Wie können Unternehmen datenschutzkonform mit KI arbeiten? Teil 1

Der datenschutzkonforme Einsatz von KI-Anwendungen

Im digitalen Zeitalter ist der Einsatz von Künstlichen Intelligenzen ein nahezu unverzichtbares Werkzeug für Unternehmen geworden. Doch wie bleibt man beim Einsatz von KI datenschutzkonform? In diesem dreiteiligen Blog-Beitrag erfahren Sie, wie Sie KI-Anwendungen datenschutzkonform einsetzen, rechtliche Fallstricke umgehen und personenbezogene Daten vor Missbrauch schützen. Diese Woche starten wir mit der Konzeption des Einsatzes und der Auswahl von KI-Anwendungen.
 

1. Legen Sie klar definierte Einsatzfelder und Zwecke fest
   Bevor eine KI-Anwendung in Betrieb genommen wird, ist es unerlässlich, klare Einsatzfelder und Zwecke zu definieren. Als Verantwortlicher müssen Sie festlegen, wozu die KI genutzt wird und wie Sie personenbezogene Daten verarbeitet. Diese Zweckbestimmung ist entscheidend, um den datenschutzkonformen Betrieb zu gewährleisten. Nur so lässt sich prüfen, ob die Verarbeitung personenbezogener Daten tatsächlich erforderlich ist.
    
2. Überprüfen Sie die Rechtmäßigkeit der Einsatzfelder sorgfältig
   Nicht alle Einsatzfelder für KI-Anwendungen sind zulässig. Die europäische KI-Verordnung verbietet beispielsweise „Social Scoring“ und biometrische Echtzeitüberwachung in öffentlichen Räumen, es sei denn, es bestehen sehr enge Ausnahmeregelungen. Sie als Verantwortlicher müssen also sicherstellen, dass die geplanten Einsatzfelder der KI-Anwendung rechtlich zulässig sind.
    
3. Achten Sie auf datenschutzkonformes Training von KI-Anwendungen
   Wurden für das Training personenbezogene Daten verwendet? Falls ja, gab es eine Rechtsgrundlage für das Training? Dies sind einige der Fragen, denen Sie nachgehen sollten, wenn Sie bei der Auswahl von KI-Anwendungen prüfen, ob diese datenschutzkonform trainiert wurden. Oft haben Sie als Verantwortlicher keinen Einfluss auf das Training der KI-Anwendung. Dennoch müssen Sie sicherstellen, dass sich Fehler beim Training der KI nicht auf die datenschutzkonforme Verarbeitung der Daten in Ihrer Verantwortlichkeit auswirken.
    
4. Klären Sie die Rechtsgrundlagen für Datenverarbeitungen
   Für jede Verarbeitung personenbezogener Daten mit KI-Anwendungen ist eine datenschutzrechtliche Rechtsgrundlage erforderlich. In Betracht kommen verschiedene Rechtsgrundlagen, wie etwa eine Verarbeitung von personenbezogenen Daten zur Erfüllung eines Vertrags gemäß Art. 6 Abs. 1 lit. b DSGVO. Entscheidend ist, dass Sie die Rechtsgrundlage, auf die Sie die Datenverarbeitungen durch die KI-Anwendung stützen, sorgfältig im Vorfeld abklären.
    
5. Vermeiden Sie automatisierte Letztentscheidungen
   Entscheidungen mit Rechtswirkung dürfen gemäß Art. 22 Abs. 1 DSGVO grundsätzlich nur von Menschen getroffen werden. Ausnahmen sind nur in bestimmten Fällen zugelassen, etwa bei einer Einwilligung der betroffenen Person. Erarbeitet eine KI-Anwendung Vorschläge, die für eine betroffene Person Rechtswirkung entfalten, muss das Verfahren so gestaltet werden, dass dem entscheidenden Menschen ein tatsächlicher Entscheidungsspielraum zukommt und nicht maßgeblich aufgrund des KI-Vorschlags entschieden wird.
    
6. Bevorzugen Sie geschlossene Systeme
   Bei der Entscheidung zwischen geschlossenen und offenen KI-Systemen ist aus datenschutzrechtlicher Sicht ein geschlossenes System vorzuziehen. In geschlossenen Systemen erfolgt die Datenverarbeitung in einer abgeschlossenen Umgebung, wo nur ein bestimmter, eng begrenzter Anwenderkreis Zugriff auf die KI-Anwendung hat. Offene Systeme, die oft als Cloud-Lösungen betrieben werden, können hingegen Risiken bergen, wie die unbefugte Weiterverarbeitung oder Zugänglichkeit personenbezogener Daten.
    
7. Stellen Sie Transparenz sicher
   Wenn Sie eine KI-Anwendung nutzen, die Sie nicht selbst entwickelt haben, stellen Sie sicher, dass der Anbieter Ihnen ausreichende Informationen bereitstellt, um Ihre Informations- und Transparenzpflichten gemäß der DSGVO (Art. 12 ff.) zu erfüllen. Fordern Sie vom Anbieter umfassende Dokumentationen an. Die DSGVO verpflichtet Sie als Verantwortlichen, unter anderem Angaben über die bei einer automatischen Entscheidungsfindung involvierte Logik zu machen sowie Tragweite und die möglichen Auswirkungen für Betroffene. Nutzen Sie daher Visualisierungen und interaktive Techniken, um die Komplexität der Logik auf ein verständliches Maß herunterzubrechen.
    
8. Sorgen Sie für Wahlmöglichkeit hinsichtlich des KI-Trainings
   Stellen Sie sicher, dass die Möglichkeit besteht, die Nutzung von Ein- und Ausgabedaten für das Training der KI auszuschließen. Wenn dies nicht möglich ist und personenbezogene Daten betroffen sind, benötigen Sie für diesen Zweck eine rechtliche Grundlage. Bevorzugen Sie daher datenschutzfreundliche Anwendungen, die keine Ein- und Ausgabedaten zu Trainingszwecken verwenden.
    
9. Sorgen Sie für Wahlmöglichkeit hinsichtlich der Eingabe-Historie
   Viele KI-Dienste speichern Texteingaben (Prompts), um zukünftige Interaktionen zu erleichtern oder das System zu optimieren. Insbesondere bei gemeinsamer Nutzung durch mehrere Beschäftigte sollte dies transparent kommuniziert werden. In diesem Zusammenhang sollten Sie auch sicherstellen, dass jeder Nutzer die Möglichkeit hat, selbst zu entscheiden, ob die eigene Eingabe-Historie gespeichert wird.
    
10. Gewährleisten Sie die Berichtigung und Löschung von personenbezogenen Daten
    Als Verantwortlicher müssen Sie sicherstellen, dass betroffene Personen ihre Rechte auf Berichtigung und Löschung von personenbezogenen Daten gemäß der DSGVO ausüben können. Unrichtige Daten müssen korrigiert und bei Löschung muss sichergestellt werden, dass ein Personenbezug dauerhaft unmöglich ist.
     
11. Binden Sie den Datenschutzbeauftragten ein
    Ihr Datenschutzbeauftragte sollten in alle Entscheidungen über den Einsatz von KI-Anwendungen eingebunden werden. Auch die Beteiligung von Betriebs- und Personalräten sollte geprüft werden, um die datenschutzrechtlichen Anforderungen umfassend zu erfüllen.

Autor: Markus Vatter, Head of Compliance, 19.09.2024