Was muss man beim Einsatz von KI datenschutzrechtlich beachten?
Was ist Künstliche Intelligenz (KI)?
Künstliche Intelligenz bezeichnet Systeme, die Aufgaben ausführen können, die normalerweise menschliche Intelligenz erfordern, etwa das Erkennen von Mustern, das Verstehen von Sprache oder das Treffen von Entscheidungen.
Warum ist Datenschutz bei KI besonders wichtig?
KI-Systeme verarbeiten häufig große Mengen an Daten, darunter auch personenbezogene Daten. Damit verbunden sind besondere Risiken, etwa in Bezug auf Transparenz, Fairness oder ungewollte Diskriminierung. Deshalb achten wir besonders darauf, dass unsere Kunden bei der Entwicklung und Anwendung von KI-Anwendungen der Schutz Ihrer Daten jederzeit gewährleisten können. Unser Ziel ist es, dass diese moderne Technologie verantwortungsvoll und im Einklang mit den geltenden Datenschutzstandards eingesetzt werden kann.
Was sind die zwei Säulen für einen verantwortungsvollen Einsatz von KI?
Die DSGVO regelt den Schutz personenbezogener Daten und verpflichtet Unternehmen, Daten rechtmäßig, transparent und zweckgebunden zu verarbeiten. Zentrale Prinzipien sind:
- Datenminimierung
- Zweckbindung und Transparenz
- Integrität und Vertraulichkeit
- Rechenschaftspflicht
- Betroffenenrechte
- Datenschutz-Folgenabschätzung (DSFA) bei hohem Risiko
Diese Vorgaben gelten unabhängig von der eingesetzten Technologie und müssen fortlaufend überprüft und angepasst werden.
Der AI-Act ergänzt die DSGVO um spezifische Anforderungen für KI-Systeme. Im Mittelpunkt steht die Einstufung von KI-Anwendungen in Risikokategorien:
- Unannehmbares Risiko: Verboten, z. B. bei Social Scoring oder manipulativen Systemen.
Hohes Risiko: Zulässig, aber stark reguliert (z. B. KI in Medizin, Bildung, Bewerberauswahl). Hier gelten strenge Anforderungen an Risikomanagement, Datenqualität, Transparenz und menschliche Aufsicht.
Begrenztes Risiko: Erlaubt mit Transparenzpflichten, etwa bei Chatbots.
Minimales Risiko: Frei einsetzbar, z. B. bei Spam-Filtern oder KI in Spielen.
Die Risikoeinstufung hängt vom Zweck, den betroffenen Personengruppen und den potenziellen Auswirkungen auf Grundrechte ab. Neue Anwendungsfälle oder technologische Entwicklungen können eine Neubewertung erforderlich machen.
Mit KI entstehen neue Risiken wie Datenmissbrauch, mangelnde Transparenz oder algorithmische Voreingenommenheit (Bias). Um diesen zu begegnen, sind technische, organisatorische und rechtliche Maßnahmen erforderlich:
Privacy by Design:
Der Grundgedanke von „Privacy by Design“ ist, dass Datenschutz nicht erst im Nachhinein, sondern von Anfang an – schon bei der Planung und Entwicklung von IT-Systemen, Prozessen oder Produkten – berücksichtigt werden muss. Es ist ein proaktiver Ansatz, um personenbezogene Daten systematisch zu schützen.
Privacy by Default:
„Privacy by Default“ ist ein zentrales Prinzip der DSGVO und eng mit Privacy by Design verwandt, aber mit einem besonderen Schwerpunkt auf die Standardeinstellungen eines Systems, Produkts oder Dienstes.
Regelmäßige Audits und Schulungen:
Zur Sicherstellung der Einhaltung aller relevanten Vorgaben sowie zur kontinuierlichen Sensibilisierung der Mitarbeitenden werden regelmäßig Audits und Schulungen durchgeführt. Die Audits dienen dazu, Prozesse, Verhaltensweisen und Abläufe systematisch zu überprüfen und gegebenenfalls Optimierungspotenzial aufzudecken. Parallel dazu stellen zielgerichtete Schulungsmaßnahmen sicher, dass alle Mitarbeitenden über die aktuellen gesetzlichen, sicherheitsrelevanten und unternehmensinternen Anforderungen informiert sind. Dabei liegt der Fokus nicht nur auf der reinen Wissensvermittlung, sondern auch auf der Förderung eines verantwortungsbewussten und regelkonformen Handelns im Arbeitsalltag.
Datensparsamkeit, Transparenz und Sicherheit durch technische und organisatorische Maßnahmen:
Zur Minimierung potenzieller Risiken und zum verantwortungsvollen Umgang mit Daten werden verschiedene technische und organisatorische Maßnahmen umgesetzt. Wo immer möglich, kommen anonyme oder synthetische Daten zum Einsatz, um den Schutz personenbezogener Informationen sicherzustellen. Eine standardisierte und nachvollziehbare Dokumentation, beispielsweise in Form von „Datasheets for Datasets“, sorgt für Transparenz hinsichtlich der Herkunft, Qualität und Nutzung der Daten. Der modulare Aufbau des Systems sowie gezielte Zugriffsbeschränkungen stellen sicher, dass jede Systemkomponente nur auf die Daten zugreifen kann, die für ihre Funktion unbedingt erforderlich sind. Ergänzt wird dieses Konzept durch umfassende Sicherheitsmaßnahmen wie den Schutz vor unbefugten Zugriffen, die Protokollierung aller Datenzugriffe sowie regelmäßige Überprüfungen auf mögliche Verzerrungen (Bias) und Diskriminierung, um faire und vertrauenswürdige Systementscheidungen zu gewährleisten.
LLMs wie ChatGPT oder ähnliche Systeme verarbeiten Daten in abstrakten mathematischen Repräsentationen. Dennoch können beim Training und Einsatz personenbezogene Daten betroffen sein. Deshalb gilt hier die DSGVO, insbesondere in Bezug auf Transparenz und Betroffenenrechte. Unternehmen müssen sicherstellen, dass Auskunfts- oder Löschungsansprüche umgesetzt werden können, und Nutzerinnen und Nutzer klar über die Datenverarbeitung informiert werden. Wenn möglich, sollten Daten anonymisiert oder pseudonymisiert werden.
Auch die Infrastruktur ist entscheidend: Der Betrieb auf eigener Hardware („on-premise“) bietet maximale Kontrolle, aber auch DSGVO-konforme Cloudlösungen sind möglich, wenn sie eine verschlüsselte Übertragung und einen beschränkten Administratorzugang bieten.
Wie geht man verantwortungsvoll im Unternehmen mit dem Einsatz von KI um?
Ein datenschutzkonformer und ethisch verantwortungsvoller KI-Einsatz ist ein fortlaufender Prozess. Er erfordert:
Technische Sorgfalt
Rechtliche Klarheit
Organisatorisches Verantwortungsbewusstsein
Frühzeitige Einbindung aller relevanten Stakeholder (Datenschutz, IT, Fachabteilungen, Betriebsrat, Ethikgremien)
Checklisten und standardisierte Dokumentationsformate
Berücksichtigung internationaler Aspekte wie grenzüberschreitende Datenflüsse
Was heißt das für Mitarbeiter die beruflich mit KI arbeiten und was müssen diese beachten?
Die Mitarbeiter sind verpflichtet, die geltenden Datenschutzvorschriften strikt einzuhalten und tragen aktiv zum Schutz der persönlichen Daten bei.
Ergänzend zu den gesetzlichen Vorgaben gelten unternehmensinterne Datenschutzrichtlinien, die u. a. folgende Punkte regeln:
E-Mail- und Internetnutzung am Arbeitsplatz
Umgang mit Kundendaten und sensiblen Informationen
Schutz vor unbefugtem Zugriff auf Systeme und Dokumente
Nutzung privater Geräte im Rahmen von „Bring Your Own Device“
Verpflichtung zum Datenschutz:
Alle Mitarbeiter werden bei Arbeitsantritt auf das Datengeheimnis verpflichtet und regelmäßig im Umgang mit personenbezogenen Daten geschult. Diese Verpflichtung gilt auch über das Ende des Arbeitsverhältnisses hinaus.
Rechtsgrundlagen für den Einsatz von KI und den Umgang mit personenbezogenen Daten:
Einwilligung der betroffenen Person (Art. 6 Abs. 1 lit. a DSGVO):
Für bestimmte KI-gestützte Funktionen, insbesondere solche, die nicht zwingend für die Nutzung eines Angebots erforderlich sind oder in denen automatisierte Entscheidungen getroffen werden, muss vorab Ihre ausdrückliche Einwilligung eingeholt werden. Dies geschieht transparent, z. B. über ein Cookie-Banner, ein Opt-in-Formular oder eine spezielle Einwilligungserklärung im Nutzerkonto.
Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO):
Wenn der Einsatz von KI zur Erfüllung eines Vertrags erforderlich ist, etwa zur automatisierten Bearbeitung von Anfragen oder zur Bereitstellung personalisierter Dienste, ist dies zulässig.
Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO):
In manchen Fällen werden Daten auf Grundlage eines berechtigten Interesses verarbeitet, z. B. zur Optimierung eines Angebots oder zur Verbesserung der Nutzererfahrung durch KI-gestützte Auswertungen. Dabei achten wir sorgfältig darauf, dass keine überwiegenden Interessen oder Grundrechte der betroffenen Personen beeinträchtigt werden. Es erfolgt stets eine Abwägung zwischen unserem Interesse und Ihrem Datenschutz.