Bei dem Einsatz der Künstlichen Intelligenz ist der Datenschutz von entscheidender Bedeutung. Aber welche Daten sind zu schützen? Welche Datenschutzrisiken ergeben sich bei dem Einsatz von KI-Technlogien und wie lassen sich diese reduzieren. Die Antworten auf diese Fragen inklusive Praxistipps für eine DSGVO-konforme KI-Nutzung im Unternehmen erhalten Sie in diesem Artikel.
Inhaltsverzeichnis
- Wie nutzen Unternehmen die Künstliche Intelligenz?
- Welche Rolle spielt der Datenschutz bei der Künstlichen Intelligenz?
- Wann hat die KI-Nutzung für unser Unternehmen Datenschutz und DSGVO Relevanz?
- Datenschutz und KI: Welche Daten müssen geschützt werden?
- Welche gesetzliche Vorgaben müssen eingehalten werden?
- Wer ist für den Datenschutz verantwortlich?
- Welche Datenschutzrisiken ergeben sich bei der KI-Nutzung?
- Künstliche Intelligenz: So reduzieren Sie Risiken im Datenschutz
- Rechtsgrundlage für die Datenverarbeitung bei der KI-Nutzung prüfen
- Richtlinie zum Datenschutz im KI-Kontext erstellen
- Betriebliche Accounts bei KI-Anbieter einrichten
- Mitarbeiter zum Datenschutz und Künstlicher Intelligenz schulen
- Datenschutzverträge mit KI-Betreibern abschließen
- Verzeichnis von Verarbeitungstätigkeiten aktualisieren
- Datenschutz-Folgenabschätzung durchführen
- Datenschutzerklärungen erstellen bzw. aktualisieren
- DSGVO Rechenschaftspflicht beachten!
- Nützliche Checklisten und Leitfäden von Datenschutzbehörden:
- FAQ Künstliche Intelligenz und Datenschutz
Wie nutzen Unternehmen die Künstliche Intelligenz?
Die Nutzung von Künstlicher Intelligenz gewinnt zunehmend an Bedeutung. Nach einer Pressemittleitung des statistischen Bundesamtes vom 27.11.2023 werden KI Technologien regelmäßig von deutschen Unternehmen eingesetzt:
- 35% der Großunternehmen (ab 250 Beschäftigten)
- 16 % der mittleren Unternehmen (50 bis 249 Beschäftigten)
- 10 % der kleine Unternehmen (10 bis 49 Beschäftigten)
Am häufigsten nutzen diese Unternehmen dabei KI-Technologien zur Spracherkennung (43 %), zur Automatisierung von Arbeitsabläufen oder zur Hilfe bei der Entscheidungsfindung (32 %) sowie Technologien zur Analyse von Schriftsprache beziehungsweise Text Mining (30 %).
Viele Unternehmen schrecken vor der Nutzung der Künstlichen Intelligenz aus Datenschutzbedenken zurück. Von den Unternehmen, die bisher keine KI-Technologien nutzen, gaben gut die Hälfte (48 %) Bedenken hinsichtlich der Wahrung des Datenschutzes und der Privatsphäre als Grund für die Nichtnutzung an.
Welche Rolle spielt der Datenschutz bei der Künstlichen Intelligenz?
Die Künstliche Intelligenz zielt darauf ab, menschliches Handeln nachzubilden. KI-Systeme können in der Lage sein, selbstständig Entscheidungen zu treffen und komplexe Probleme zu lösen. KI-Systeme basieren auf Algorithmen und zusätzlich Methoden des Maschinellen Lernens, die es ihnen ermöglichen, aus großen Datenmengen zu lernen und Muster zu erkennen.
Bei der Verwendung von Large Language Models (LLM) wie ChatGPT, LaMDA, PaLM können einerseits personenbezogene Daten von den Nutzern eingegeben werden. Andererseits können die von der „Textvorhersage-Maschine“ generierten Antworten ebenfalls persönliche Daten einzelner natürlicher Personen enthalten.
Der Datenschutz wird auch bei dem Einsatz von Smart Home und anderen Sprachassistenten wie z.B. Amazon Alexa, Siri von Apple, Google Assistant, Microsoft Cortana und vielen mehr immer wieder kontrovers diskutiert. So stellen Nutzer häufig fest, dass beispielsweise Amazon Alexa oft reagiert, auch wenn sie eigentlich nicht angesprochen wird. Der daueraktive Zustand der Spracherkennungssoftware macht aus Sicht der Software-Entwicklung Sinn, führt aber dazu, dass dauernd aktive Mikrofone mithören und unter Umständen persönliche Daten erheben und an die Anbieter übertragen.
Wann hat die KI-Nutzung für unser Unternehmen Datenschutz und DSGVO Relevanz?
Prüfen Sie oder Ihr Datenschutzbeauftragter, ob im Zusammenhang mit dem KI-Einsatz eine Verarbeitung von personenbezogenen Daten stattfindet. Falls Sie ausschließlich Logistik- oder Qualitätsdaten (ohne Bezug auf einzelne natürliche Personen) mit Ihrem KI-Tool verarbeiten, müssen Sie die DSGVO nicht beachten. Sofern jedoch die Verwendung der Künstlichen Intelligenz mit der Verarbeitung von personenbezogenen Daten einhergeht, ist die Datenschutz-Grundverordnung anwendbar und der Datenschutz muss von Ihnen beachtet werden. Bitte denken Sie daran, dass der Begriff der „personenbezogenen Daten“ weit auszulegen ist. Die Nutzung von KI im geschäftlichen Kontext ist ohne die Verarbeitung personenbezogener Daten daher die absolute Seltenheit. Daher werden Sie im Regelfall den Datenschutz bei der KI-Nutzung berücksichtigen müssen.
Datenschutz und KI: Welche Daten müssen geschützt werden?
Der Verarbeitungsbegriff der DSGVO umfasst nahezu jeden Vorgang im Zusammenhang mit personenbezogenen Daten, sodass datenschutzrechtlich relevante Verarbeitungen im Kontext der Künstlichen Intelligenz entsprechend vielfältig sind. Laut LfDI Baden-Württemberg gibt es folgende mögliche Phasen der Datenerarbeitung rund um KI-Systeme:
- Erhebung von Trainingsdaten für KI
- Verarbeiten von Daten für das Training von KI
- Bereitstellen von KI-Anwendungen
- Nutzung von KI-Anwendungen
- Nutzung von Ergebnissen der KI
Die Nutzung von KI in allen Phasen ist ohne die Verarbeitung personenbezogener Daten quasi undenkbar, mit der Folge, dass die Datenschutz-Grundverordnung (DSGVO) anwendbar ist und der Datenschutz beachtet werden muss. Zu den unter der DSGVO schützenswerten personenbezogenen Daten gehören beispielsweise:
- Name
- Geburtsdatum
- Anschrift
- Telefonnummer
- Private und dienstliche E-Mail-Adresse
- Zugangsdaten (Benutzername + Passwort)
- Sozialversicherungsnummer
- Steuernummer
- Kontonummer
- Kundennummern
- Religionszugehörigkeit
- Kontaktdaten der gesetzlichen Vertreter
- Kontaktdaten von Ansprechpartnern
- u.v.m.
Welche gesetzliche Vorgaben müssen eingehalten werden?
Sie müssen mit Ihrem Unternehmen auch beim Einsatz von vermeintlich gängigen KI-Tools wie beispielsweise ChatGPT sicherstellen, dass ihre Datenverarbeitung mit den geltenden Gesetzen compliant ist. Folgende gesetzliche Vorschriften sind zu beachten:
- Bei der Verarbeitung von personenbezogenen Daten sind die Datenschutzgesetze (z. B. DSGVO, BDSG, TDDDG) einzuhalten
- Mit Inkrafttreten der KI-Verordnung werden mit Ablauf der Übergangsfristen auch deren Bestimmungen beim Einsatz von KI zu beachten sein. Die ersten Regeln können bereits im Dezember 2024 gültig sein.
- KI-Systeme müssen im Einklang sein mit sonstigen einschlägigen Gesetzen wie dem Urheberrecht und dem Allgemeinen Gleichbehandlungsgesetz (AGG).
Wer ist für den Datenschutz verantwortlich?
Ein wesentlicher Aspekt der DSGVO ist Feststellung der datenschutzrechtlichen Verantwortlichkeit für die Verarbeitungstätigkeiten. Auf Grundlage dessen bemisst sich, ob Datenschutzverträge abgeschlossen werden müssen und wer welche Datenschutz-Pflichten zu erfüllen hat. Nach Auffassung des Zusammenschlusses deutscher Aufsichtsbehörden (Datenschutzkonferenz Orientierungshilfe KI und Datenschutz) kommen folgende Möglichkeiten in Betracht:
- Eigenständige Verantwortung:
Wird die KI‐Anwendung von Ihnen ausschließlich zu eigenen Zwecken auf Ihren eigenen Servern betrieben, sind Sie in der Regel auch als alleiniger Verantwortlicher anzusehen. - Auftragsverarbeitung: Setzen Sie zu eigenen Zwecken eine KI-Anwendung eines externen Anbieters zum Beispiel als Cloud‐Lösung ein, agiert der externe Anbieter in Ihrem Auftrag als Ihr verlängerter Arm. Dann besteht zwischen dem Anbieter der Anwendung (Auftragsverarbeiter) und Ihnen (Verantwortlicher) häufig ein Auftragsverarbeitungsverhältnis, mit der Folge, dass mit dem Anbieter ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO abgeschlossen werden muss.
- Gemeinsame Verantwortliche:
Der Anbieter des KI-Tools und Sie sind gemeinsam für den Datenschutz verantwortlich nach Art 26 DSGVO, wenn Sie beispielsweise im Rahmen einer Kooperation gemeinsam ein KI-Modell mit Trainingsdaten speisen oder weiterentwickeln und ein gemeinsames Interesse an der Verbesserung der KI haben.
Welche Konstellation in Ihrem Fall zutritt, müssen Sie im Einzelfall zusammen mit Ihrem Datenschutzbeauftragten ermitteln.
Welche Datenschutzrisiken ergeben sich bei der KI-Nutzung?
Die Modelle der Künstlichen Intelligenz funktionieren nur mit großen Datenmengen. Diese umfangreiche automatisierte Verarbeitung im Kontext der KI-Nutzung birgt auch Risiken im Datenschutz. Dazu gehören insbesondere:
- Sensible oder geheime Unternehmensdaten werden in das KI-Tool eingegeben.
- KI-Betreiber haben keine ausreichenden Sicherheitsmaßnahmen ergriffen.
- Umfassende KI-Datenbestände sind nicht adäquat geschützt.
- Hackerangriffe oder Datenpannen verursachen einen Missbrauch der KI-Daten.
- Dritte verschaffen sich Zugriff auf die KI-Datenbasis.
- Trainingsdaten umfassen personenbezogene Daten.
- Algorithmen treffen Entscheidungen, die Personen oder Personengruppen diskriminieren.
- KI-Nutzung erfolgt ohne datenschutzrechtliche Rechtsgrundlage.
- Mit dem KI-Anbieter wurde kein Auftragsverarbeitungsvertrag abgeschlossen.
- Betroffene werden nicht über die Datenverarbeitung im Rahmen der KI-Nutzung informiert.
- Datenverarbeitungen im Rahmen der KI-Nutzung wurden im VVT nicht dokumentiert.
- Eine Datenschutz-Folgenabschätzung wurde trotz der risikoreichen Datenverarbeitung im nicht durchgeführt
Künstliche Intelligenz: So reduzieren Sie Risiken im Datenschutz
Rechtsgrundlage für die Datenverarbeitung bei der KI-Nutzung prüfen
Möchten Sie Technologien der Künstlichen Intelligenz in Ihrem Unternehmen einsetzen und werden in diesem Zusammenhang personenbezogene Daten verarbeitet, benötigen Sie hierfür eine Rechtsgrundlage. Die DSGVO erlaubt die Verarbeitung von personenbezogenen Daten insbesondere in den folgenden Fällen:
- Die Einwilligung jedes einzelnen von der KI-Verarbeitung Betroffenen käme als Rechtsgrundlage in Betracht. Allerdings müssen Sie den Betroffenen für eine wirksame Einwilligung über den Verarbeitungsvorgang und die damit zusammenhängenden Risiken informieren. Des Weiteren kann die betroffene Person die freiwillig abgebebene Einwilligung jederzeit ohne Angabe von Gründen widerrufen.
- Die Erfüllung von Vertragspflichten kommt für Sie in Betracht, wenn der Einsatz von Künstlicher Intelligenz bzw. entsprechender KI-Anwendungen als Mittel zur Erfüllung vertraglicher Zwecke definiert wurde. Als Beispiel ließe sich eine Agentur anführen, die KI-Anwendungen zur Leistungserbring einsetzen muss.
- Das berechtigte Interesse dürfte aufgrund des offenen Tatbestands für die meisten Datenverarbeitungen mit Künstlicher Intelligenz als Rechtsgrundlage nutzen. Dies sollte nicht als Freifahrtschein interpretiert werden. Schließlich erfordert diese Rechtsgrundlage von Ihnen eine (dokumentierte) Abwägung Ihrer Interessen mit den Interessen der von der Verarbeitung im KI-Kontext betroffenen Personen.
Dies ist nur eine beispielhafte Aufzählung von Rechtsgrundlagen, die sich je nach Organisation und Einsatzzweck (Unternehmen oder Behörden) oder Art der Daten ändern können (bei besonderen Kategorien von Daten nach Art. 9 DSGVO, wie z.B. Gesundheitsdaten, gelten noch strengere Anforderungen).
Richtlinie zum Datenschutz im KI-Kontext erstellen
Sie sollten dem Risiko begegnen, dass Mitarbeiter unkontrolliert persönliche Daten oder Geschäftsgeheimnisse in KI-Anwendungen eingeben. Als Geschäftsführer oder leitender Angestellter müssen Sie festlegen, welche KI-Anwendungen im Unternehmen untersagt sind und welche KI-Anwendungen für welchen Anwendungsfall erlaubt sind. Des Weiteren müssen Sie klare Verantwortlichkeiten festlegen und diese im Unternehmen kommunizieren. Aus Gründen der Beweislast empfiehlt sich zu diesem Zwecke eine Arbeitsanweisung oder Unternehmensrichtlinie mit klaren Vorgaben zum Einsatzzweck, Datenminimierung, Sicherheitsmaßnahmen zu erlassen. Bei größeren Unternehmen sollte auch die Beteiligung des Betriebsrats ist in Betracht gezogen werden.
Betriebliche Accounts bei KI-Anbieter einrichten
Stellen Sie den Beschäftigten Geräte und Accounts für die berufliche Nutzung von KI-Anwendungen zur Verfügung. Beschäftigte sollten nicht mit privaten Accounts und Geräten mit KI-Anwendungen arbeiten. Anderenfalls können Profile zu den jeweiligen Beschäftigten entstehen. Die Accounts sollten keine Namen einzelner Beschäftigter enthalten, wenn die KI‐ Anwendung nicht auf eigenen Servern betrieben wird. Soweit die E‐Mail‐Adresse abgefragt wird, ist die Angabe einer Funktions‐E‐Mail‐Adresse, z.B. datenschutz@firma.de des Unternehmens zu empfehlen.
Mitarbeiter zum Datenschutz und Künstlicher Intelligenz schulen
Regelmäßige Datenschutz-Schulungen sind gesetzlich vorgesehen und ein wichtiger Teil eines ganzheitlichen Datenschutz-Konzepts. Die nächste Schulung sollte den Datenschutz im Kontext der KI-Nutzung abdecken. Ziel ist hierbei die Sensibilisierung Ihrer Mitarbeiter für Datenschutzrisiken im Zusammenhang mit der KI-Nutzung. Bei dieser Gelegenheit können Sie Ihren externen Datenschutzbeauftragten darum bitten, die KI-Datenschutz-Richtlinie und die damit einhergehenden Pflichten in der Datenschutz-Schulung vorzustellen.
Datenschutzverträge mit KI-Betreibern abschließen
Sobald Sie wissen, welche KI-Anwendungen in Ihrem Unternehmen erlaubt sein sollen, muss die Frage der datenschutzrechtlichen Verantwortlichkeit geklärt werden. Lassen Sie von Ihrem Datenschutzbeauftragten prüfen, ob der KI-Betreiber als Auftragsverarbeiter (Art. 28 DSGVO), als eigenständiger Verantwortlicher oder ob Ihr Unternehmen und der KI-Betreiber als gemeinsame Verantwortliche nach Art. 26 DSGVO agieren. Nach Klärung der Verantwortlichkeiten, müssen Sie einen Datenschutzvertrag (Auftragsverarbeitungsvertrag oder Vertrag zur gemeinsamen Verantwortlichkeit) mit dem KI-Anbieter abschließen. Bei KI-Anbietern aus den USA muss zusätzlich die Zulässigkeit dieses Datentransfers geprüft werden. Es ist zu prüfen, ob der KI-Anbieter unter dem sogenannten EU- US Data Privacy Framework zertifiziert ist bzw. ob der US-Anbieter Standarddatenschutzklauseln anbietet.
Verzeichnis von Verarbeitungstätigkeiten aktualisieren
Alle Unternehmen, unabhängig von ihrer Größe, sind dazu verpflichtet, die datenschutzrelevanten Geschäftsprozesse im Unternehmen im sog. Verzeichnis von Verarbeitungstätigkeiten zu dokumentieren und auf Anfrage der Datenschutz-Aufsichtsbehörde zur Verfügung zu stellen. Sie sollten darauf achten, dass Ihr Verarbeitungsverzeichnis auch die Datenverarbeitungen im Zusammenhang mit Ihrer KI-Anwendung enthält. Ansonsten verstoßen Sie gegen die Dokumentationspflichten (Art. 30 Abs. 1 DSGVO).
Datenschutz-Folgenabschätzung durchführen
Bei risikoreichen Datenverarbeitung, was insbesondere bei neuen Technologien und umfangreichen Datenverarbeitungen der Fall ist, muss eine Datenschutz-Folgenabschätzung (DS-FA) durchgeführt werden. Diese beinhaltet eine Analyse und Abschätzung der datenschutzrechtlichen (negativen) Folgen für die geplante Datenverarbeitung mit dem KI-System. Die Risiken bei der Nutzung von KI-Anwendungen können je nach Einsatzzweck sehr vielfältig sein: Profiling und Scoring bergen die Gefahr der Preismanipulation. Auch das KI-gestützte Tracking oder die Identifizierung von Personen, beispielsweise durch Gesichtserkennung, sind nicht ohne Risiken, da sie den Verlust der Anonymität zur Folge haben können. Wird KI zur Verhaltensanalyse eingesetzt, besteht die Möglichkeit, das Kaufverhalten zu manipulieren und somit die Kontrolle über die eigenen Entscheidungen zu verlieren. Ebenso kann Diskriminierung durch Gruppenbildung in Bewerbungsverfahren eine mögliche Gefahr darstellen. Wie Sie mit den identifizierten Risiken im Rahmen der DS-FA umgehen können, welche technischen und organisatorischen Sicherheitsmaßnahmen zur Eindämmung der Risiken in Betracht kommen, erfahren Sie in unserem Artikel zur Datenschutz-Folgenabschätzung.
Datenschutzerklärungen erstellen bzw. aktualisieren
Alle Personen, die von der Datenverarbeitung mit der KI-Anwendung betroffen sind, müssen über diesem Umstand informiert werden. Hierbei kann es sich sowohl um Kunden, Webseitenbesucher, Geschäftspartner oder die eigenen Mitarbeiter handeln. Der Informationspflicht aus Art. 13 DSGVO kommen Sie am besten mittels einer Datenschutzerklärung nach. Diese sollten Sie beim Erhebungsprozess am besten digital und nachweisbar einbinden.
DSGVO Rechenschaftspflicht beachten!
Die bloße Einhaltung der Datenschutzvorgaben ist nicht ausreichend. Sie sollten bei allen vorgenannten Themenfeldern immer davon ausgehen, dass die Beweislast für den rechtmäßigen Einsatz der KI-Systeme bei Ihnen liegt. Das bedeutet, dass Sie die in diesem Beitrag genannten Voraussetzungen der zulässigen Nutzung nachweisen müssen. In der Praxis bedeutet dies, dass Sie alle Aspekte der Nutzung, angefangen bei der Prüfung der Zulässigkeit, dokumentieren sollten.
Sie haben Fragen zum Datenschutz bei dem Einsatz von Künstlicher Intelligenz?
Wir helfen Ihnen bei allen Fragen rund um den Datenschutz. Wir sind ein Team aus externen Datenschutzbeauftragten und bieten Ihnen sofortige Unterstützung. Wir unterstützen Sie bei der Analyse, Bewertung, Dokumentation des Verarbeitungsvorgangs und stehen Ihnen bei allen weiteren Schritten zur Datenschutzkonformität mit Rat und Tat zur Seite.
Nützliche Checklisten und Leitfäden von Datenschutzbehörden:
Der Hamburgische Beauftragte für Datenschutz und Informationssicherheit hat eine Checkliste für den Einsatz von Chatbots veröffentlicht. Diese können Ihnen helfen verbindliche Nutzungsvorgaben für beispielsweise ChatGPT, Luminous oder Bard im Unternehmen festzulegen. Das Bayerische Landesamt für Datenschutz (BayLDA) hat eine umfangreiche Checkliste für KI für das Training von KI-Modellen, die Risikobewertung und den Betrieb von KI-Systemen veröffentlicht. Eine generelle Einordung zu dem Thema Künstliche Intelligenz Datenschutz finden Sie im Leitfaden des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg.
FAQ Künstliche Intelligenz und Datenschutz
Bei geschlossenen Systemen erfolgt die Datenverarbeitung in einer eingegrenzten und technisch abgeschlossenen Umgebung. Außerdem hat nur ein bestimmter abgegrenzter Anwenderkreis Zugriff auf die KI‐Anwendung. Die Kontrolle über die Ein‐ und Ausgabedaten liegt bei geschlossenen Systemen bei den Anwender. Es ist systemseitig nicht vorgesehen, dass die bei der Anwendung eingegebenen oder entstehenden Daten vom Anbieter des Systems zum weiteren Training verwendet werden.
KI‐Anwendungen werden vom Anbietenden zum Beispiel als Cloud‐Lösung betrieben und sind über das Internet für einen unbestimmten Anwenderkreis zugänglich. Die Eingabedaten verlassen damit den geschützten Bereich der Anwender und können, je nach Konzeption der KI‐Anwendung, von dieser auch für die Beantwortung von Anfragen anderer Anwender verwendet werden. In diesem Fall besteht das Risiko, dass personenbezogene Daten zu anderen Zwecken weiterverarbeitet werden oder auch unbefugten Dritten zugänglich sind und ihnen gegenüber offengelegt werden.