Datenschutzkonforme Nutzung von KI in Unternehmen

Unternehmen stehen vor der Herausforderung, künstliche Intelligenz (KI) datenschutzkonform zu nutzen. Insbesondere die EU-Datenschutz-Grundverordnung (DSGVO) und die Orientierungshilfe der Datenschutzkonferenz (DSK) stellen strenge Anforderungen an die Nutzung von KI, insbesondere von Large Language Models (LLMs) wie ChatGPT. Dieser Rechtstipp beleuchtet die wichtigsten datenschutzrechtlichen Probleme und gibt Handlungsempfehlungen zur Umsetzung einer datenschutzkonformen KI-Nutzung.

Grundsätze und Herausforderungen

1. Rechtmäßigkeit der Datenverarbeitung: Jede Datenverarbeitung durch KI muss eine rechtliche Grundlage haben (Art. 6 DSGVO). Unternehmen müssen sicherstellen, dass die Verarbeitung der Daten notwendig und im Rahmen der angegebenen Zwecke erfolgt.
2. Datensparsamkeit und Zweckbindung: Unternehmen sollen nur die unbedingt notwendigen personenbezogenen Daten verarbeiten und klar definieren, für welche Zwecke die Daten verwendet werden (Art. 5 DSGVO). Dies erfordert eine gründliche Analyse und Dokumentation vor dem Einsatz der KI.
3. Vermeidung der Verarbeitung personenbezogener Daten: Wenn möglich, sollte die Verarbeitung personenbezogener Daten vermieden werden. Stattdessen sollten anonymisierte oder pseudonymisierte Daten verwendet werden, um die Privatsphäre der betroffenen Personen zu schützen.

Vor dem Einsatz von KI

1. Datenschutz-Folgenabschätzung (DSFA): Bei der Implementierung von KI-Systemen, die ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen darstellen, ist eine DSFA erforderlich (Art. 35 DSGVO). Diese muss potenzielle Risiken analysieren und Maßnahmen zur Risikominderung festlegen.
2. Transparenz und Information: Unternehmen müssen betroffene Personen klar und verständlich über die Verarbeitung ihrer Daten durch KI informieren (Art. 12-14 DSGVO). Dies beinhaltet die Zwecke der Verarbeitung, die Rechtsgrundlage, die Speicherdauer und die Rechte der betroffenen Personen.
3. Verantwortlichkeiten und Rollen: Es muss klar definiert sein, wer für die Einhaltung der Datenschutzvorgaben verantwortlich ist. Dies betrifft sowohl interne Rollen als auch externe Dienstleister, die in die Datenverarbeitung involviert sind.
4. Dokumentation: Um den rechtskonformen Einsatz einer KI gegenüber der Aufsichtsbehörde rechtfertigen zu können, sollte im Unternehmen eine KI-Richtlinie implementiert werden, in welcher der zulässige und unzulässige Umgang mit einer KI geregelt ist.
5. Auftragsverarbeitungsvertrag: Darüber hinaus empfiehlt es sich regelmäßig mit dem KI-Dienstleister einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO abzuschließen.

Bei der Implementierung von KI

1. Technische und organisatorische Maßnahmen (TOMs): Es müssen geeignete technische und organisatorische Maßnahmen ergriffen werden, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten (Art. 32 DSGVO). Dies umfasst sowohl Maßnahmen zur Datensicherheit als auch zur Sicherstellung der Datenintegrität und Vertraulichkeit.
2. Privacy by Design und by Default: KI-Systeme müssen von Anfang an so gestaltet sein, dass der Datenschutz gewährleistet ist (Art. 25 DSGVO). Dies bedeutet, dass Datenschutzprinzipien bereits in der Entwicklungsphase integriert werden müssen.
3. Schulung der Mitarbeiter: Mitarbeiter, die mit der KI arbeiten, müssen entsprechend geschult werden, um datenschutzrechtliche Vorgaben zu verstehen und umzusetzen. Dies hilft, Fehler zu vermeiden und die Datenschutzkonformität sicherzustellen.

Bei der Nutzung von KI

1. Eingabe und Ausgabe personenbezogener Daten: Es muss sichergestellt werden, dass nur notwendige personenbezogene Daten in die KI eingegeben und verarbeitet werden. Die Ausgabe der Daten muss ebenfalls datenschutzkonform erfolgen, und es sollten keine sensiblen Informationen unkontrolliert preisgegeben werden.
2. Gewährleistung der Richtigkeit der Daten: Unternehmen müssen Mechanismen implementieren, um die Richtigkeit der durch die KI verarbeiteten Daten sicherzustellen. Dies schließt regelmäßige Überprüfungen und Korrekturen fehlerhafter Daten ein.
3. Diskriminierungsfreiheit: Die Ergebnisse der KI-Nutzung dürfen keine diskriminierenden Auswirkungen haben. Dies erfordert eine regelmäßige Überprüfung der Algorithmen und Ergebnisse auf mögliche Diskriminierungspotenziale.

Behördliche Ansichten und Vorgaben

Die Datenschutzkonferenz (DSK) betont, dass der Einsatz von KI-Anwendungen unter strikter Beachtung der Datenschutzvorgaben erfolgen muss. In ihrer Orientierungshilfe vom Mai 2024 stellt die DSK klar, dass insbesondere bei Cloud-basierten KI-Lösungen besondere Vorsicht geboten ist, da hier Daten das Unternehmen verlassen. Die DSK fordert umfassende Maßnahmen zur Sicherstellung der Datenschutzkonformität, darunter:

1. Durchführung von Datenschutz-Folgenabschätzungen bei hohen Risiken.
2. Transparente Information der betroffenen Personen.
3. Strenge Kontrolle und Minimierung der Verarbeitung personenbezogener Daten.
4. Implementierung technischer und organisatorischer Maßnahmen zur Datensicherheit.

Fazit

Die datenschutzkonforme Nutzung von KI in Unternehmen erfordert eine sorgfältige Planung, Implementierung und kontinuierliche Überwachung. Unternehmen müssen sicherstellen, dass alle datenschutzrechtlichen Vorgaben der DSGVO eingehalten werden. Dies umfasst die Rechtmäßigkeit der Datenverarbeitung, Datensparsamkeit, Transparenz, technische und organisatorische Maßnahmen sowie die Schulung der Mitarbeiter. Die Orientierungshilfe der Datenschutzkonferenz bietet wertvolle Hinweise, die bei der Umsetzung berücksichtigt werden sollten.