Künstliche Intelligenz (KI) und DSGVO – Datenschutz beachten

Vorausgefüllte Vorlagen vom Datenschutz-Auditor (TÜV-geprüft)

In einer Welt, in der Künstliche Intelligenz (KI) zunehmend Einzug in den Unternehmensalltag hält, stehen Organisationen vor der Herausforderung, innovative Technologien zu nutzen und gleichzeitig den Datenschutz zu wahren. Dieser Artikel bietet einen umfassenden Überblick über die Schnittstelle von KI und Datenschutz, speziell zugeschnitten auf die Bedürfnisse von Unternehmen, die KI-Anwendungen einsetzen oder einsetzen möchten.

Der Fokus liegt in diesem Artikel klar auf der Anwendung von künstlicher Intelligenz im Unternehmen, es geht weniger um das Training von Modellen oder anderen komplizierteren Verfahren.

In den folgenden Abschnitten werden wir uns eingehend mit den datenschutzrechtlichen Implikationen von KI-Anwendungen befassen und praktische Hinweise für einen rechtskonformen Einsatz geben.

Inhalte

Was ist Künstliche Intelligenz und wie greift der Datenschutz?

Künstliche Intelligenz (KI) ist ein Thema, das zur Zeit kaum zu übersehen ist. Doch was verstehen wir genau darunter? KI bezieht sich auf technische Systeme, die in der Lage sind, Probleme eigenständig zu bearbeiten, sich auf veränderte Bedingungen einzustellen und aus neuen Daten zu lernen. Im Kern geht es darum, menschliches Lern- und Denkverhalten auf Computer zu übertragen.

DSGVO und künstliche Intelligenz (KI) sind durchaus vereinbar.

Dabei unterscheiden wir zwischen „schwacher“ und „starker“ KI. Schwache KI, die derzeit am weitesten verbreitet ist, konzentriert sich auf spezifische Anwendungsprobleme. Ein Beispiel sind Chatbots oder Klassifizierung mittels Algorithmen. Starke KI hingegen, die bisher eher theoretischer Natur ist, würde eine menschenähnliche allgemeine Intelligenz und Lernfähigkeit aufweisen.

Die Bedeutung von KI für Unternehmen

KI-Anwendungen gewinnen in der Geschäftswelt zunehmend an Bedeutung. Sie bieten Unternehmen die Möglichkeit, Prozesse zu optimieren, Entscheidungen datenbasiert zu treffen und innovative Produkte und Dienstleistungen zu entwickeln. Von der Automatisierung repetitiver Aufgaben bis hin zur Vorhersage von Kundenverhalten.

Beispiele für den Einsatz von KI in Unternehmen sind:

  • Chatbots im Kundenservice
  • Chatbots zur Erstellung von Texten
  • Automatisierte Bewerberauswahl in der Personalabteilung
  • Predictive Maintenance in der Industrie (Industrie 4.0)
  • Personalisierte Produktempfehlungen im E-Commerce

Fokus auf KI-Anwendungen

In diesem Artikel konzentrieren wir uns bewusst auf die Anwendung von KI und nicht auf deren Entwicklung oder Training.

Für die meisten Unternehmen ist die Nutzung bereits entwickelter KI-Lösungen relevant, nicht deren Erstellung. Sie setzen KI-Tools ein, um ihre Geschäftsprozesse zu verbessern, ohne selbst KI-Systeme von Grund auf zu entwickeln.

Diese Fokussierung ermöglicht es uns, die datenschutzrechtlichen Aspekte zu betrachten, die für Unternehmen bei der Implementierung und Nutzung von KI-Anwendungen am wichtigsten sind.

Grundlagen des Datenschutzes bei KI-Anwendungen

Dieser Abschnitt beleuchtet die Anwendbarkeit der Datenschutz-Grundverordnung (DSGVO) auf KI-Systeme und erklärt, wie personenbezogene Daten in diesen Kontext einzuordnen sind.

Wann gilt die DSGVO für KI-Systeme?

Die DSGVO findet Anwendung, sobald personenbezogene Daten verarbeitet werden. Bei KI-Systemen ist dies häufig, aber nicht immer der Fall. Entscheidend ist, ob die verarbeiteten Daten einen Personenbezug aufweisen.

Beispiele für die Anwendbarkeit der DSGVO auf KI-Systeme

Immer dann, wenn personenbezogene Daten auch wirklich verarbeitet werden, ist auch die DSGVO anwendbar. Dies kann mittelbar oder unmittelbar erfolgen, z.B. durch Eingaben des Nutzers.

  • KI-Systeme, die Kundendaten analysieren
  • Chatbots, die Nutzereingaben verarbeiten
  • Gesichtserkennungssysteme in der Sicherheitstechnik

Keine Anwendbarkeit der DSGVO bei der Nutzung von KI

Sollten keine personenbezogenen Daten verarbeitet werden, z.B. bei der Generierung von KI Inhalten, ist auch die DSGVO nicht anwendbar. Ein enfacher Prompt wie „Generiere mir ein Bild von einem Hund mit einem Sombrero“ fällt nicht unter die DSGVO.

  • KI-Systeme, die ausschließlich mit anonymisierten Daten arbeiten
  • Generative KI, die zufällige Bilder ohne Personenbezug erstellt
  • KI-basierte Wettervorhersagen ohne Verarbeitung personenbezogener Daten
Anonyme Person, damit nicht DSGVO relevant.

Es ist wichtig zu beachten, dass auch scheinbar anonyme Daten unter bestimmten Umständen zu personenbezogenen Daten werden können, wenn sie mit anderen Informationen verknüpft werden.

Personenbezogene Daten im KI-Kontext

Im Sinne der DSGVO sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Im Kontext von KI-Anwendungen kann dies eine breite Palette von Daten umfassen:

  • Namen und Kontaktdaten
  • Verhaltens- und Präferenzdaten
  • Standortdaten
  • Biometrische Daten (z.B. Gesichtserkennung)
  • Nutzungshistorie und Interaktionsdaten mit KI-Systemen

Besonders sensibel sind die sogenannten „besonderen Kategorien personenbezogener Daten“ nach Art. 9 DSGVO, wie beispielsweise Gesundheitsdaten oder Daten zur ethnischen Herkunft.

Wie gelangen personenbezogene Daten in KI-Systeme?

Der Hauptweg, über den personenbezogene Daten in KI-Systeme gelangen, sind Eingaben der Nutzer. Dies kann auf verschiedene Weise geschehen:

  • Direkte Nutzereingaben: Texteingaben in Chatbots oder Suchfelder
  • Bild- und Videouploads: Etwa bei Gesichtserkennungssystemen oder KI-gestützten Bildanalysediensten
  • Sprachbefehle: Bei virtuellen Assistenten oder Spracherkennungssystemen
  • Indirekte Datenerfassung: Durch Tracking von Nutzerverhalten oder Standortdaten

Es ist wichtig zu beachten, dass viele KI-Anbieter die eingegebenen Daten auch zu Trainingszwecken nutzen könnten. Dies bedeutet, dass Nutzereingaben möglicherweise nicht nur für den unmittelbaren Zweck verwendet werden, sondern auch zur Verbesserung des KI-Systems dienen können.

Personenbezogene Daten und künstliche Intelligenz – ein Spannungsfeld

Bei der Implementierung von KI-Systemen in Unternehmen ist es entscheidend, von Anfang an den Datenschutz zu denken. Die Frage, ob und welche personenbezogenen Daten verarbeitet werden, bestimmt maßgeblich die rechtlichen Anforderungen und notwendigen Schutzmaßnahmen.

Arten von KI-Anwendungen und datenschutzrechtliche Implikationen

KI-Tools sind vielfältig und finden in verschiedenen Bereichen Einsatz. Jede Art der Anwendung bringt eigene datenschutzrechtliche Herausforderungen mit sich. Hier sind einige ausgewählte Beispiele.

Chatbots und virtuelle Assistenten

Chatbots und virtuelle Assistenten sind oft die erste Begegnung von Kunden mit KI. Sie verarbeiten Nutzereingaben in Echtzeit und können personenbezogene Daten wie Namen, Kontaktinformationen oder spezifische Anfragen erfassen.

Hier hängt der Grad der Anwendbarkeit von Datenschutzgesetzen maßgeblich von der Nutzung ab. Werden keine personenbezogenen Daten eingegeben, so ist auch die DSGVO nicht anwendbar.

Beispiele für Chatbots:

  • ChatGPT von OpenAI
  • Claude von Anthropic
  • PhariaAI von AlephAlpha

Datenschutzrechtliche Implikationen:

  • Speicherung und Verarbeitung von Konversationsdaten
  • Mögliche Weitergabe von Daten an Dritte (z.B. KI-Anbieter)
  • Notwendigkeit klarer Nutzerinformationen über den Einsatz von KI

Automatisierte Entscheidungsfindung

KI-Systeme, die automatisierte Entscheidungen treffen, z.B. in der Kreditvergabe oder bei Versicherungsanträgen, fallen unter besondere Regelungen der DSGVO.

Hier ist vor allem Art. 22 DSGVO entscheidend, denn der Betroffene hat bei dem sog. Profiling besondere Rechte und wird besonders geschützt.

Datenschutzrechtliche Implikationen:

  • Recht auf menschliche Überprüfung (Art. 22 DSGVO)
  • Erklärbarkeit der Entscheidungen
  • Risiko der Diskriminierung durch verzerrte Datengrundlagen

Bild- und Spracherkennung durch KI oder Algorithmen

Diese Technologien verarbeiten oft biometrische Daten, die als besonders sensibel gelten. Hierzu zählt z.B. Videoüberwachung mit Bewegungserkennung.

Datenschutzrechtliche Implikationen:

  • Strenge Anforderungen an die Verarbeitung besonderer Datenkategorien
  • Notwendigkeit einer expliziten Einwilligung in vielen Fällen
  • Risiken bei der Speicherung und Sicherung biometrischer Daten

Predictive Analytics – Industrie 4.0

In der Industrie 4.0 wird Predictive Analytics hauptsächlich zur Überwachung und Optimierung von Maschinen und Produktionsprozessen eingesetzt. Primär werden hier keine personenbezogenen Daten verarbeitet, dennoch können sich datenschutzrechtliche Aspekte ergeben.

Datenschutzrechtliche Implikationen:

  • Indirekte Erfassung von Mitarbeiterdaten durch Maschinenüberwachung (z.B. Produktivitätsanalysen)
  • Mögliche Rückschlüsse auf individuelles Arbeitsverhalten
  • Datenschutzrechtliche Bedenken bei der Verknüpfung von Maschinen- und Personaldaten

Es ist wichtig zu betonen, dass bei Predictive Analytics in der Industrie 4.0 der Fokus auf der Optimierung von Prozessen und nicht auf der Überwachung von Personen liegt. Dennoch sollten Unternehmen wachsam sein und sicherstellen, dass keine unbeabsichtigte Verarbeitung personenbezogener Daten stattfindet.

Datenschutzrechtliche Verantwortlichkeit bei KI-Anwendungen

Bei der Implementierung von KI-Anwendungen ist es entscheidend, die datenschutzrechtliche Verantwortlichkeit klar zu definieren. Dies hilft nicht nur bei der Einhaltung gesetzlicher Vorgaben, sondern auch bei der effektiven Handhabung möglicher Datenschutzprobleme. Unternehmen sollten ihre Rolle sorgfältig prüfen und die notwendigen Vereinbarungen treffen.

Verantwortlichkeit des Anwenders

In den meisten Fällen trägt das Unternehmen, das die KI-Anwendung einsetzt, die primäre Verantwortung für die Einhaltung des Datenschutzes.

Pflichten des Anwenders:

Empfehlung: Führen Sie eine gründliche Risikoanalyse durch und schätzen Sie die Folgen realistisch ein, bevor Sie eine KI-Anwendung implementieren.

Gemeinsame Verantwortlichkeit mit KI-Anbietern

In einigen Fällen kann eine gemeinsame Verantwortlichkeit zwischen dem Anwender und dem KI-Anbieter bestehen, insbesondere wenn der Anbieter Einfluss auf die Zwecke und Mittel der Datenverarbeitung hat.

Merkmale gemeinsamer Verantwortlichkeit:

  • Beide Parteien legen Zwecke und Mittel der Verarbeitung fest
  • Die Verarbeitung wäre ohne Beteiligung beider Parteien nicht möglich

Erforderliche Maßnahmen:

Empfehlung: Prüfen Sie sorgfältig, ob eine gemeinsame Verantwortlichkeit vorliegt und dokumentieren Sie die getroffenen Vereinbarungen.

Auftragsverarbeitung bei Cloud-basierten KI-Diensten

Viele KI-Anwendungen werden als Cloud-Dienste angeboten. In diesem Fall liegt häufig eine Auftragsverarbeitung vor.

Merkmale der Auftragsverarbeitung:

  • Der KI-Anbieter verarbeitet Daten ausschließlich im Auftrag und nach Weisung des Anwenders
  • Der Anwender bleibt „Herr der Daten“ und trägt die Gesamtverantwortung

Erforderliche Maßnahmen:

  • Abschluss eines Auftragsverarbeitungsvertrags (AVV) gemäß Art. 28 DSGVO
  • Sorgfältige Auswahl und Kontrolle des Auftragsverarbeiters
Tipp aus der Praxis

US-Dienste meiden. Aufgrund der aktuellen Rechtslage ist die Nutzung von US-basierten Diensten datenschutzrechtlich problematisch. Es besteht das Risiko, dass US-Behörden auf die Daten zugreifen können, ohne dass ein dem EU-Niveau entsprechender Schutz gewährleistet ist.

Empfehlungen:

  • Prüfen Sie sorgfältig die Standorte der Rechenzentren Ihrer KI-Anbieter
  • Ziehen Sie europäische Alternativen zu US-Diensten in Betracht
  • Falls die Nutzung von US-Diensten unvermeidbar ist, implementieren Sie zusätzliche Schutzmaßnahmen wie starke Verschlüsselung oder Input-Bereinigung

Rechtsgrundlagen für den Einsatz von KI-Anwendungen

Die Implementierung von KI-Anwendungen erfordert eine sorgfältige Betrachtung der rechtlichen Grundlagen für die Datenverarbeitung. Die DSGVO bietet verschiedene Möglichkeiten, die Verarbeitung personenbezogener Daten zu legitimieren. Hier betrachten wir die wichtigsten Rechtsgrundlagen und zusätzliche Maßnahmen zur rechtskonformen Gestaltung von KI-Anwendungen.

Einwilligung in Nutzung von künstlicher Intelligenz (Art. 6 Abs. 1 lit. a DSGVO)

Die Einwilligung ist eine häufig genutzte Rechtsgrundlage, insbesondere wenn es um neuartige oder unerwartete Datenverarbeitungen geht.

Voraussetzungen für eine wirksame Einwilligung:

  • Freiwilligkeit
  • Spezifität (für den konkreten Verarbeitungszweck)
  • Informiertheit
  • Unmissverständlichkeit
Tipp aus der Praxis

Gestalten Sie Ihre Einwilligungserklärungen transparent und leicht verständlich. Bieten Sie einfache Möglichkeiten zum Widerruf der Einwilligung an. Prüfen Sie, ob ggf. eine andere Rechtsgrundlage besser angewendet werden kann.

Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)

Diese Rechtsgrundlage ist relevant, wenn die Datenverarbeitung zur Erfüllung eines Vertrags mit der betroffenen Person erforderlich ist. Dies gilt auch für die Anbahnung von Verträgen.

Anwendungsbeispiele:

  • KI-gestützte Bearbeitung von Kundenaufträgen
  • Personalisierte Produktempfehlungen als Teil des Kaufvertrags

Prüfen Sie sorgfältig, ob die Datenverarbeitung durch Ihre KI-Anwendung wirklich für die Vertragserfüllung erforderlich ist.

Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO)

Diese Rechtsgrundlage erfordert eine Abwägung zwischen den berechtigten Interessen des Verantwortlichen und den Interessen, Grundrechten und Grundfreiheiten der betroffenen Person.

Mögliche berechtigte Interessen:

  • Verbesserung von Produkten und Dienstleistungen
  • Betrugsprävention
  • Netzwerk- und Informationssicherheit
Tipp aus der Praxis

Dokumentieren Sie Ihre Interessenabwägung sorgfältig und stellen Sie sicher, dass Sie die Verarbeitung auf das notwendige Maß beschränken.

Anonymisierung und Einsatz von Proxies

Um die datenschutzrechtlichen Risiken zu minimieren, können zusätzliche technische Maßnahmen ergriffen werden. Mit diesen wäre es möglich, Anwendungen mit künstlicher Intelligenz auch ohne Rechtsgrundlage zu nutzen.

Anonymisierung:

  • Entfernung aller personenbezogenen Merkmale aus den Daten
  • Sicherstellung, dass keine Re-Identifizierung möglich ist

Einsatz von Proxies zur Filterung personenbezogener Daten:

  • Implementierung von Zwischensystemen, die die personenbezogenen Daten herausfiltern, bevor sie an die KI-Anwendung weitergeleitet werden
  • Nutzung von Privacy-Enhancing Technologies (PETs)

Investieren Sie in robuste Anonymisierungstechniken und prüfen Sie regelmäßig, ob die Anonymisierung angesichts neuer technologischer Entwicklungen noch ausreichend ist.

Fazit – die rechtskonforme Gestaltung von KI Tools

Die rechtskonforme Gestaltung von KI-Anwendungen erfordert eine sorgfältige Auswahl der passenden Rechtsgrundlage sowie die Implementierung geeigneter technischer und organisatorischer Maßnahmen. Durch die Kombination verschiedener Ansätze – von der Einholung informierter Einwilligungen bis hin zur Anonymisierung von Daten – können Unternehmen KI-Technologien nutzen und gleichzeitig die Datenschutzrechte der betroffenen Personen wahren.

Denken Sie daran, dass die Wahl der Rechtsgrundlage und die Implementierung von Schutzmaßnahmen keine einmaligen Aufgaben sind, sondern einer kontinuierlichen Überprüfung und Anpassung bedürfen, um mit der rasanten Entwicklung im Bereich der KI Schritt zu halten.

Spezifische Herausforderungen beim Einsatz von KI-Anwendungen

Einige Hürden sind schwieriger zu bewältigen als andere. In folgendem Abschnitt werden einige wichtige aufgeführt.

Transparenz und Erklärbarkeit von KI-Entscheidungen

Eine der größten Herausforderungen bei KI-Systemen ist ihre oft mangelnde Transparenz, insbesondere bei komplexen Modellen wie neuronalen Netzen.

Durch die schiere Größe der Modelle ist es beinahe unmöglich genau zu erklären, wie bestimmte Entscheidungen entstanden sind.

Herausforderungen:

  • „Black Box“-Problematik: Entscheidungsprozesse sind oft nicht nachvollziehbar
  • Erfüllung der Informationspflichten gemäß Art. 13-15 DSGVO

Lösungsansätze:

  • Einsatz von erklärbarer KI (Explainable AI, XAI)
  • Bereitstellung verständlicher Informationen über die Funktionsweise der KI
  • Implementierung von Mechanismen zur Nachvollziehbarkeit von Entscheidungen

Datenschutz-Folgenabschätzung für KI-Systeme

Für viele KI-Anwendungen ist eine Datenschutz-Folgenabschätzung (DSFA) gemäß Art. 35 DSGVO erforderlich.

Eine Datenschutz-Folgenabschätzung ist eine systematische Untersuchung, die in manchen Fällen vor der Durchführung bestimmter Datenverarbeitungsaktivitäten gesetzlich vorgeschrieben ist. Sie ermöglicht es dem Verantwortlichen, potenzielle Risiken im Vorfeld zu erkennen und zu bewerten, bevor die geplante Datenverarbeitung tatsächlich stattfindet.

Besonderheiten bei KI:

  • Bewertung der spezifischen Risiken von KI-Systemen
  • Berücksichtigung möglicher Bias und Diskriminierungsrisiken

Empfehlungen:

  • Frühzeitige Durchführung der DSFA, idealerweise schon in der Planungsphase
  • Regelmäßige Überprüfung und Aktualisierung der DSFA

Gewährleistung der Datensicherheit bei KI-Anwendungen

KI-Systeme können besondere Sicherheitsrisiken mit sich bringen, etwa durch ihre Komplexität oder die Verarbeitung großer Datenmengen.

Spezifische Risiken:

  • Angriffe auf KI-Modelle (z.B. Adversarial Attacks)
  • Datenlecks durch umfangreiche Datensammlungen

Maßnahmen:

  • Implementierung robuster Sicherheitsmaßnahmen (Verschlüsselung, Zugriffskontrollen etc.)
  • Regelmäßige Sicherheitsaudits und Penetrationstests

Umsetzung von Datenminimierung und Zweckbindung

KI-Systeme neigen dazu, große Datenmengen zu verarbeiten, was im Konflikt mit den Prinzipien der Datenminimierung und Zweckbindung stehen kann. Insbesondere bei der Nutzung im Zusammenhang mit der Analyse von Nutzerverhalten kann es zu Problemen kommen.

Herausforderungen:

  • Bestimmung der tatsächlich notwendigen Datenmenge für KI-Anwendungen
  • Einhaltung der Zweckbindung bei selbstlernenden Systemen

Lösungsansätze:

  • Implementierung von Privacy-by-Design-Prinzipien
  • Anonymisierung oder Pseudonymisierung
  • Regelmäßige Überprüfung und Bereinigung der Datensätze
  • Klare Definition und Dokumentation der Verarbeitungszwecke

Umsetzung von Lösch- und Auskunftsersuchen

Die Umsetzung von Betroffenenrechten kann bei KI-Systemen besonders komplex sein. Oft ist nicht klar, wo genau die eingegebenen Daten gespeichert werden oder ob sie z.B. für Trainingszwecke genutzt werden.

Herausforderungen:

  • Identifizierung und Löschung spezifischer Datenpunkte in komplexen KI-Modellen
  • Bereitstellung verständlicher Auskünfte über die Verarbeitung

Empfehlungen:

  • Entwicklung spezifischer Prozesse für Lösch- und Auskunftsersuchen bei KI-Anwendungen
  • Implementierung technischer Lösungen zur Rückverfolgbarkeit von Daten im KI-System
  • Speicherbegrenzung und Bereinigen von Inputs

Erfüllung von Dokumentations- und Rechenschaftspflichten

Auch für KI-Anwendungen mit Personenzug müssen Einträge im Verzeichnis von Verarbeitungstätigkeiten erfolgen. Es muss auch Rechenschaft darüber abgelegt werden, dass die verantwortliche Stelle mit den personenbezogenen Daten verantwortungsvoll umgeht.

Die ist besonders dann schwierig, wenn sich die Technologie schnell ändert, wie es bei KI häufig der Fall ist.

Herausforderungen:

  • Ein aktuelles Verzeichnis von Verarbeitungstätigkeiten vorhalten
  • Modernste Technologien richtig aufbereiten
  • Empfehlungen:
  • Aktualisieren des Verzeichnisses von Verarbeitungstätigkeiten
  • Prüfung der internen Organisation
  • Analyse der Nutzung von KI Tools im Unternehmen

Durch die sorgfältige Berücksichtigung dieser spezifischen Herausforderungen können Unternehmen KI-Anwendungen datenschutzkonform und verantwortungsvoll einsetzen. Es ist wichtig, diese Aspekte von Anfang an in die Planung und Implementierung von KI-Systemen einzubeziehen und regelmäßig zu überprüfen.

Künstliche Intelligenz und das Verzeichnis von Verarbeitungstätigkeiten – was muss rein?

Grundsätzlich gehören Tätigkeiten, die unter die die DSGVO fallen, die also personenbezug haben, in das Verzeichnis von Verarbeitungstätigkeiten.

Hier ist es wichtig, trotz sich ständig ändernder Einsatzgebiete und Anbieter ein stets aktuelles Verzeichnis zu haben. Dies hat nicht nur damit zu tun, DSGVO-konform zu sein, sondern auch selber den Überblick zu behalten, was im Unternehmen eingesetzt wird.

Tipp: Sie wollen vorausgefüllte Vorlagen und Ihre Dokumentation nach DSGVO abschließen?

Hier sollen die 3 wichtigsten Verarbeitungstätigkeiten im Kontext von KI gezeigt werden. In unserer Vorlagensammlung sind es sechs, dies würde den Rahmen des Artikels allerdings sprengen. Auch wird auf das KI Training nicht gesondert eingegangen und der Fokus auf die ANwendung von KI gelegt. Auch auf die genaue Ausgestaltung im VVT (z.B. Betroffenengruppen, Datenkategorien usw.) wird hier nicht eingegangen, sondern nur die Zwecke genannt.

Tipp aus der Praxis

Ein VVT ist nicht nur für die AUfsichtsbehörden interessant, auch intern ist es wichtig, um den Überblick zu behalten.

Nutzung von KI-Chatbots für interne Zwecke

Verwenden Sie KI-basierte Chatbots oder virtuelle Assistenten für interne Zwecke in Ihrem Unternehmen? Dies können beispielsweise Systeme sein, die Mitarbeitern bei IT-Problemen helfen, Fragen zu internen Prozessen beantworten oder bei der Programmierung unterstützen. Auch interne Wikis oder Wissensdatenbanken könnten KI-gestützt sein. Beachten Sie, dass hierbei möglicherweise sensible Unternehmensdaten verarbeitet werden. Prüfen Sie sorgfältig, ob die verwendeten Tools den Datenschutzrichtlinien Ihres Unternehmens entsprechen und ob Daten an externe Server übertragen werden.

Zweck der Verarbeitungstätigkeit:

Einsatz von KI-gestützten virtuellen Assistenten zur Unterstützung interner Prozesse, Beantwortung von Mitarbeiterfragen und Automatisierung von Routineaufgaben (z.B. IT-Support, Programmierung, Wiki).

Personalisierung von Marketing-Inhalten durch KI

Nutzen Sie KI-gestützte Systeme zur Personalisierung von Marketinginhalten? Dies könnte sich auf personalisierte E-Mail-Kampagnen, dynamische Website-Inhalte oder KI-generierte Produktempfehlungen beziehen. Beachten Sie, dass hierbei oft umfangreiche Kundendaten verarbeitet werden. Stellen Sie sicher, dass Sie über die notwendigen Einwilligungen verfügen und transparent kommunizieren, wie Kundendaten für Personalisierungszwecke genutzt werden. Prüfen Sie auch, ob Ihre Systeme Profiling im Sinne der DSGVO durchführen.

Zweck der Verarbeitungstätigkeit:

Verwendung von KI-Algorithmen und Tools zur Analyse von Kundendaten und -verhalten, um personalisierte Marketinginhalte, Produktempfehlungen und Werbekampagnen zu erstellen und auszuspielen, mit dem Ziel der Erhöhung der Kundenbindung und -zufriedenheit.

Automatisierte Übersetzung von Kundenkommunikation

Nutzen Sie KI-gestützte Übersetzungstools in der Kundenkommunikation? Dies könnte sich auf die automatische Übersetzung von E-Mails, Chat-Nachrichten oder Kundensupport-Tickets beziehen. Beachten Sie, dass hierbei möglicherweise sensible Kundeninformationen verarbeitet werden. Prüfen Sie, ob die verwendeten Tools die Daten lokal verarbeiten oder an externe Server senden. Informieren Sie Ihre Kunden darüber, dass automatisierte Übersetzungen zum Einsatz kommen und stellen Sie sicher, dass wichtige oder rechtlich relevante Kommunikation von Menschen überprüft wird.

Zweck der Verarbeitungstätigkeit:

Einsatz von KI-basierten Übersetzungstools zur automatischen Übersetzung von ein- und ausgehender Kundenkommunikation in verschiedene Sprachen, um die mehrsprachige Kommunikation zu erleichtern und zu beschleunigen.

KI-Anwendungen in speziellen Bereichen

Künstliche Intelligenz bietet vielfältige Anwendungsmöglichkeiten in verschiedenen Unternehmensbereichen. Die folgenden Beispiele stellen nur einen kleinen Ausschnitt der häufigsten und relevantesten Einsatzgebiete dar. Es ist wichtig zu verstehen, dass KI-Technologien ständig weiterentwickelt werden und sich neue Anwendungsfelder eröffnen.

KI im Kundenservice

KI-Anwendungen verändern den Kundenservice durch schnellere und effizientere Interaktionen. Hier ist häufig textbasierte Anwendungssoftware zu finden, aber auch Analysesoftware, um z.B. die Stimmung einer Beschwerde einzuschätzen.

Beispiele:

  • Chatbots für 24/7 Kundenbetreuung
  • Automatisierte E-Mail-Beantwortung
  • Sprachassistenten für telefonische Anfragen

Datenschutzaspekte:

  • Verarbeitung von Kundendaten und Gesprächsinhalten / Kommunikationsdaten
  • Notwendigkeit transparenter Kommunikation über KI-Einsatz
  • Sicherstellung der Datensicherheit bei der Übertragung sensibler Informationen

KI in der Personalabteilung

In der Personalabteilung unterstützt KI bei verschiedenen Prozessen, von der Rekrutierung bis zur Mitarbeiterentwicklung. Hier wird KI häufig auch dazu verwendet bestehende Texte (z.B. Anschreiben) zu analysieren und Profile abzugleichen. Das Schreiben von Zeugnissen kann allerdings auch ein Anwendungsfall sein.

Beispiele:

  • Automatisierte Vorauswahl von Bewerbungen
  • KI-gestützte Leistungsbeurteilung
  • Vorhersage von Fluktuation und Personalbedarfsplanung

Datenschutzaspekte:

  • Verarbeitung sensibler Mitarbeiterdaten
  • Risiko von Diskriminierung durch verzerrte Algorithmen
  • Notwendigkeit der Transparenz gegenüber Bewerbern und Mitarbeitern

KI in der Produktentwicklung und -optimierung

KI unterstützt Unternehmen dabei, Produkte effizienter zu entwickeln und zu verbessern. Hierbei werden häufig Nutzerdaten ausgewertet und automatisiert analysiert.

Beispiele:

  • Vorhersage von Markttrends
  • Automatisierte Qualitätskontrolle
  • Optimierung von Produktdesigns durch generative KI

Datenschutzaspekte:

  • Verarbeitung von Nutzungsdaten zur Produktverbesserung
  • Schutz von Geschäftsgeheimnissen bei KI-gestützter Entwicklung
  • Einhaltung von Datenschutzbestimmungen bei der Datensammlung

Einsatz von Large Language Models (z.B. ChatGPT) im Unternehmenskontext

Large Language Models bieten vielfältige Einsatzmöglichkeiten in Unternehmen. Obwohl viele Modelle Multimodal sind, ist Text immer noch der wichtigste Eingabeparameter.

Beispiele:

  • Erstellung von Textentwürfen für Marketing und Kommunikation
  • Unterstützung bei der Codeentwicklung
  • Analyse und Zusammenfassung großer Textmengen

Datenschutzaspekte:

  • Risiko der unbeabsichtigten Weitergabe sensibler Informationen
  • Notwendigkeit der Kontrolle der generierten Inhalte
  • Sicherstellung der Vertraulichkeit bei der Nutzung externer KI-Dienste

Bei all diesen Anwendungen ist es wichtig, dass Unternehmen die spezifischen datenschutzrechtlichen Herausforderungen berücksichtigen. Dies beinhaltet die Einhaltung der DSGVO-Grundsätze, die Implementierung geeigneter technischer und organisatorischer Maßnahmen sowie die regelmäßige Überprüfung und Anpassung der KI-Systeme an sich ändernde rechtliche und technische Anforderungen.

Die Vielfalt der KI-Anwendungen unterstreicht die Notwendigkeit einer ganzheitlichen Datenschutzstrategie, die flexibel genug ist, um auf neue Entwicklungen und Einsatzszenarien reagieren zu können.

Praxistipps für den datenschutzkonformen Einsatz von KI (inkl. Checkliste)

Um KI-Anwendungen datenschutzkonform zu implementieren und zu betreiben, sollten Unternehmen einige Aspekte berücksichtigen, um den Datenschutz trotz einiger Fallstricke einzuhalten.

Hier Checkliste zum Einsatz von KI im Unternehmen unter Einhaltung der DSGVO und des Datenschutzes herunterladen:

Checkliste für die Implementierung von KI-Anwendungen

  • Zweck der KI-Anwendung klar definieren
  • Rechtsgrundlage für die Datenverarbeitung identifizieren
  • Datenminimierung sicherstellen: Nur notwendige Daten verarbeiten
  • Transparenz gewährleisten: Betroffene über KI-Einsatz informieren
  • Datensicherheitsmaßnahmen implementieren
  • Prüfen, ob eine Datenschutz-Folgenabschätzung (DSFA) erforderlich ist
  • Dokumentation der Datenverarbeitungsprozesse erstellen
  • Verantwortlichkeiten und Ansprechpartner festlegen

Best Practices für den laufenden Betrieb von AI Anwendungen

  • Regelmäßige Überprüfung und Aktualisierung der KI-Systeme
  • Kontinuierliches Monitoring der Datenqualität und -integrität
  • Regelmäßige Schulungen für Mitarbeiter durchführen
  • Regelmäßige Überprüfung der Wirksamkeit von Sicherheitsmaßnahmen
  • Dokumentation aller Änderungen und Anpassungen am KI-System

Umgang mit Betroffenenrechten bei KI-gestützter Datenverarbeitung

  • Klare Prozesse für Auskunfts-, Berichtigungs- und Löschanfragen etablieren
  • Sicherstellen, dass KI-Entscheidungen erklärt werden können
  • Möglichkeit zur menschlichen Überprüfung automatisierter Entscheidungen gewährleisten
  • Betroffenenrechte auch bei komplexen KI-Systemen technisch umsetzen
  • Regelmäßige Überprüfung und Aktualisierung der Prozesse zur Wahrung der Betroffenenrechte

Sensibilisierung von Mitarbeitern

  • Schulungsprogramme zu KI und Datenschutz entwickeln
  • Automatische Bereinigung von Inputs von personenbezogenen Daten
  • Mitarbeiter über spezifische Risiken und Verantwortlichkeiten aufklären
  • Verhaltensrichtlinien für den Umgang mit KI-Systemen erstellen
  • Förderung einer Kultur des Datenschutzes und der ethischen KI-Nutzung
  • Regelmäßige Updates und Auffrischungsschulungen anbieten
  • Feedback-Mechanismen für Mitarbeiter einrichten, um Bedenken zu melden

Diese Checklisten bieten einen Rahmen für den datenschutzkonformen Einsatz von KI-Anwendungen. Es ist wichtig zu betonen, dass jedes Unternehmen diese Empfehlungen an seine spezifischen Bedürfnisse und den konkreten Einsatzkontext anpassen sollte. Eine regelmäßige Überprüfung und Anpassung dieser Maßnahmen ist aufgrund der schnellen Entwicklung im Bereich KI und Datenschutz unerlässlich.

Bedeutung eines proaktiven Datenschutzmanagements bei KI-Anwendungen

Ein proaktives Datenschutzmanagement ist für den erfolgreichen und rechtskonformen Einsatz von KI-Anwendungen unerlässlich. Es sollte nicht als Lästig empfunden werden, sondern als notwendig zum Schaffen von Vertrauen.

  • Es ermöglicht die frühzeitige Erkennung und Minimierung von Risiken.
  • Es fördert das Vertrauen von Kunden, Mitarbeitern und anderen Stakeholdern.
  • Es hilft, kostspielige nachträgliche Anpassungen zu vermeiden.
  • Es unterstützt die kontinuierliche Anpassung an sich ändernde rechtliche und technische Anforderungen.
  • Es trägt zur Wettbewerbsfähigkeit bei, indem es die verantwortungsvolle Nutzung innovativer Technologien ermöglicht.

Unternehmen, die KI einsetzen oder planen einzusetzen, sollten Datenschutz von Anfang an in ihre Strategie integrieren. Dies erfordert nicht nur technische Maßnahmen, sondern auch organisatorische Anpassungen und eine datenschutzbewusste Unternehmenskultur. Nur so können die Chancen von KI voll ausgeschöpft werden, ohne die Rechte und Freiheiten der betroffenen Personen zu gefährden.

Häufig gestellte Fragen (FAQ) zum Thema KI und Datenschutz

Benötige ich immer eine Einwilligung für den Einsatz von KI-Systemen?

Nein, nicht zwingend. Es gibt auch andere Rechtsgrundlagen wie die Vertragserfüllung oder berechtigte Interessen. Die passende Rechtsgrundlage hängt vom konkreten Einsatzzweck ab.

Wie kann ich Chatbots wie ChatGPT oder Copilot DSGVO konform einsetzen?

Grundsätzlich kann der Einsatz von Chatbots DSGVO konform erfolgen. Hierzu ist es notwendig entweder erst gar keine personenbezogenen Daten einzugeben oder eine Einwilligung der Nutzer einzuholen, deren Daten in das Chat Interface eingegeben werden. Letzteres ist als eher unpraktische Lösung zu sehen.
Sollte es notwendig sein, personenbezogene Daten mit ChatGPT & Co. zu nutzen, versuchen Sie auf einen europäischen Anbieter, wie Claude umzusteigen.

Ist eine Datenschutz-Folgenabschätzung (DSFA) für jede KI-Anwendung erforderlich?

Nein, eine DSFA ist nur bei hohem Risiko für die Rechte und Freiheiten natürlicher Personen notwendig, z.B. bei automatisierten Entscheidungen mit erheblicher Wirkung.

Wie kann ich die Transparenz von KI-Entscheidungen gewährleisten?

Durch den Einsatz erklärbarer KI (XAI), detaillierte Dokumentation der Entscheidungsprozesse und klare Kommunikation gegenüber den Betroffenen.

Dürfen wir Large Language Models wie ChatGPT und Claude im Unternehmen einsetzen?

Grundsätzlich ja, aber mit Vorsicht. Beachten Sie Datenschutz- und Sicherheitsrisiken, insbesondere bei der Verarbeitung sensibler Daten. Geben Sie z.B. keine E-Mail Texte von Kunden einfach so ein, löschen Sie vorher personenbezogene Daten.

Wie gehen wir mit Löschanfragen bei KI-Systemen um?

Entwickeln Sie spezifische Prozesse zur Identifikation und Löschung von Daten in KI-Systemen. Bei komplexen Modellen kann eine vollständige Löschung herausfordernd sein. Nutzen Sie deswegen, wo möglich, pseudonymisierung und anonymisierung.

Welche Maßnahmen können wir ergreifen, um Diskriminierung durch KI zu verhindern?

Regelmäßige Überprüfung auf Bias, Verwendung diverser Trainingsdaten, und Implementierung von Kontrollmechanismen zur Überprüfung von KI-Entscheidungen.

Müssen wir Betroffene informieren, dass sie mit einem KI-System interagieren?

Ja, im Sinne der Transparenz sollten Betroffene darüber informiert werden, wenn sie mit einem KI-System interagieren.

Wie können wir sicherstellen, dass unsere KI-Anwendung dem Prinzip der Datenminimierung folgt?

Analysieren Sie genau, welche Daten für den Zweck wirklich notwendig sind, und implementieren Sie technische Maßnahmen zur Begrenzung der Datenerfassung und -verarbeitung.

Welche Rolle spielt der betriebliche Datenschutzbeauftragte beim Einsatz von KI?

Der Datenschutzbeauftragte sollte von Anfang an in KI-Projekte einbezogen werden, um bei der Bewertung von Risiken und der Implementierung von Schutzmaßnahmen zu beraten.

Gibt es spezielle gesetzliche Regelungen für KI in der EU?

Derzeit wird der AI Act auf EU-Ebene verhandelt, der spezifische Regeln für KI-Systeme einführen wird. Bis zu dessen Inkrafttreten gilt primär die DSGVO.

Fazit – künstliche Intelligenz und Datenschutz

Der Einsatz von künstlicher Intelligenz in Unternehmen bietet enorme Chancen, bringt aber auch erhebliche datenschutzrechtliche Herausforderungen mit sich. Die Verarbeitung personenbezogener Daten durch KI-Systeme muss stets im Einklang mit den Grundsätzen der DSGVO erfolgen, insbesondere hinsichtlich Rechtmäßigkeit, Transparenz und Zweckbindung.

Eine zentrale Erkenntnis ist, dass die Wahl der richtigen Rechtsgrundlage für den KI-Einsatz entscheidend ist. Während in manchen Fällen die Einwilligung der betroffenen Personen erforderlich sein kann, bieten oft auch die Vertragserfüllung oder berechtigte Interessen eine geeignete Basis. Unternehmen müssen hier sorgfältig abwägen und ihre Entscheidung gut dokumentieren.

Die Transparenz von KI-Entscheidungen stellt eine besondere Herausforderung dar. Unternehmen sind gefordert, nachvollziehbare Erklärungen für automatisierte Entscheidungen zu liefern und die Betroffenenrechte auch bei komplexen KI-Systemen zu wahren. Der Einsatz von erklärbarer KI (XAI) und die Implementierung robuster Prozesse für Auskunfts- und Löschersuchen sind hier von großer Bedeutung.

Datensicherheit und Datenminimierung sind weitere Schlüsselaspekte. KI-Systeme neigen dazu, große Datenmengen zu verarbeiten, was im Widerspruch zum Prinzip der Datenminimierung stehen kann. Unternehmen müssen hier einen Balanceakt vollführen, um einerseits effektive KI-Anwendungen zu ermöglichen und andererseits den Datenschutz zu gewährleisten.

Die Bedeutung eines proaktiven Datenschutzmanagements bei KI-Anwendungen kann nicht genug betont werden. Es reicht nicht aus, Datenschutzmaßnahmen erst im Nachhinein zu implementieren. Vielmehr muss der Datenschutz von Anfang an in die Entwicklung und den Einsatz von KI-Systemen integriert werden (Privacy by Design). Dies umfasst regelmäßige Risikobeurteilungen, die Durchführung von Datenschutz-Folgenabschätzungen wo nötig, und die kontinuierliche Schulung und Sensibilisierung von Mitarbeitern.

Angesichts der rasanten technologischen Entwicklung und sich ändernder rechtlicher Rahmenbedingungen ist es für Unternehmen unerlässlich, am Ball zu bleiben. Die Entwicklung des EU AI Acts und möglicher sektorspezifischer Regulierungen muss aufmerksam verfolgt werden, um rechtzeitig auf neue Anforderungen reagieren zu können.

Letztendlich geht es darum, eine Balance zwischen Innovation und Datenschutz zu finden.

Vorausgefüllte Vorlagen vom Datenschutz-Auditor (TÜV-geprüft)

Quellen und weiterführende Literatur

Orientierungshilfe der Konferenz der unabhängigen Datenschutzaufsichtsbehörden
des Bundes und der Länder vom 6. Mai 2024 – Künstliche Intelligenz und Datenschutz, Version 1.0

KI & Datenschutz, Überblicksseite des Bayerischen Landesamts für Datenschutzaufsicht

Bitkom e.V. – Leitfaden: Generative KI im Unternehmen

Liste der Verarbeitungstätigkeiten, für die eine DSFA durchzuführen ist (DSK Blacklist)

Über den Autor: Oliver Engel - Datenschutzexperte und Gründer von dsgvo-vorlagen.de

Oliver Engel ist ein erfahrener Datenschutzexperte und der Gründer von dsgvo-vorlagen.de. Als ausgebildeter Datenschutzbeauftragter (IHK) und Datenschutzauditor (TÜV) hat er es sich zur Aufgabe gemacht, Unternehmern praktische Tools für ihre DSGVO-Dokumentation zur Verfügung zu stellen. Seine Vorlagen basieren auf jahrelanger Erfahrung und sind tausendfach im Einsatz erprobt.

Mit seinem Hintergrund als externer Datenschutzbeauftragter, Autor eines Fachbuchs zur DSGVO und Dozent für Digitalisierung versteht Oliver Engel die Herausforderungen, vor denen Unternehmen beim Thema Datenschutz stehen. Sein Ziel ist es, mit benutzerfreundlichen, praxisorientierten Lösungen zu helfen, Dokumentations- und Rechenschaftspflichten effizient zu erfüllen.

Als Mitglied im Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. bleibt Oliver Engel stets auf dem neuesten Stand der Entwicklungen im Datenschutzrecht. Seine Expertise hilft Unternehmen, ihren Datenschutz unkompliziert und effektiv umzusetzen.

Weitere Fachbeiträge zum Thema Datenschutz

Schaubild zur Definition von Künstlicher Intelligenz und ihrer Bedeutung für Unternehmen

Künstliche Intelligenz (KI) und DSGVO – Datenschutz beachten

In einer Welt, in der Künstliche Intelligenz (KI) zunehmend Einzug in den Unternehmensalltag hält, stehen Organisationen vor der Herausforderung, innovative Technologien zu nutzen und gleichzeitig den Datenschutz zu wahren. Dieser Artikel bietet einen umfassenden Überblick über die Schnittstelle von KI und Datenschutz, speziell zugeschnitten auf die Bedürfnisse von Unternehmen, die KI-Anwendungen einsetzen oder einsetzen möchten. ... Weiterlesen
USB Stick Nahaufnahme.

Muster für eine Risikoanalyse nach DSGVO

Bei der Risikoanalyse nach DSGVO gibt es einige wichtige Punkte zu beachten. Grundsätzlich ist zwischen der Datenschutz-Folgenabschätzung an sich und der Notwendigkeit (Risikoanalyse) dieser, zu unterscheiden. Denn oft verarbeiten Unternehmen gar keine Daten, die einer DSFA bedürfen. Dann muss aber trotzdem dokumentiert werden, dass es keiner DSFA bedarf (Negativ-Einschätzung). Dieser Artikel soll zeigen, wie man ... Weiterlesen
Was Selbstständige und Freiberufler nach DSGVO zu beachten haben. Rechte Pflichten und weiteres.

Datenschutz für kleine Unternehmen, Einzelunternehmer und Selbstständige

Die Datenschutz-Grundverordnung stärkt den Stellenwert personenbezogener Daten von Verbrauchern und sichert ein europaweit einheitliches Datenschutzniveau. Ihnen werden umfangreiche Informationsrechte über die Verarbeitung ihrer Daten zugesprochen. Für kleine Unternehmen bedeutet dies eine zusätzlich Belastung. Viele Unternehmen, insbesondere kleinere, sind von der Vielzahl der neuen Pflichten überfordert- auch in Anbetracht der enormen Strafen bei einer Missachtung der ... Weiterlesen

DSGVO in 2023 Neuerungen und Änderungen

Die DSGVO in 2023 bringt nur wenige Neuerungen und Änderungen bzgl. DSGVO und Datenschutz allgemein, über die Sie aber trotzdem informiert sein sollten. Dieser Artikel wagt einen Ausblick und fasst die wichtigsten Punkte für 2023 zusammen. InhalteDas neue DSG in der Schweiz tritt ab 1. September 2023 in Kraft.KI-Richtlinie der EUNeuer Rechtsrahmen zur Übermittlung von ... Weiterlesen
Wie ein Webseiten Cehck nach DSGVO gemacht wird.

DSGVO Webseiten Check und Audit inkl. Checkliste

Eine Website nach DSGVO konform zu betreiben ist für Unternehmer, Selbstständige oder gar Privatleute ein unsicheres Unterfangen. Cookies, Drittanbieteranfragen, Kontaktformulare und SSL-Verschlüsselung, dies sind nur einige wenige Stichpunkte, welche bei einem DSGVO Webseiten Check zu beachten sind. Dieser Artikel soll Ihnen zeigen, auf welche Punkte Sie allgemein achten sollten und noch einige spezielle Themen behandeln, ... Weiterlesen

Das große DSGVO Abkürzungsquiz

Hätten Sie es gewusst?

Nur für kurze Zeit!

DSGVO-Checkliste kostenlos*

Erstellt vom Datenschutzauditor (TÜV) inkl. Linksammlung zur DSGVO.

*Begrenzte Aktion, Normalpreis 49€ Netto