Nicht nur das bekannte Tool ChatGPT, auch viele andere KI-Werkzeuge haben ihren Weg in die unterschiedlichsten Lebensbereiche gefunden. Unternehmen profitieren auf vielerlei Art von der Hilfe der Maschine – doch das sensible Thema Datenschutz braucht hier besonders viel Aufmerksamkeit.

Die datenschutzkonforme Nutzung von künstlicher Intelligenz: Diesem Thema wollen wir uns einmal ausführlicher widmen. Erfahren Sie die wichtigsten Aspekte zu KI und Datenschutz, den aktuellen Stand der Rechtslage und die aktuelle Verbreitung in der Unternehmenswelt.

Wir beleuchten die Anwendungsmöglichkeiten der künstlichen Tools heute und in Zukunft, prüfen die Rechtsgrundlagen, die der Datenschutz vorgibt, und betrachten in diesem Zusammenhang Themen wie das Transparenzgesetz oder praktische Anwendungsfälle für Arbeitgeber im Betrieb.

Mit der abschließenden Liste können Sie selbst abschätzen, ob und inwieweit in Ihrem Unternehmen bereits im rechtlichen Sinne konform mit personenbezogenen Daten umgegangen wird und worum Sie sich kümmern müssen, damit die Nutzung von KI den Anforderungen aus rechtlicher Sicht gerecht wird.

Weil das Thema KI und Datenschutz viele Rechtsbereiche erfasst und recht sensibel ist, kann auch unser Ratgeber die geltenden Anforderungen nur teilweise beleuchten.

Scheuen Sie sich nicht, uns anzusprechen: Wenn Sie Fragen zum Inhalt unseres Ratgebers haben oder darüber hinaus Beratung zum Einsatz von KI in Ihrer Firma suchen, dann sind wir als externer Datenschutzbeauftragter für Sie da.

Künstliche Intelligenz – was verbirgt sich hinter dem Begriff?

Ein KI System lernt, indem es Daten verschlingt und auswertet – die Arbeitsgrundlage der künstlichen Intelligenz ist zugleich in Bezug auf die Datensicherheit ein ganz sensibler Bereich.

chip-img

Definieren wir kurz, was wir heute unter KI verstehen. Grundsätzlich meint der Begriff Künstliche Intelligenz erst einmal ein Fachgebiet der Informatik: Ein IT-System, das menschenähnlich-intelligente Verhaltensweisen aufweist, auch die Fähigkeit einer Maschine, mit passendem Training zu lernen, zu planen und logisches Denken nachzuahmen. Wichtigste Kompetenz einer KI ist ihre Fähigkeit, zu lernen. Die Forschung versucht also, menschliches Denken und Lernen auf den Computer zu übertragen, um damit das menschliche Arbeiten zu unterstützen. Gelingt dies, muss die KI nicht extra für jeden Schritt programmiert werden, sondern sie findet eigenständige Antworten und kann selbständig bestimmte Probleme lösen.

Diese Kompetenzen machen KI für die Industrie in jeder Branche höchst interessant. Die maschinelle Hilfe hat sich heute in so vielen Bereichen etabliert, dass manchem gar nicht mehr bewusst ist, wo bereits KI unterstützend wirkt.

Starke und schwache KI?

Gelegentlich lesen wir noch von der Unterscheidung zwischen „starker und schwacher“ KI. Die sogenannte starke KI ist bisher reine Theorie, sie meint nämlich eine Maschine, die Probleme allgemeiner Natur lösen kann. Sie könnte also jede Frage beantworten, die ihr gestellt wird. Im Englischen wird diese utopische KI als AGI - Artificial General Intelligence bezeichnet.

Die schwache KI dagegen kennen wir aus dem Alltag. Damit sind Algorithmen gemeint, die bestimmte Aufgaben bearbeiten, für die sie zuvor Lösungswege gelernt haben. Anwendungen dieser Art finden wir in jedem Smartphone und in jedem PC. Eine KI kann aus unbekannten Daten lernen, sie erkennt Muster in den Daten und leitet daraus Handlungen ab – das unterscheidet sie von einfachen Programmen, die direkte Befehle brauchen, welche sie dann ausführen.

Künstliche Intelligenzen erfassen riesige Mengen an unterschiedlichsten Daten, die ohne ihre Hilfe schon aus Zeitgründen und wegen der hohen Komplexität gar nicht mehr verarbeitet werden könnten. Die massenhafte Entstehung und Verfügbarkeit von Daten, die gerade in den letzten Jahren rapide angestiegen ist, bringt den Fortschritt im Bereich künstlicher Intelligenz rasch voran, denn diese Daten lassen sich gewinnbringend nutzen.

Sie wollen mehr über KI und Datenschutz erfahren?

Wir unterstützen Sie dabei mit umfassender Beratung und Expertise.

<
Kostenloses Erstgespräch

Die KI in der Unternehmenslandschaft: Der Standort Deutschland wird KI-Land

Im Jahr 2018 verabschiedete die Bundesregierung eine nationale KI-Strategie. Das Ziel: Deutschland soll führender Standort für die Nutzung und Entwicklung von KI-Strategien werden – wir können Künstliche Intelligenz, so die Hoffnung für die Zukunft. Darum wurden strategische Ziele und Maßnahmen erarbeitet, auch in den einzelnen Bundesländern. Neben dem Ausbau der Forschung, von Wissenstransfers und der Förderung von internationalen Dialogen zum Thema sind auch Sicherheit, Recht und Ethik Thema dieser nationalen Förderinitiative.

Themen waren beispielsweise Anpassungen im Arbeitsrecht und im Beschäftigtendatenschutzgesetz oder auch die Anpassung des Wettbewerbs- und Urheberrechts, damit möglichst viele Daten zugänglich sind, ohne dass persönliche Daten oder gar betriebsinternes Know-how preisgegeben wird. Die Ausarbeitung eines rechtssicheren Ordnungsrahmens für die Arbeitgeber, die sich mit der Technologie befassen, musste zunächst erst noch geschaffen werden.

Die KI im Unternehmen ist also fest eingeplant, doch das Thema Datenschutz, speziell der personenbezogenen Daten, wird bis heute an vorderster Stelle diskutiert und bearbeitet. Wer die künstliche Intelligenz ins eigene Unternehmen bringt, ist damit auf einem zukunftsträchtigen Weg, sollte sich aber auch der Verantwortung bewusst sein, die damit im Hinblick auf die Verarbeitung personenbezogener Daten oder generell auf die Datensicherheit einhergeht.

Der Einsatz von KI Systemen stellt Arbeitgeber und Produzenten vor Herausforderungen, aber er bietet auch Vorteile für den eigenen Geschäftserfolg – vorausgesetzt, Unternehmen sind sich ihrer Verantwortlichkeit im sensiblen Bereich der personenbezogenen Daten und Compliance bewusst.

Doch schauen wir zuerst auf die Möglichkeiten, die moderne KI Anbieter in die Welt der Arbeitgeber und Produzenten tragen.

connecting-img

Von Marketing über Bewerbung bis zur Navigation: Anwendungsbeispiele für die KI im Unternehmen

KI Tools haben in allen Branchen längst Einzug gehalten. Die Anwendungsmöglichkeiten künstlicher Intelligenz sind kaum zu zählen. Wir kennen bereits die Gesichtserkennung, mit der wir unser Smartphone entsperren, der Sprachassistent hilft im Smarthome oder auf dem Handy ebenfalls per KI weiter. Übersetzer fördern den Austausch mit internationalen Kunden und Partnern, der erste Ansprechpartner im Kundenservice ist heute oft ein Chat, in dem eine KI Anwendung findet. Ohne den Einsatz von KI läuft kaum noch ein Fuhrparkmanagement im Unternehmen, etwa bei der Touren- und Einsatzplanung. All das ist KI, auch wenn es uns gar nicht mehr immer bewusst ist. Perspektivisch ist auch das autonome Fahren, auf Grundlage der Künstlichen Intelligenz, interessant für die Industrie, etwa für Unternehmen aus der Logistik.

Für die Nutzung in der Industrie sind meist KI Tools aus dem Bereich maschinelles Lernen gemeint, wenn von KI die Rede ist. Für die kommerzielle Nutzung ist diese Form künstlicher Intelligenz die bedeutendste. Beispiele für solche KI Tools sind etwa:

  • Anwendungen zur Sprach- oder Bildgenerierung, etwa Midjourney oder Large Language Models LLM
  • Künstliche Intelligenzen zur Bildverarbeitung
conect

Large Language Models und was sie können

Machine Learning – Tipps für Unternehmen beim Einsatz von Large Language Models

Large Language Models sind inzwischen in der Gesellschaft genauso wie in der Arbeitswelt angekommen: Das bekannteste ist wohl ChatGpt. Wer diese LLMs einsetzen möchte, sollte sich an grundsätzliche Regeln halten, damit der Einsatz von KI in den gesetzlichen Vorgaben des Datenschutzes stattfindet.

Unter dem Begriff werden KI Systeme beziehungsweise Algorithmen verstanden, die mit Hilfe von Datensätzen und Deep-Learning-Techniken Texte erstellen können. So, wie dies von ChatGpt bekannt ist. Ein solches LLM kann in der Lage sein, Texte zu erstellen, vorhandene Texte zusammenzufassen und auch neue Inhalte zu verstehen. Da Large Language Models auf riesige Mengen von Daten zugreifen, können sie auch auf vielerlei Herausforderungen reagieren: Das macht sie beispielsweise ideal für die Anwendung als Chatbot.

Doch wo viele Daten beim Einsatz von KI genutzt werden, da muss besonders auf das Recht der betroffenen Personen geachtet werden. Nicht immer ist es möglich, die nötige Transparenz zu gewährleisten, was zuweilen auch an mangelnder Nachvollziehbarkeit der KI Anbieter liegt. Die Vorteile von solchen Systemen werden dann schnell durch zu hohe Risiken zunichte gemacht.

Chancen und Herausforderungen – lohnt sich der Einsatz von KI in meinem Betrieb?

KI Systeme fürs Unternehmen anzuschaffen, ist ein mitunter komplexer und oft teurer Prozess. Gerade mittelständische Betriebe fragen sich hier, ob sich ein solches Investment auch angesichts unbekannter Risiken lohnt. Doch der Fortschritt ist nicht aufzuhalten, und viele KI Tools bringen langfristig betrachtet unersetzlichen Fortschritt ins Haus.

Ob sich die KI lohnt oder nicht, hängt zum großen Teil davon ab, ob es die nötigen Daten dafür gibt. Sofern ein bestimmtes Problem von einer KI bewältigt werden kann, dann wird sie es auf jeden Fall schneller und besser machen als der Mensch. Vorausgesetzt, sie hat die passenden Daten dafür. Wenn es diese gibt und auch ein passender Anwendungsfall für KI Tools gegeben ist, dann lohnt sich das zeit- und ressourcenaufwendige Investment langfristig.

Ein paar Fragen helfen, abzuschätzen, ob und welche KI Anwendungen sinnvoll und rentabel sein könnten

  • Wie kann der Einsatz künstlicher Intelligenz den Umsatz steigern?
  • An welcher Stelle senken KI Tools bestehende Kosten?
  • Profitieren Ihre Kunden vom Gebrauch künstlicher Intelligenz?
  • Gibt es eventuell lokale Fördermittel für meinen User-Case?

Perspektivisch wird der Einsatz von KI Systemen mit fortschreitender Forschung und Entwicklung ohnehin günstiger. Wer aktuell noch nicht die Notwendigkeit oder Kapazität im Betrieb sieht auf künstliche Intelligenz zurückzugreifen, kann auf diesen Fortschritt bauen. Allerdings sollte man den Markt für KI Tools und die Konkurrenz im Auge behalten, damit hier keine Entwicklung verschlafen wird und am Ende konkurrierende Anbieter davonziehen, weil sie früher auf die Nutzung von KI umgestiegen sind.

KI Datenschutz – die Rechtsgrundlagen

Wo kollidieren die Arbeitsweise der künstlichen Intelligenz und die Rechte, die es für personenbezogene Daten gibt?

Eine Reihe von Gesetzen und Verordnungen legt fest, wie der Schutz personenbezogener Daten bei der Nutzung eines KI Systems möglich ist.

Unter anderem geben folgende Artikel und Abschnitte den gesetzlichen Rahmen vor, der die Nutzung von KI im Unternehmen regelt.

  • Gefährdung des Rechts auf informationelle Selbstbestimmung aus Art. 2 Abs. 1 GG i.V.m. Art. 1 Abs. 1 GG
  • Art. 4 der DSGVO, allgemein zur Verarbeitung personenbezogener Daten
  • Datenverarbeitung gem. Art. 5 DSGVO
  • Art. 6 Abs 1 f der DSGVO
  • Art. 83 Abs. 5 lit. a) DSGVO Verstöße gegen die Grundsätze der Datenverarbeitung

Grundsätzlich ist der Einsatz von künstlicher Intelligenz im Unternehmen aktuell nicht verboten. Wie wir gesehen haben, fallen ja bereits zahlreiche Anwendungen und Programme unter die Definition der KI Nutzung.

Allerdings bringt der wünschenswerte Einsatz von KI aus Sicht der Gesetzeshüter einige Risiken für den Datenschutz mit. Dafür gibt es umfangreiche gesetzliche Regelungen, die jeder Arbeitgeber und Unternehmer sorgfältig einhalten sollte.

Zunächst unterscheiden wir bei der Nutzung künstlicher Intelligenz zwischen Daten, die die Anwendung für ihr Training braucht, also für die Entwicklung der KI Tools, und solchen, die für die fertig entwickelte Anwendung gebraucht werden.

DSGVO und der Einsatz von KI

Komplexe Vorgaben zum gesetzeskonformen Vorgehen beim Einsatz von KI Tools gibt es beispielsweise als datenschutzrechtliche Rahmenbedingungen, die sich aus der DSGVO ergeben.

Art. 4 der DSGVO etwa legt den Rahmen fest, in dem personenbezogene Daten überhaupt genutzt werden dürfen. Da die Arbeitsweise der gängigen Tools auf der Auswertung wahrer Datenfluten beruht, muss also genau geschaut werden, mit welchen Informationen Sie das Tool füttern dürfen.

privact-img

Wird die KI als Arbeitsmittel verwendet, greift Art. 6 Abs. 1 lit. b der DSGVO, nämlich dann, wenn KI Tools für einen Vorgang im Arbeitsalltag absolut erforderlich sind.

Nicht zuletzt ist Art. 25 DSGVO zu beachten, der die Vorgaben zu technisch-organisatorischen Maßnahmen festlegt, die Verantwortliche bei der Verarbeitung personenbezogener Daten sicherstellen müssen.

Die DSGVO greift immer dann, wenn personenbezogene Daten verarbeitet werden. Im Unternehmensalltag kommt das in diversen Bereichen vor, vom Marketing über die Mitarbeiter-Kartei bis hin zu Bewerbungsverfahren: Überall sammeln Sie persönliche Daten von Kunden, Fachkräften oder anderen Beteiligten ein. Der Artikel 4 der DSGVO meint hier konkret Namen, Telefonnummern, Adressen und ähnliche Daten, die dazu geeignet sind, Personen zu identifizieren.

Zunächst ist zu prüfen, ob Daten überhaupt im Sinne der DSGVO relevant sind. Wo beispielsweise Codes, Marketingtexte oder Bilder von der KI verarbeitet werden, fallen im Regelfall keine personenbezogenen Daten an.

Personenbezogene Daten wie etwa persönliche Angaben können beispielsweise auch auf Schriftstücken stehen, die Sie hochladen, Bilder von Personen oder Datensätze aus der Kundendatei wären weitere Beispiele für personenbezogene Daten. Auch E-Mail Adressen der Mitarbeiter, die die Namen der betroffenen Personen enthalten, wie etwa max.mustermann-unternehmen-de, genießen den Schutz der DSGVO bei der Verarbeitung personenbezogener Daten.

Welche Verarbeitung von personenbezogenen Daten beim Einsatz von KI erlaubt die DSGVO?

Das Recht der Datenschutzverordnung erlaubt die Nutzung von Daten trotz des Datenschutzes in bestimmten, genau festgelegten Ausnahmefällen:

  • Wenn die Nutzung von Informationen zur Erfüllung von vertraglichen Pflichten erforderlich ist – so geregelt im Art. 6 Abs 1 lit. b) DSGVO. Diese Anforderungen sind oft erfüllt, wenn die künstliche Intelligenz als Arbeitsmittel dient.
  • Wenn Kunden oder Mitarbeiter die Einwilligung geben, dass personenbezogene Daten genutzt werden dürfen. Dafür müssen die Personen, die die Einwilligung geben, in Deutschland mindestens 16 Jahre alt sein, und sie müssen über Risiken und Verarbeitung der Datensätze ausreichend informiert werden. Einwilligungen können jederzeit zurückgezogen werden.
  • Wenn berechtigte Interessen vorliegen, was oft bei betriebswirtschaftlichen Eingaben der Fall ist. Hier muss aber gegen die Schutzinteressen betroffener Personen abgewogen werden – was nicht bei allen Diensten und Angeboten so klar geregelt ist. Wenn die Verarbeitung der Datensätze durch KI Anbieter nicht hinreichend transparent ist, kann der notwendige Nachweis der datenschutzkonformen Verarbeitung möglicherweise nicht erbracht werden.
  • Diese Liste der Anforderungen der DSGVO an den Umgang mit personenbezogenen Daten ist nicht vollständig, unter Umständen sind weitere Aspekte des Datenschutzes zu beachten.
finger-img

Die europäische KI Verordnung ist risikobasiert – das sollten Sie wissen

Auch auf europäischer Ebene hat die Entwicklung künstlicher Intelligenz Fragen aufgeworfen und dazu geführt, dass man sich Gedanken über die Sicherheit betroffener Personen bei der Nutzung eines KI Systems gemacht hat.

Die EU hat mit der sogenannten KI Verordnung, auch als KI Gesetz oder englisch AI Act bekannt, einen umfassenden Gesetzesvorschlag erarbeitet, der einen gemeinsamen Rechtsrahmen für die KI schaffen soll.

Rechte von betroffenen Personen nach der KI Verordnung

Die KI Verordnung verfolgt einen risikobasierten Ansatz und teilt jedes KI System in ein vierstufiges Modell ein, das von geringem Risiko bis hin zu inakzeptablem Risiko reicht.

Im Art. 5 der KI Verordnung ist klar festgehalten, dass KI Systeme, die als unvereinbar mit den Grundrechten der EU gelten, nicht in Verkehr gebracht, in Betrieb genommen und genutzt werden dürfen. Hier gibt es einen ganzen Katalog an Praktiken und Kompetenzen, die das KI System nicht nutzen darf:

  • Echtzeit-Gesichtserkennung im öffentlichen Raum
  • Datenbankerstellung zur Gesichtserkennung, also Anwendungen, die ungezielt Bilder von Gesichtern aus dem Netz oder aus Überwachungsvideos auslesen und daraus Datenbanken erstellen oder erweitern
  • Ein System sozialer Bewertung mittels personenbezogener Daten, also eine Bewertung anhand von persönlichen Merkmalen, etwa Rasse, Religion, Geschlecht, politischer Überzeugung
  • Verhaltensmanipulation: KI Systeme dürfen nicht das Ziel haben, menschliches Verhalten zu beeinflussen, um deren Entscheidungen zu lenken, etwa zu kommerziellen oder politischen Zwecken.

Beispiele für derart verbotene Anwendungen sind etwa die Erstellung von Fake News zwecks politischer Einflussnahme oder in einer Werbekampagne. Übrigens verbietet die KI Verordnung auch die Entwicklung solcher Systeme, nicht nur ihre Nutzung.

Besondere Sensibilität ist im Umgang mit sogenannter Hochrisiko KI gefordert, der dritten Risikostufe im KI Recht. Das sind beispielsweise KI Systeme, deren Einsatz unter Umständen ein bedeutendes Risiko für Sicherheit, Gesundheit oder die Wahrung der Grundrechte darstellen könnte. Ein Anwendungsbeispiel für potenziell gefährliche, aber dennoch unter bestimmten Bedingungen genutzte Tools ist etwa die Künstliche Intelligenz, die für autonomes Fahren genutzt wird. Unter Umständen kann eine solche Anwendung, sofern sie fehlerhaft ist, beträchtliche Gefahren entstehen lassen. Generell umfasst dieser Bereich KI Systeme, die etwa bei kritischen Infrastrukturen eingesetzt werden, in der Strafverfolgung oder in der Verwaltung der Justiz. Auch eine KI, die theoretisch Einfluss auf den Zugang zur Bildung oder den Berufsweg betroffener Personen hat, fällt in diesen sensiblen Bereich.

Die Regeln und Anforderungen für Hochrisiko KI sind streng:

  • sie müssen angemessene Systeme zur Risikobewertung und -minderung haben,
  • die Daten fürs System müssen von hoher Qualität sein, um Risiken zu mindern,
  • alle Tätigkeiten zur Gewährleistung der Rückverfolgbarkeit von Ergebnissen müssen protokolliert werden,
  • für die Behörden müssen ausführliche Unterlagen erstellt werden, die alle Informationen über das System selbst und seinen Zweck enthalten,
  • sie müssen robust, sicher und genau entwickelt werden.
  • u.a.
human-ai

Erst, wenn alle Anforderungen erfüllt sind, kann eine als Hochrisiko KI eingestufte Anwendung in den Verkehr gebracht werden.

Zur Kategorie „Begrenztes Risiko“ zählen etwa Chatbots, bei denen sichergestellt werden muss, dass den betroffenen Personen klar ist, dass sie mit einer KI kommunizieren. Hier kommt es auf die nötige Transparenz an.

Ein minimales oder gar kein Risiko geht gemäß KI Verordnung von Anwendungen in Spamfiltern oder auch Videospielen aus. In diese Stufe fallen derzeit die meisten KI Systeme, die innerhalb der EU genutzt werden.

Übrigens sind die Folgen für Verstöße gegen das Recht, das die KI Verordnung festlegt, gravierender als die der DSGVO: Enorme Geldbußen bis zu 7 % des gesamten weltweiten Jahresumsatzes oder 40 Millionen Euro drohen künftig einem Unternehmen, das gegen das Verbot der Praktiken von Art. 5 verstößt.

Die Datenschutz-Folgenabschätzung

Bevor Sie KI Systeme in den Arbeitsalltag Ihres Unternehmens integrieren, sollten Sie möglichst genau wissen, was diese KI Tools tun. Das ist nicht nur sinnvoll, sondern auch gesetzlich vorgeschrieben: In der EU-Datenschutz-Grundverordnung regelt das der Art. 35. Hier ist die Verantwortlichkeit festgehalten, eine Abschätzung der Folgen vorzunehmen, bevor die Verarbeitung von Daten beginnt. Bedeutet: Unternehmer sind in der Pflicht, vor der Anwendung von Systemen abzuschätzen und auch zu dokumentieren, welche Konsequenzen sich aus der Verarbeitung personenbezogener Daten ergeben.

Der Art. 35 der DSGVO trat 2018 mit der gesamten EU-Datenschutz-Grundverordnung in Kraft. Darin wird die Datenschutz-Folgenabschätzung geregelt, die dazu dient, das Risiko von bestimmten Prozessen abzuschätzen. Wo personenbezogene Daten verarbeitet werden, muss eine ausführliche Beschreibung und Bewertung der Risiken erstellt werden, die sich für den Datenschutz ergeben (könnten). Ein Verantwortlicher für das Datenschutzrecht muss, auch das regelt der Artikel, in jedem Fall zu Rate gezogen werden.

Konkret wird bei einer DSFA das Risiko für die persönlichen Rechte und Freiheiten von betroffenen Personen geprüft. Die Ergebnisse müssen in einer Stellungnahme dokumentiert werden – das macht der betriebseigene oder auch der vom Arbeitgeber hinzugezogene Datenschutzbeauftragte.

Die Bewertung ist anschließend die Grundlage für mögliche Maßnahmen, ein eventuell vorhandenes Risiko von KI Systemen einzudämmen, indem beispielsweise das Datenschutz-Konzept entsprechend angepasst wird.

Der konkrete Absatz in der DSGVO, der sich auf den Einsatz von KI Systemen bezieht, besagt, dass eine Datenschutz-Folgenabschätzung gemacht werden muss, wenn:

„... eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge [hat]“.

Nachfolgend werden Beispiele genannt, für die die Durchführungspflicht gilt. Darunter fallen etwa:

  • die umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Art. 9 Absatz 1 DSGVO
  • Daten gemäß Art. 10 DSGVO, die sich um strafrechtliche Verurteilungen und Straftaten drehen
  • die systematische Überwachung von öffentlich zugänglichen Räumen, z.B. in Ihrem Empfangs- oder Bürobereich.
  • Von den Aufsichtsbehörden gibt es inzwischen Positivlisten mit weiteren Beispielen, die Orientierung bieten, für welche Verarbeitung eine solche Bewertung vorgenommen werden muss. Positivlisten gibt es etwa von den Datenschutzbeauftragten der Bundesländer oder vom Bundesdatenschutzbeauftragten
firewall-ai

Das Transparenzgebot für die Datenverarbeitung durch KI und Grundsatz der Datenminimierung

Die DSGVO schreibt in ihrem fünften Artikel vor, dass personenbezogene Daten mit Hilfe eines KI Systems nur so verarbeitet werden dürfen, dass die betroffenen Personen dies nachvollziehen können. Unternehmen müssen hier die Transparenz-Pflichten erfüllen.

Informationen, wie und wo Daten verarbeitet werden, müssen verständlich und zugänglich gemacht werden. Hier gilt die Rechenschaftspflicht des Verantwortlichen, er muss die Einhaltung der Transparenz- und Informationspflichten bei der Verarbeitung von Daten auch nachweisen.

Außerdem sind gemäß Art. 24 f und 32 der DSGVO geeignete technisch-organisatorische Maßnahmen zu ergreifen, damit die Verarbeitung von Daten mittels KI Systemen gesetzeskonform erfolgt.

DASGVO

Checkliste für die Nutzung von KI in Ihrem Unternehmen

  • Einsatz personenbezogener Daten nur dort, wo es sich nicht vermeiden lässt
  • genau prüfen, ob der Einsatz der KI Systeme wirklich notwendig ist
  • sorgfältige Einhaltung der Rechtsgrundlagen bzw. Compliance sicherstellen, etwa durch Datenschutzbeauftragte, auch durch Training von Mitarbeitern und weitere Fortbildungsmaßnahmen zum Thema Umgang mit der künstlichen Intelligenz
  • mit Anbietern von LLMs, etwa ChatGpt, Auftragsverarbeitungsvertrag abschliessen
  • Datenschutzfolgenabschätzung erstellen
  • alle Daten, die künstlicher Intelligenz zur Verfügung gestellt werden, protokollieren
  • unternehmensinterne Daten anonymisieren
  • Regeln zur Nutzung im Arbeitsvertrag oder der Verpflichtungserklärung der Mitarbeiter aufnehmen
  • Datenschutzrichtlinien von KI Systemen prüfen, um zu wissen, wofür Daten verwendet werden
  • Transparenzgebot und den Informationspflichten gemäß Art. 13 und 14 DSGVO nachkommen
  • Prozesse definieren, mit denen Personen ihre Betroffenenrechte wahren bzw. durchsetzen können

Fazit

Auch, wenn die Anwendung von künstlicher Intelligenz als Tool im Arbeitsleben nicht mehr ganz neu ist, gibt es dennoch in der Fülle der gesetzlichen Regelungen immer noch ungeklärte Bereiche. Als Verantwortlicher für Datenschutz ist die Verantwortung entsprechend hoch, und die Intransparenz von Anbietern der KI Systeme trägt nicht immer hilfreich zu dem Problem bei. Aus Sicht von Unternehmen bringt die Entwicklung allerdings auch überzeugende Vorteile mit.

Wenn Unternehmen ein KI System nutzen, sollte immer auf Transparenz sowie auf Dokumentation geachtet werden. Vor allem aber darauf, dass die Verarbeitung personenbezogener Daten nur dann erfolgt, wenn sie gar nicht zu vermeiden ist. Und auch hier sind Transparenz und sorgfältige Dokumentation aller Vorgänge erste Pflicht, weil Sie im Fall eines Falles als Unternehmen beweisen müssen, dass Sie die Künstliche Intelligenz innerhalb der rechtlichen Vorgaben genutzt haben.

Wenn Sie mehr Informationen zum Thema künstliche Intelligenz und Datenschutz brauchen oder das ganze Thema auslagern möchten: Schenken Sie uns Ihr Vertrauen Wir finden in aller Regel Antworten auf Ihre Fragen und übernehmen auch gern die Position als externer Datenschutzbeauftragter für Ihren Betrieb.