Immobilienplattform trainierte heimlich KI-Modell mit Kundenmails

Die Berliner Datenschutzaufsicht überprüft derzeit eine Immobilienvermittlungsplattform. Das Unternehmen soll die Kommunikation mit Kund*innen genutzt haben, um ein KI-System zur Bearbeitung von Anfragen zu trainieren – ohne die Kund*innen darüber zu informieren, wie die Behörde in ihrem Jahresbericht schreibt. Laut EU-Datenschutzregeln (DSGVO) ist das unzulässig.

Konkret geht es um Nachrichten, die Kund*innen per Mail und Kontaktformular an das Unternehmen geschickt haben, teilt die Berliner Behörde auf Anfrage von netzpolitik.org mit. Der mögliche Verstoß sei im Sommer vergangenen Jahres aufgefallen. Daraufhin leitete die Behörde ein Verfahren ein, das noch nicht abgeschlossen ist. Inzwischen enthielte die Datenschutzerklärung der Plattform einen entsprechenden Hinweis auf die Verwendung der Anfragen.

ImmoScout24 setzt auf KI-Lösung

Um welches Unternehmen es sich handelt, schreibt die Behörde nicht. Sie darf während laufender Verfahren keine Informationen dazu herausgeben. Es könnte sich jedoch um ImmoScout24 handeln, eine der größten Immobilienplattformen Deutschlands mit Sitz in Berlin. Laut eigener Aussage nutzen monatlich rund 19 Millionen Menschen die Seite.

Ein Sprecher von ImmoScout24 wollte auf Anfrage nicht bestätigen, dass es sich um das Unternehmen handelt und verwies darauf, dass verschiedene Immobilienplattformen in die Zuständigkeit der Berliner Behörde fielen.

Gleichzeitig erklärte er, ImmoScout24 setze seit etwa zwei Jahren eine KI-Lösung ein, die Kundenanfragen automatisch klassifiziert. Um das System kontinuierlich zu trainieren, verwende das Unternehmen abgeschlossene Kommunikation mit Kund*innen. Die Daten würden nach spätestens sechs Monaten gelöscht.

Im Klartext: Wer ImmoScout24 kontaktiert, etwa um eine Nachfrage zum eigenen Account zu stellen, muss damit rechnen, dass diese Kommunikation zum Trainingsmaterial wird.

Um welche KI-Lösung es sich handelt, hat das Unternehmen auf Nachfrage nicht beantwortet. In einem Blogbeitrag von 2018 nannte ImmoScout24 jedoch drei verschiedene Lösungen, die das Unternehmen damals testete: Salesforce Einstein, Parlamind und eine hausinterne Lösung in Zusammenarbeit mit Google.

Hinweis nachträglich ergänzt

In der Datenschutzerklärung des Unternehmens steht inzwischen, dass ImmoScout24 abgeschlossene Kundenanfragen per E-Mail oder Kontaktformular verarbeitet, um ein „intelligentes System zur thematischen Nachrichtenordnung“ zu trainieren. Auch Vertragskündigungen werden demnach automatisiert bearbeitet, wenn das System sie mit hoher Wahrscheinlichkeit als solche erkennt. Der Einsatz von KI-Technologien sei damit datenschutzkonform, schreibt der Sprecher.

Archivierte Versionen der Seite zeigen jedoch, dass diese Hinweise erst zwischen dem 9. Oktober und 1. November 2024 ergänzt wurden – also nachdem das System laut ImmoScout24 bereits im Einsatz war. Und nach Beginn des Prüfverfahrens der Berliner Datenschutzaufsicht wegen fehlender Transparenz gegen eine nicht benannte Immobilienplattform.

Behörde will mehr KI-Einsätze überprüfen

Der Fall ist nur einer von mehreren KI-Prüffällen, die die Berliner Datenschutzaufsicht in ihrem Jahresbericht nennt. Meist geht es dabei um Techniken des maschinellen Lernens, schreibt die Behörde. Diese Modelle benötigen dafür einen Datensatz mit Beispielen, um daraus Muster und Zusammenhänge zu erkennen.

„Unsere ersten Prüfverfahren von KI-Einsätzen zeigen, dass insbesondere die Transparenz bei KI-Anwendungen vielfach noch nicht auf dem notwendigen Niveau angekommen ist“, sagt Meike Kamp, die Berliner Datenschutzbeauftragte. Betroffene würden häufig gar nicht oder nur unzureichend über die Verarbeitung ihrer Daten in KI-Systemen informiert – ein Verstoß gegen die Informationspflichten der DSGVO. Die Behörde plant, die Prüfung von KI-Systemen in den kommenden Jahren zu verstärken.