KI und Datenschutz: Wie Unternehmen KI datenschutzkonform nutzen

Andreas Gutsell
June 16, 2024

Künstliche Intelligenz gewann in den letzten Jahren für Unternehmen weltweit an Bedeutung. Mit der zunehmenden Nutzung dieser modernen Technologien stehen viele Unternehmen vor der Herausforderung, KI und Datenschutz unter einen Hut zu bringen. Sobald personenbezogene Daten ins Spiel kommen, sind die richtigen Datenschutzmaßnahmen unerlässlich, um DSGVO-konform zu handeln und schwerwiegende Folgen zu vermeiden, die eine Verletzung der Datenschutzrichtlinien mit sich ziehen können. In diesem Blogbeitrag verraten wir Ihnen, wie Sie KI in Ihrem Unternehmen datenschutzkonform nutzen, um von den technologischen Vorteilen zu profitieren und dennoch die rechtlichen Rahmenbedingungen einzuhalten.

Was ist Künstliche Intelligenz?

Künstliche Intelligenz (kurz: KI) oder auch Artificial Intelligence (AI), sind technische Systeme, die Aufgaben erledigen können, welche normalerweise menschliche Intelligenz erfordern. Sie verstehen Sprache und sind in der Lage, Muster zu erkennen sowie Entscheidungen zu treffen. Zudem lernen sie aus den Daten, mit denen sie von Nutzern gefüttert werden – sie beinhalten also maschinelles Lernen.

Anwendungsbeispiele für KI in Unternehmen

KI wird heutzutage in verschiedenen Geschäftsbereichen eingesetzt. Angefangen beim personalisierten Marketing, bis hin zur Diagnose von Krankheiten in der Medizin, der Optimierung von Lieferketten in der Logistikbranche oder für autonome Fahrzeuge. Der Einsatz künstlicher Intelligenz in Unternehmen ist vielfältig:

  • Kundenservice: Chatbots und virtuelle Assistenten bieten Kunden rund um die Uhr Unterstützung
  • Marketing: Analyse von Kundendaten zur Personalisierung von Werbung
  • Produktion: Überwachung und Optimierung von Produktionsabläufen
  • Finanzen: Automatisierung von Routineaufgaben wie Datenabgleich und Betrugserkennung
  • Recruiting: Beschleunigung und Vereinfachung des Auswahlprozesses, um geeignete Bewerber zu finden

Die Anwendungsbeispiele zeigen, wie vielseitig Unternehmen KI nutzen können, um ihre betrieblichen Abläufe zu verbessern und ihre Geschäftsziele zu erreichen. Der Einsatz von KI-Tools ermöglicht eine effizientere Verarbeitung von Informationen und eine bessere Entscheidungsfindung sowie Nutzung von Ressourcen.

Wann und warum Datenschutz für KI erforderlich ist

Die Notwendigkeit des Datenschutzes ergibt sich nicht nur aus der moralischen Verpflichtung zum Schutz der Privatsphäre, sondern auch aus rechtlichen Anforderungen, wie der Datenschutzgrundverordnung (DSGVO), die strenge Regelungen für den Umgang mit personenbezogenen Daten vorsieht. Und das unabhängig davon, ob KI im Unternehmen eingesetzt wird.

Der Datenschutz wird immer dann benötigt, wenn personenbezogene Daten gespeichert oder verarbeitet werden. Bei der Verwendung von KI-Technologien werden oft große Mengen an personenbezogenen Daten analysiert und verarbeitet. Dies erhöht das Risiko von Datenverlust, unbefugtem Zugriff oder Missbrauch. Die richtigen Datenschutzmaßnahmen stellen sicher, dass diese Gefahren minimiert und die Rechte und Freiheiten der Betroffenen geschützt werden.

Im Zusammenhang mit dem Datenschutz sind beim Einsatz von KI bestimmte Themenbereiche von Bedeutung:

  • die Speicherung und Verarbeitung personenbezogener Daten (z. B. Name, Anschrift, Kontaktdaten, Geburtsdaten und ärztliche Diagnosen)
  • der Zugriff auf sensible Informationen
  • die Transparenz und Nachvollziehbarkeit von automatischen Entscheidungen, die mithilfe von KI-gestützten Systemen getroffen werden

Des Weiteren ist neben Daten mit Personenbezug auch beim Umgang mit sensiblen Geschäftsdaten Vorsicht geboten. Geschäftsgeheimnisse und andere vertrauliche Unternehmensinformationen unterliegen eigenen gesetzlichen Regelungen, wie beispielsweise dem Geschäftsgeheimnisgesetz (GeschGehG). Zusätzlich gibt es gesonderte Regelungen für zum Beispiel die Verarbeitung von Gesundheitsdaten und anderen hochsensiblen Informationen.

Datenschutzrechtliche Herausforderungen durch KI

Mit künstlicher Intelligenz eröffnen sich für Sie als Arbeitgeber oder Angestellter zahlreiche neue Möglichkeiten und Chancen. Gleichzeitig entstehen jedoch auch rechtliche Herausforderungen, insbesondere im Hinblick auf den Datenschutz. Angesichts der enormen Menge an Daten, die bei der Nutzung von KI generiert und verarbeitet werden, ist es unerlässlich, sich über die rechtlichen Aspekte zu informieren, damit Sie weiterhin die Privatsphäre und den Datenschutz wahren können.

Durch den Einsatz von KI ergeben sich verschiedene datenschutzrechtliche Problematiken, mit denen Sie sich auseinandersetzen sollten, wenn Sie künstliche Intelligenz DSGVO-konform in Ihrem Unternehmen verwenden wollen.

Unklare Verantwortlichkeiten

Die Frage nach der datenschutzrechtlichen Verantwortlichkeit ist bei KI-Projekten komplex, besonders wenn externe Dienstleister und internationale Datentransfers involviert sind. Es ist nicht immer klar, wer konkret für den korrekten und datenschutzkonformen Einsatz der Systeme verantwortlich ist. Grundsätzlich sind dreiverschiedene Konstellationen möglich. Welche davon greift, hängt von dem jeweiligen KI-System und dessen Verwendung ab.

  1. Getrennte Verantwortlichkeit: Sowohl der Anbieter des KI-Tools als auch der Arbeitgeber sind hier Verantwortliche im Sinne des Datenschutzes und für die korrekte Nutzung des Systems zuständig. Dabei ist der Anbieter für die Verarbeitung innerhalb des Systems verantwortlich, während der Arbeitgeber eine datenschutzkonforme Eingabe der Informationen sicherstellen muss.
  2. Gemeinsame Verantwortlichkeit: In diesem Fall teilen sich beide Parteien (KI-Software-Anbieter und Arbeitgeber) die Verantwortung über die Datenverarbeitung.
  3. Auftragsverarbeitung: Der Arbeitgeber beauftragt einen Dritten mit der Verarbeitung von Daten. Der Auftragsverarbeiter ist dadurch an die Weisungen des Arbeitgebers gebunden und darf die Daten meist nicht für eigene Zwecke (z. B. Trainingszwecke) nutzen. In der Regel bleibt der Arbeitgeber jedoch weiterhin für den ordnungsgemäßen Einsatz des KI-Systems zuständig.

Betroffenenrechte

Gemäß der Datenschutz-Grundverordnung (DSGVO) hat jede betroffene Person bestimmte Rechte in Bezug auf die Speicherung und Verarbeitung ihrer personenbezogenen Daten. Dazu gehören das Recht auf

  • Auskunft,
  • Berichtigung,
  • Löschung,
  • Einschränkung der Verarbeitung
  • und Widerspruch.

Als problematisch stellt sich hier vor allem das Recht auf Löschung nach Art. 17 DSGVO heraus, da viele KI-Systeme die gesammelten Nutzerdaten verwenden, um sich zu verbessern. Dementsprechend können diese oftmals nicht gelöscht werden.

Darüber hinaus haben Betroffene das Recht, zu erfahren, wie ihre Daten durch künstliche Intelligenz verarbeitet werden und welche Entscheidungen auf dieser Grundlage getroffen werden. Sobald Sie KI-Systeme mit personenbezogenen Daten speisen, sollten Sie als Unternehmen alle Betroffenen transparent darüber informieren und aktiv ihre Zustimmung einholen.

Transparenzgebot und Informationspflicht

Als Arbeitgeber müssen Sie sowohl gegenüber Ihren Angestellten als auch Kunden klar kommunizieren, wie, warum und welche Daten von Ihnen durch KI-Systeme verarbeitet werden. Das sogenannte Transparenzgebot besagt, dass die Verwendung von KI-Tools und die Generierung von Inhalten für die Nutzer transparent und nachvollziehbar sein müssen. Das bedeutet: Sie als Arbeitgeber sind dazu verpflichtet, Ihre Mitarbeiter und Kunden detailliert und leicht verständlich über den Einsatz von künstlicher Intelligenz zu informieren. Dies ist für viele Unternehmen bereits eine Herausforderung, da die Datenverarbeitung ein sehr komplexes Thema ist und sich von Tool zu Tool unterscheiden kann.

Zusätzlich sind Sie dazu verpflichtet, über die Auswirkungen der Verwendung von generativen KI-Tools zu informieren und die Betroffenen auf ihre Rechte und Interessen hinzuweisen. Nur so können diese eine fundierte Entscheidung über die Nutzung ihrer persönlichen Daten treffen.

Grundsatz der Datenminimierung

Nach dem Grundsatz der Datenminimierung sollten nur die für einen bestimmten Zweck erforderlichen personenbezogenen Daten erhoben, verarbeitet und gespeichert werden. Bei KI-Anwendungen ist dies eine besondere Herausforderung, da diese Technologien oft große Datenmengen nutzen und analysieren.

Sammeln Sie nur Daten, die unbedingt erforderlich sind, um das gewünschte Ergebnis zu erzielen. Definieren Sie vorab klare Ziele und legen fest, welche Informationen dafür benötigt werden und welche nicht. Zusätzlich sollten Sie darauf achten, dass die Daten nur für den vorgesehenen Zweck verwendet werden und nicht über den ursprünglichen Kontext hinaus. Beschränken Sie sich auf das Notwendigste, um den Datenschutz und die Privatsphäre der Betroffenen zu gewährleisten.

KI und Datenschutz im Einklang: Best Practices für Unternehmen

Um künstliche Intelligenz datenschutzkonform in Ihrem Unternehmen zu nutzen, müssen Sie zunächst die geltenden Datenschutzgesetze kennen und wissen, welche technischen und organisatorischen Maßnahmen notwendig sind, um Ihre Daten zu schützen. Unsere Best Practices helfen Ihnen dabei, den datenschutzrechtlichen Anforderungen gerecht zu werden und gleichzeitig Ihre Geschäftsprozesse zu verbessern sowie diese mithilfe von KI effizienter zu gestalten.

Risiko-Bewertung mit der Datenschutz-Folgenabschätzung (DSFA)

Die Datenschutz-Folgenabschätzung (DSFA) dient dazu, die Risiken im Zusammenhang mit der Verwendung von Künstlicher Intelligenz zu beurteilen. Sie ermöglicht es Unternehmen, mögliche Gefahrenquellen zu identifizieren, zu bewerten und entsprechende Maßnahmen zur Risikoreduzierung festzulegen.

Bei der Verwendung von KI können verschiedene datenschutzrechtliche Risiken auftreten. Zum Beispiel kann es zu einer unbefugten Datenweitergabe oder -verarbeitung kommen, wenn die KI-Systeme nicht ausreichend abgesichert sind. Auch die fehlende Transparenz und Nachvollziehbarkeit von Entscheidungen kann eine Herausforderung darstellen. KI-Systeme können beispielsweise gegen Diskriminierungsverbote verstoßen, wenn sie aufgrund von ungerechtfertigten Merkmalen wie Geschlecht oder ethnischer Herkunft Entscheidungen treffen.

Die DSFA betrachtet all diese datenschutzrechtlichen Aspekte eines KI-Einsatzes. Anhand der gewonnenen Erkenntnisse können dann geeignete Maßnahmen zur Risikoreduzierung festgelegt werden. Das können beispielsweise technische und organisatorische Maßnahmen, wie die Anonymisierung von Daten, die Implementierung von Zugriffskontrollen oder Schulung von Mitarbeitern sein.

Die Datenschutz-Folgenabschätzung ist gesetzlich vorgeschrieben, wenn die Datenverarbeitung voraussichtlich mit hohem Risiko verbunden ist (Art. 35 Abs. 1 DSGVO). Auf der Website des Bundesdatenschutzbeauftragten finden Sie eine Liste mit Verarbeitungstätigkeiten, bei der eine DSFA gesetzlich verpflichtend ist.

7 Tipps für den Einsatz von Large Language Models

Unternehmen, die Large Language Models (LLMs) wie beispielsweise ChatGPT nutzen möchten, sollten einige wichtige Aspekte des Datenschutzes beachten. Hier sind einige wichtige Tipps:

  1. Datenschutzrisiken identifizieren: Sie sollten die potenziellen Risiken im Zusammenhang mit dem Einsatz von LLMs kennen. Dazu gehören mögliche Verletzungen der Privatsphäre, eine unbeabsichtigte Offenlegung vertraulicher Informationen und unberechtigter Zugriff auf sensible Daten. Lesen Sie sich dafür die Datenschutzrichtlinien des LLM-Anbieters sorgfältig durch.
  2. Datenminimierung: Geben Sie nur die unbedingt erforderlichen Daten an LLMs weiter. Lassen Sie überflüssige Informationen weg und speisen die Systeme nur mit den Daten, die für die jeweilige Aufgabe zwingend notwendig sind.
  3. Anonymisierung: Anonymisieren Sie persönliche Informationen, um die Privatsphäre der Betroffenen zu wahren.
  4. Kontrolle über die Verwendung der Daten: Stellen Sie intern klare Richtlinien und Vereinbarungen für die Verwendung von LLMs auf. Regeln zur Nutzung von KI sollten im Arbeitsvertrag festgehalten werden. Protokollieren Sie außerdem alle eingegebenen Daten.
  5. Auftragsverarbeitungsvertrag: Schließen Sie einen Vertrag zur Auftragsverarbeitung mit dem jeweiligen KI-Anbieter ab.
  6. Datenschutzerklärung: Fügen Sie den Einsatz des KI-Systems Ihrer Datenschutzerklärung hinzu und dokumentieren Sie es zusätzlich im Verzeichnis von Verarbeitungstätigkeiten (VVT).
  7. Urheberrecht- und Markenrecht: Schreiben Sie KI-generierte Texte um und prüfen die Informationen sorgfältig. So vermeiden Sie Plagiate und Falschinformationen.

Umgang mit Trainingsdaten

Als Unternehmen müssen Sie bei der Nutzung von personenbezogenen Daten für das Training von KI-Systemen sorgfältig vorgehen. Die Datenverarbeitung ist nach Artikel 6 Absatz 1 lit. f der DSGVO rechtmäßig, sofern sie zur Wahrung berechtigter Interessen notwendig ist und die Grundrechte der betroffenen Personen, die den Schutz ihrer Daten benötigen, nicht überwiegen.

Bei der Entscheidung über die Datennutzung müssen Sie die Art der Daten, die Intensität des Eingriffs und die Sicherheitsmaßnahmen sorgfältig abwägen. Dabei spielt auch eine Rolle, ob die Daten zuvor von den Betroffenen öffentlich gemacht wurden, etwa über soziale Medien. In solchen Fällen ist der Datenschutzanspruch geringer.

Auch das wirtschaftliche Interesse eines KI-Anbieters an der Weiterentwicklung von KI-Systemen wird oft als berechtigtes Interesse angesehen – insofern die Daten anonymisiert werden. Gemäß Erwägungsgrund 47 der DSGVO müssen die Erwartungen der betroffenen Personen basierend auf ihrer Beziehung zum Verantwortlichen berücksichtigt werden. Dies gilt insbesondere, wenn keine Einwilligung oder kein Vertragsverhältnis vorliegt.

Nutzung von Proxy-Lösungen

Mit einer Proxy-Lösung wird der Datenverkehr zwischen dem Benutzer und einem entfernten Zielserver kontrolliert. Der Server fungiert dabei als Vermittler zwischen Benutzer und Zielserver und ermöglicht es, die Verbindung über einen Zwischenserver herzustellen. In Bezug auf Künstliche Intelligenz und Datenschutz bedeutet das konkret: Ein Proxy-Server anonymisiert die eingegebenen personenbezogenen Daten und sendet pseudonymisierte Informationen an die KI-Schnittstelle, sodass die Daten von Mitarbeitern und Kunden geschützt werden.

Wenn Sie sich für eine Proxy-Lösung entscheiden, sollten Sie einige Kriterien berücksichtigen, die solch ein Server erfüllen muss, um den Anforderungen an den Datenschutz gerecht zu werden:

  • Die Daten der Mitarbeiter sollten während der Übertragung und Speicherung verschlüsselt sein. Dies ist wichtig, um unbefugten Zugriff auf die Daten zu verhindern.
  • Um die Anforderungen der Datenschutzgesetze in der Europäischen Union zu erfüllen, sollten die Daten auf EU-Servern gespeichert werden.
  • Ein Auftragsverarbeitungsvertrag mit dem Proxy-Anbieter regelt, wie der Anbieter Ihre Daten nutzen darf.

Schulung von Mitarbeitern

Um Mitarbeiter über die rechtlichen und ethischen Aspekte von KI aufzuklären, sind Schulungen und Workshops sinnvoll. Diese sollten spezifisch auf die Bedürfnisse des Teams zugeschnitten sein, um eine effektive Sensibilisierung zu gewährleisten. Vermitteln Sie Ihren Angestellten die Grundlagen von KI, zusammen mit einer klaren Darstellung der daraus resultierenden rechtlichen und ethischen Implikationen. Klären Sie über die rechtlichen Rahmenbedingungen auf, die den Einsatz von KI im Arbeitsumfeld betreffen und informieren über die möglichen Risiken und Konsequenzen von Datenschutzverstößen.

Haben Sie noch keinen eigenen Datenschutzbeauftragten? Dann empfehlen wir Ihnen, einen externen Datenschutzexperten ins Boot zu holen, der Ihre Mitarbeiter entsprechend schult und sie über neue gesetzlichen Bestimmungen auf dem Laufenden hält. Wir von Complimate stehen Ihnen bei Fragen rund um das Thema Datenschutz und KI gerne beratend zur Seite!

Fazit

Das Thema Datenschutz und KI stellt eine zentrale Herausforderung für Unternehmen dar. Um den Missbrauch von Daten und damit verbundene Bußgelder zu vermeiden, müssen Sie klare Verantwortlichkeiten definieren, Datenschutz-Folgenabschätzungen durchführen und Ihre Mitarbeiter regelmäßig schulen. Vermeiden Sie personenbezogene Angaben, wo es möglich ist und protokollieren sorgfältig alle Verarbeitungstätigkeiten. Letztlich geht es darum, diese neuartige Technologie effizient und im Einklang mit den rechtlichen Rahmenbedingungen zu nutzen, um sowohl die Privatsphäre der Betroffenen als auch die Integrität Ihres Unternehmens zu schützen.

Häufig gestellte Fragen

Warum ist Datenschutz bei KI besonders wichtig?

KI-Systeme verarbeiten oft große Mengen an personenbezogenen Daten, um zu lernen und Entscheidungen zu treffen. Ohne angemessene Datenschutzmaßnahmen könnten sensible Daten missbraucht werden, was zu Datenschutzverletzungen und für Unternehmen letztlich zu hohen Bußgeldern und Schadensersatzforderungen führen kann.

Welche gesetzlichen Bestimmungen gelten für KI und Datenschutz?

In der Europäischen Union ist die Datenschutz-Grundverordnung (DSGVO) das wichtigste Gesetz, das den Umgang mit personenbezogenen Daten generell und auch bei der Nutzung von KI regelt. Sie schreibt vor, dass die Datenverarbeitung rechtmäßig, fair und transparent sein muss und dass Unternehmen verpflichtet sind, personenbezogene Daten zu schützen.

Wie können Unternehmen ihre KI-Anwendungen datenschutzkonform gestalten?

Firmen gestalten ihre KI-Systeme DSGVO-konform, indem sie Datenschutz von Anfang an in die Systementwicklung integrieren (Privacy by Design), nur die notwendigen Daten verarbeiten (Datenminimierung) und durch regelmäßige Datenschutz-Folgenabschätzungen (DSFA) potenzielle Risiken bewerten und sie mit entsprechenden Maßnahmen eindämmen.

Bildnachweis

Foto von Alex Knight auf Unsplash

Kommen wir ins Gespräch – Lernen Sie uns persönlich kennen!