigungs- und Exit-Szenarien.
Hier besteht das Risiko langfristiger Bindungen und eingeschränkter Wechselmöglichkeiten.
Funktionsumfang und Support
Kostenlose Open Source-Modelle bieten häufig einen hohen Grad an Anpassbarkeit, jedoch ohne garantierten Support. Unternehmen müssen selbst für Betriebssicherheit, Skalierung und Fehlerbehebung sorgen oder externe Dienstleister beauftragen.
Kostenpflichtige Closed Source-Lösungen bieten demgegenüber:
- garantierte Verfügbarkeiten,
- definierte Support-Level,
- regelmäßige Weiterentwicklung.
Diese Vorteile sind jedoch mit laufenden Kosten und potenziellen Abhängigkeiten verbunden. Die Entscheidung ist daher eine strategische Abwägung zwischen Flexibilität, Kostenkontrolle und rechtlicher Absicherung.
Governance als Schlüssel: das KI-Asset-Register
Unabhängig vom Systemtyp ist eine strukturierte KI-Governance unerlässlich. Ein zentrales Instrument stellt das KI-Asset-Register dar.
Ein KI-Asset-Register dient der:
- vollständigen Erfassung aller eingesetzten KI-Systeme,
- Dokumentation von Zweck, Funktionsweise und Datenkategorien,
- rechtlichen Einordnung (z. B. Datenschutz, Risikoklasse),
- Festlegung von Verantwortlichkeiten und Freigabeprozessen,
- Vorbereitung auf Prüfungen durch Aufsichtsbehörden.
Gerade im Hinblick auf den EU AI Act entwickelt sich ein solches Register faktisch zur zentralen Voraussetzung, um einen rechtskonformen KI-Einsatz nachweisen und steuern zu können. Es schafft Transparenz, reduziert Risiken und ermöglicht eine konsistente Steuerung über den gesamten Lebenszyklus eines KI-Systems hinweg.
Was Unternehmen jetzt konkret tun sollten
Damit der Einsatz von KI-Systemen rechtssicher und strategisch sinnvoll erfolgt, sollten Unternehmen folgende Punkte berücksichtigen:
- Systemauswahl dokumentieren: Entscheidungen für bestimmte KI-Systeme sollten nachvollziehbar begründet und dokumentiert werden, insbesondere im Hinblick auf Transparenz, Datenschutz und Lizenzbedingungen (Art. 5 Abs. 2 DSGVO).
- KI-Asset-Register führen: Eine zentrale Erfassung aller eingesetzten KI-Systeme schafft Transparenz über Einsatzbereiche, Risiken und Verantwortlichkeiten und bildet die Grundlage für wirksame Governance.
- Datenschutz frühzeitig prüfen: Klären Sie Datenverarbeitungsorte, Drittlandübermittlungen und die Notwendigkeit einer Datenschutz-Folgenabschätzung; Datenschutzbeauftragte sollten früh eingebunden werden.
- Lizenz- und Vertragsbedingungen prüfen: Open Source-Lizenzen und kommerzielle Nutzungsmodelle sind rechtlich zu bewerten, insbesondere mit Blick auf Nutzungspflichten, Kosten und Abhängigkeiten.
- Governance und Schulungen etablieren: Klare Freigabe- und Prüfprozesse sowie regelmäßige Schulungen fördern einen verantwortungsvollen und regelkonformen KI-Einsatz.
Wie KREMER LEGAL und KLTO GmbH Sie dabei unterstützen
KREMER LEGAL begleitet Unternehmen bei der rechtssicheren Auswahl und dem Einsatz von KI-Systemen: von der datenschutzrechtlichen Bewertung und Lizenzprüfung über die Risikoklassifizierung nach der KI-VO bis hin zur Erstellung von KI-Richtlinien und Governance-Strukturen. Dabei werden stets auch angrenzende Rechtsbereiche wie Datenschutz, Urheberrecht, Persönlichkeitsschutz und Arbeitsrecht mitgedacht.
Die KREMER LEGAL TECH & OPERATIONS GmbH (KLTO) ergänzt dies auf der operativen Seite: mit der Entwicklung praxisnaher KI-Strategien, der Gestaltung und Umsetzung von KI-Einsatzszenarien, der Ausarbeitung interner Richtlinien und Dokumentation sowie Trainings und Workshops zu u.a. KI, Prompt Engineering, Playbooks/Skills und der Erstellung eigener Plugins für KI-Tools.
Gemeinsam decken KREMER LEGAL und KLTO den gesamten Weg ab – von der rechtlichen Einordnung bis zur gelebten KI-Strategie im Unternehmen.
Sie haben Fragen zum rechtssicheren KI-Einsatz? Nehmen Sie Kontakt auf: info@kremer.legal