Unser digitaler Mitarbeitender David analysiert regelmäßig die Konformität von Avatar- bzw. Video-KI Tools & Plattformen mit deutschem und EU-Recht. Hier ein Report zu Kling AI, einer der führenden chinesischen Video-KI-Plattformen.
1) Verfügbare Datenschutzhinweise von Kling AI
Die offizielle Datenschutzrichtlinie von Kling (z. B. über app.kling-ai.com bzw. klingai-Domains) beschreibt die Erhebung, Nutzung, Speicherung und Weitergabe von personenbezogenen Daten im Kontext der Nutzung ihrer Dienste, inklusive
- Account-Informationen (Name, E-Mail),
- Nutzungsdaten (z. B. IP-Adresse, Gerätedaten)
- und automatisiert erfasster Daten beim Zugriff auf ihre Services.
Es wird zudem auf Cookies und Tracking-Technologien hingewiesen. Weitergehende Angaben, etwa zu internationalen Datenübermittlungen oder detaillierten Betroffenenrechten, sind sporadisch bzw. lediglich angedeutet.
2) DSGVO – Anforderungen und Abgleich mit Kling-Richtlinie
Die DSGVO (Datenschutzgrundverordnung) verlangt u. a.:
- Rechtsgrundlage der Verarbeitung: Jede Datenverarbeitung muss eine verlässliche Rechtsgrundlage haben (Einwilligung, Vertrag, berechtigtes Interesse etc.).
- Umfassende Betroffeneninformation: Betroffene müssen klar und verständlich über Art, Zweck, Rechtsgrundlage, Empfänger, Speicherdauer und ihre Rechte informiert werden (Art. 12–14 DSGVO).
- Datenminimierung & Zweckbindung: Es dürfen nur die absolut notwendigen personenbezogenen Daten verarbeitet werden, und nur für eindeutig festgelegte Zwecke.
- Rechte der Betroffenen: Auskunft, Berichtigung, Löschung, Widerspruch, Datenübertragbarkeit und Widerruf von Einwilligungen müssen gewährleistet sein.
- Internationale Datenübermittlungen: Werden Daten außerhalb des EWR übermittelt, müssen angemessene Schutzmaßnahmen bestehen (z. B. Standardvertragsklauseln).
- Sicherheitsmaßnahmen & Datenschutz durch Technikgestaltung: Angemessene technische und organisatorische Maßnahmen müssen implementiert werden (z. B. Verschlüsselung, Pseudonymisierung).
- Verzeichnis von Verarbeitungstätigkeiten und ggf. Datenschutzfolgenabschätzung (DSFA): Dokumentation aller Verarbeitungen und Risikobewertungen, falls erforderlich.
Bewertung der Kling-Richtlinie im Hinblick auf DSGVO
✔ Positive Elemente:
Personenbezogene und Nutzungsdaten werden benannt.
Grundlegende Zwecke der Datenverarbeitung werden benannt (Service-Bereitstellung, Verbesserung etc.).
Sicherheitsmaßnahmen werden pauschal erwähnt.
❗ Kritische Abweichungen / fehlende Compliance-Elemente:
- Unklare Rechtsgrundlage: Es wird nicht eindeutig angegeben, auf welcher Rechtsgrundlage Daten (z. B. Nutzungsdaten) verarbeitet werden (Vertrag, Einwilligung, berechtigtes Interesse). Ohne klare Rechtsgrundlage ist DSGVO-Konformität nicht sichergestellt.
- Unvollständige Informationspflichten: Weder zentrale Betroffenenrechte (z. B. Widerruf, Widerspruch, Löschung, Datenübertragbarkeit) noch präzise Speicherdauern oder Empfänger detailliert benannt.
- Internationale Datenübermittlungen unzureichend erklärt: Nur pauschal erwähnt, ohne klare Angaben zu Schutzmaßnahmen/Standardvertragsklauseln (SCCs).
- DSFA und Verarbeitungsverzeichnis: Es gibt keinen Hinweis auf ein Verzeichnis der Verarbeitungstätigkeiten oder Risikoanalysen wie DSFA, die für KI-gestützte Verarbeitung unter DSGVO oft erforderlich sind.
Fazit DSGVO-Konformität:
Die Datenschutzrichtlinie ist oberflächlich strukturiert und enthält einzelne Pflichtbestandteile, es fehlt jedoch an wesentlichen Elementen der DSGVO-Transparenzpflichten, klaren Rechtsgrundlagen sowie einem umfassenden Nachweis organisatorischer Compliance-Maßnahmen. Ohne diese ist eine vollständige DSGVO-Konformität nicht gegeben.
3) EU AI Act – Anforderungen und Kontext
Der EU AI Act ist ein eigenständiger, seit August 2024 geltender EU-Regulierungsrahmen, der KI-Systeme nach Risiken klassifiziert und entsprechende Pflichten für Entwickler/Provider und Deployende einführt, u. a.:
- Transparenz- und Informationspflichten für AI-Systeme, besonders bei Hoch- oder risikobehafteten Systemen.
- Risiko- und Sicherheitsanforderungen einschließlich Dokumentations- und Überwachungsmaßnahmen.
- Nachweis der Einhaltung von Grundrechten- und Risikobewertungen (Fundamental Rights Impact Assessment bei Hochrisiko-Systemen).
- Ergänzende Pflichten zur Haftung, technischer Robustheit und Qualitätssteuerung.
Im Zusammenspiel mit der DSGVO ist der AI Act nicht hierarchisch überlegen, sondern er setzt zusätzliche, KI-spezifische Anforderungen voraus, die über traditionelle Datenschutzregeln hinausgehen (z. B. detaillierte Algorithmustransparenz, Nachweis der Robustheit, dokumentierte Risikoanalysen).
Bewertung von Kling AI-Dokumenten im Hinblick auf den AI Act
✔ Erste Ansätze:
Die Datenschutzrichtlinie listet Datentypen und Zwecke auf, die für Transparenz erforderlich wären.
❗ Kritische Abweichungen / fehlende AI-Act-Elemente:
- Keine Risiko- und Konformitätsdokumentation: Es gibt keine Hinweise auf Risiko- oder Sicherheitsbewertungen, Fundamental Rights Impact Assessments oder technische Dokumentation, wie sie für riskobehaftete KI-Systeme vorgeschrieben wären (z. B. Artikel 11/13/26 AI Act).
- Keine spezifischen Transparenzpflichten für KI-Funktionalität: Fehlende Informationen darüber, wie die KI-Algorithmen funktionieren, oder wie Personen informiert werden, wenn sie mit einer KI interagieren, wie der AI Act es verlangt.
- Keine Erwähnung der Rolle als Provider/Deployender mit Pflichten: Es fehlt die Zuordnung der Rolle des Unternehmens im Sinne des AI Act sowie entsprechende Compliance-Verweise (z. B. Konformitätserklärungen).
Fazit EU AI Act:
Die vorliegenden Richtlinien von Kling AI konzentrieren sich auf grundlegende Datenschutzaspekte, decken jedoch nicht die erweiterten Transparenz-, Risiko- und Governance-Pflichten des EU AI Act ab. Ohne zusätzliche, AI-Act-spezifische Dokumente und Bewertungen besteht deutlicher Nachbesserungsbedarf, sofern das System in der EU angeboten oder verwendet wird.
4) Zusammenfassung – Wesentliche Compliance-Lücken (DSGVO & AI Act)
Schlussbemerkung:
Die vorhandenen Richtlinien von Kling AI adressieren Basisaspekte der Datenschutzpraxis, erreichen jedoch weder die Anforderungen der DSGVO noch die erweiterten Pflichten des EU AI Act in der Tiefe, Transparenz und Nachweisführung, die für Anbieter und Dienste mit EU-Nutzern gelten. Für rechtssicheren Betrieb in der EU wären substanzielle Ergänzungen in der Datenschutz- und KI-Governance-Dokumentation erforderlich.
Ein Avatar-Update von Masterclass-Avatare.