Künstliche Intelligenz: So gelingt der Datenschutz

Spätestens seit der großen Beliebtheit von ChatGPT ist Künstliche Intelligenz (KI) im Bewusstsein aller angekommen. Doch nicht erst seit ChatGPT kommt KI in der Berufswelt zum Einsatz. Bereits seit einigen Jahren entwickelt sich KI-Nutzung immer weiter und kommt nach und nach in vielen Branchen an. 

Bereits jetzt nutzen viele Unternehmen KI-Software in den unterschiedlichsten Bereichen - Tendenz steigend. KI kann dabei Arbeit abnehmen oder erleichtern. Doch dabei sollte auch immer der Datenschutz mitgedacht werden, denn KI wird in der Regel mit Daten trainiert. Geht es dabei insbesondere um personenbezogene Daten, sollten sich Unternehmen genau mit den rechtlichen Rahmenbedingungen auseinandersetzen. Wir geben Dir in diesem Artikel Tipps, wie Du KI erfolgreich und rechtlich sicher umsetzen kannst.

Du hast datenschutzrechtliche Fragen? Mit umfassender Fachkompetenz in technischen und juristischen Fragen berät und unterstützt Dich unser Team ganzheitlich bei Deinem Anliegen. Vereinbare jetzt ein unverbindliches Erstgespräch mit unseren Experten.

Schon heute kann Künstliche Intelligenz (Englisch: AI = Artificial Intelligence) viele Aufgaben erleichtern oder ganz übernehmen (z.B. automatische Rechnungserstellung, Angebote usw.). Es handelt sich um Aufgaben, die normalerweise menschliche Intelligenz erfordern - bis jetzt. Eine KI arbeitet dabei mit Algorithmen, die Daten verwenden, Muster erkennen und dann Problemlösungen finden oder sogar Entscheidungen treffen. Mithilfe des Machine Learning, einem Teilgebiet der KI, ist ein Algorithmus in der Lage, selbstständig zu lernen.

Möglichkeiten, die KI einzusetzen, sind vielfältig. Hier ein paar Beispiele: 

• Verfassen von Texten und Bausteinen (z. B. in E-Mails), 
• Zusammenfassungen von Texten,
• Programmierung von Software und Programmen, 
• Erfassen und Auswerten von Daten (z. B. Lebensläufen von Bewerbern), 
• Übersetzungen in andere Sprachen.

Auch wenn KI dabei immer besser wird, macht sie auch Fehler und kann bisher kein menschliches Denken ersetzen.

Beim Einsatz der KI ist das geltende Recht zu beachten. Davon sind im beruflichen Umfeld häufig etwa das Arbeitsrecht, das Haftungsrecht und das Urheberrecht umfasst. Auch das Datenschutzrecht kann zur Anwendung gelangen, wenn durch die KI personenbezogene Daten verarbeitet werden.

Kein Unternehmen sollte daher ohne ausreichend Vorbereitung eine KI einsetzen, ohne sich vorher mit den geltenden Vorgaben vertraut gemacht zu haben. Es ist zu prüfen, ob die eingesetzte KI die Anforderungen erfüllt.

Für den Einsatz von KI sind dabei insbesondere folgende datenschutzrechtliche Anforderungen zu beachten:

1. Betroffene Personen sind darüber zu informieren, dass ihre Daten durch den Einsatz von KI verarbeitet werden (Transparenz, Bsp.: Informationspflichten). 
2. Betroffene haben jederzeit das Recht, diesem Einsatz bzw. der Verarbeitung der Daten insgesamt zu widersprechen (Widerspruchsrecht). 
3. Die Verarbeitung muss immer auf ein Minimum reduziert werden, auch bei Einsatz von KI. Achte daher darauf, dass die KI dies umsetzt (Datensparsamkeit). 
4. Die Verarbeitung von personenbezogenen Daten muss immer einem bestimmten und legitimen Zweck dienen. KI darf nicht ohne einen solchen Zweck Daten speichern oder verarbeiten (Zweckbindung). 
5. Die KI muss sich an die Löschungsfristen von Daten halten.
6. Werden Daten an Dritte übermittelt, muss entweder ein Auftragsverarbeitungsvertrag (AVV) vorliegen oder die Voraussetzungen des Art. 6 DSGVO erfüllt sein. Findet eine Datenübermittlung ins Ausland statt, muss im Drittland ein angemessenes Datenschutzniveau bestehen. Dies ist der Fall, wenn seitens der EU ein Angemessenheitbeschluss gefasst wurde (Art. 45 Abs. 3 DSGVO). Ansonsten ist eine Übermittlung rechtmäßig, wenn geeignete Garantien (z.B. Standardvertragsklauseln) nach Art. 46 DSGVO vorliegen. Ist dies auch nicht der Fall, hält Art. 49 DSGVO weitere  Ausnahmetatbestände bereit (insbesondere die Einwilligung der betroffenen Person).

So gut wie jedes Unternehmen ist vom Datenschutzrecht betroffen. Daher sollte bereits heute jedes Unternehmen auch eine effektive und durchdachte Datenschutz-Strategie haben, in die nun auch die Nutzung von KI eingepflegt werden kann. 

Bei einer solchen Strategie sollten intern Mechanismen etabliert werden, wie die Vorgaben der DSGVO umgesetzt werden können. Das bedeutet zum Beispiel, dass automatisiert die Löschfristen von Daten eingehalten werden und ein Verarbeitungsverzeichnis besteht, das laufend aktualisiert wird. 

Vor der Nutzung einer KI-Software ist dann zu prüfen, ob dieses notwendig ist, ob es die Vorgaben zu Datensparsamkeit, Zweckbindung etc. erfüllt und welche Risiken die Nutzung mit sich bringt (Risikoanalyse). Erst dann sollte eine Nutzung erfolgen. 

Zudem werden sich Unternehmen zukünftig mit dem AI Act der EU (noch nicht in Kraft getreten) genauer befassen müssen, um Bußgelder seitens der Datenschutzbehörden zu vermeiden.

Du hast noch keine Datenschutz-Strategie oder offene Fragen zum Thema? Kontaktiere uns gerne jederzeit für ein Beratungsgespräch. Gemeinsam erarbeiten wir eine umfassende Datenschutz-Strategie, abgestimmt auf Dein Unternehmen.

Vor der Nutzung von KI im Unternehmen sollten die Verantwortlichkeiten und Rollen geklärt werden. Hier gibt es verschiedene Möglichkeiten:

• Auftragsverarbeitung: In der Regel agiert das Unternehmen in seiner Rolle als Auftraggeber und der Dienstleistungsanbieter der KI als Auftragsverarbeiter. Dann ist ein Auftragsverarbeitungsvertrag nach Art. 28. DSGVO abzuschließen. Bei der Auftragsverarbeitung ist nicht der Auftragsverarbeiter datenschutzrechtlich verantwortlich, sondern der Auftraggeber. Der Auftragsverarbeiter ist an die Weisungen des Auftraggebers gebunden und darf die Daten nicht zu eigenen Zwecken nutzen. 
• Gemeinsame Verantwortlichkeit: Sowohl der KI-Anbieter als auch das Unternehmen sind für die Datenverarbeitung gemeinsam verantwortlich. Ein Weisungs- und Abhängigkeitsverhältnis besteht in der Regel nicht.
• Getrennte Verantwortlichkeit: Nur der Anbieter ist für die Verarbeitung der Daten verantwortlich, während der Unternehmer die Eingabe in die KI zu verantworten hat. Jeder hat seine eigenen Vorgaben im Datenschutz zu erfüllen.

Je nach Verantwortlichkeit sind unterschiedliche Maßnahmen zu ergreifen, um die Vorgaben der DSGVO zu erfüllen:

Bei gemeinsamer Verantwortlichkeit ist gemäß Art. 26 DSGVO eine Vereinbarung notwendig, welche die Aufteilung der datenschutzrechtlichen Pflichten festlegt. Beide Parteien haben zudem sicherzustellen, dass betroffene Personen gemäß Art. 13 und 14 DSGVO über die gemeinsame Verantwortlichkeit informiert werden. Auch hier sind technische und organisatorische Maßnahmen zu treffen.

Bei getrennter Verantwortlichkeit hat jede Partei eigenständige datenschutzrechtliche Pflichten gemäß Art. 5 DSGVO zu erfüllen. Absprachen bezüglich Datentransfer und -zugriff sind sinnvoll, um sicherzustellen, dass die jeweiligen Pflichten korrekt erfüllt werden.

Abschließend sei betont, dass insbesondere bei Einsatz von KI regelmäßige Überprüfungen und Datenschutz-Folgenabschätzungen nach Art. 35 DSGVO notwendig sind. Du solltest daher genau prüfen, welche Verantwortlichkeiten wen treffen und frühzeitig planen.

Nicht nur bei Kunden und Lieferanten oder Geschäftspartnern ist die DSGVO zu beachten. Die DSGVO gelangt grundsätzlich immer bei der Verarbeitung von personenbezogenen Daten zur Anwendung. Eine solche kann auch betriebsintern vorliegen. Das hat insbesondere Auswirkungen auf den Personalbereich.

Wird hier KI angewandt, sollte darauf geachtet werden, dass die sensiblen Daten der Angestellten geschützt werden, zum Beispiel sollten Daten nur anonym in die KI eingegeben werden. In diesem Fall ist sicherzustellen, dass die Mitarbeiter die gleichen Rechte haben wie andere Betroffene.

Jedes Unternehmen steht und fällt mit den eigenen Mitarbeitern. Das gilt insbesondere beim Datenschutz. Der Grund: Die Mitarbeiter sind es, die personenbezogene Daten erfassen, verarbeiten, speichern und löschen. Und sie sind es unter Umständen auch, die KI-Tools mit diesen Daten “füttern”, um diese zu trainieren.

Gerade deshalb ist es wichtig, Beschäftigte frühzeitig und umfassend zu schulen und in die Auswahl und Umsetzung von KI einzubinden. So lässt sich gewährleisten, dass im Unternehmen jeder auf dem neuesten Stand ist, was Technik, Software und auch Datenschutzrecht angeht.

Durch regelmäßige Schulungen können Mitarbeiter die geltenden Gesetze umsetzen und anwenden und so den Datenschutzstandard im Betrieb aufrechterhalten. Zudem verlieren sie die Angst im Umgang mit KI und können sich sicher sein, dass KI sie unterstützt, aber nicht ihren Arbeitsplatz wegnimmt. Das fördert auch das Betriebsklima. 

Der erste Schritt vor Umsetzung einer KI im Unternehmen sollte immer die Besprechung im Team und die datenschutzrechtliche Einordnung sein. Denn nicht jede Software erfüllt die datenschutzrechtlichen Anforderungen und ist somit rechtskonform. Prüfe daher genau, ob die Nutzung einer KI bei personenbezogenen Daten Arbeitsprozesse besser und effektiver machen kann und wie dies in Relation zum datenschutzrechtlichen Risiko steht.

Du benötigst Unterstützung? Unser Team besteht aus Juristen, Datenschutzbeauftragten, Auditoren, IT-Sicherheitsberatern und Risk Managern, die im gesamten Bundesgebiet und in Luxemburg für Dich tätig werden. Als spezialisierte Unternehmensberater unterstützen wir Dich ganzheitlich bei den Themen Datenschutz, IT-Recht und Cybersicherheit. Komm jederzeit für ein unverbindliches Erstgespräch auf uns zu.