Wie können Unternehmen datenschutzkonform mit KI arbeiten? Teil 2

Der datenschutzkonforme Einsatz von KI-Anwendungen

Im digitalen Zeitalter ist der Einsatz von Künstlichen Intelligenzen ein nahezu unverzichtbares Werkzeug für Unternehmen geworden. Doch wie bleibt man beim Einsatz von KI datenschutzkonform? In diesem dreiteiligen Blog-Beitrag erfahren Sie, wie Sie KI-Anwendungen datenschutzkonform einsetzen, rechtliche Fallstricke umgehen und personenbezogene Daten vor Missbrauch schützen. Diese Woche setzen wir die Serie fort und beschäftigen uns mit der Implementierung von KI-Anwendungen.

1. Legen Sie klare, verbindliche Verantwortlichkeiten für den KI-Einsatz fest
   Bevor eine KI-Anwendung eingesetzt wird, ist es entscheidend zu hinterfragen: Wer ist für die Verarbeitung personenbezogener Daten verantwortlich? Wenn Sie die KI ausschließlich selbst betreiben, sind Sie allein verantwortlich. Nutzen Sie beispielsweise eine Cloud-Lösung eines externen Anbieters, gelten Sie als Verantwortlicher und der Anbieter als Auftragsverarbeiter, was eine entsprechende Vereinbarung gemäß Art. 28 Abs. 3 DSGVO erfordert. Wenn mehrere Stellen gemeinsam über die Zwecke und Mittel der Verarbeitung entscheiden, liegt hingegen eine gemeinsame Verantwortlichkeit vor. Es ist essenziell, dass Sie Verantwortlichkeiten definieren und verbindlich regeln. Sie sollten klare Vereinbarungen treffen und festzulegen, wer welche Datenschutzpflichten konkret übernimmt.
    
2. Treffen Sie klare interne Regelungen für den KI-Einsatz 
   Ohne klare Regelungen, ob und wie KI-Anwendungen im Arbeitsalltag eingesetzt werden dürfen, besteht das Risiko, dass Beschäftigte KI-Anwendungen eigenmächtig und unkontrolliert nutzen. Sie sollten daher in internen Regelungen festlegen, unter welchen Bedingungen und zu welchen Zwecken KI-Anwendungen im Arbeitsalltag eingesetzt werden dürfen. Achten Sie darauf, einen klaren Rahmen für den Einsatz von KI-Anwendungen vorzugeben. Dies gilt umso mehr, wenn personenbezogene Daten verarbeitet werden.
    
3. Führen Sie eine Datenschutz-Folgenabschätzung durch 
   Vor dem Einsatz von KI-Anwendungen ist zu prüfen, ob die Verarbeitung personenbezogener Daten ein hohes Risiko für die betroffenen Personen darstellt. Wenn dies der Fall ist, ist eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DS-GVO erforderlich. Beim Einsatz von KI-Anwendungen wird dies vielfach der Fall sein. Falls Sie die KI-Anwendung nicht selbst entwickeln, sind Sie zur Durchführung einer Risikobewertung auf die Informationen des Anbieters angewiesen. Achten Sie daher bei der Auswahl und dem Erwerb einer KI-Anwendung darauf, dass diese Informationen vom Anbieter bereitgestellt werden.
    
4. Stellen Sie betriebliche Accounts für KI-Nutzung bereit 
   Für die berufliche Nutzung von KI-Anwendungen durch Beschäftigte sollten Sie als Arbeitgeber Geräte und Accounts zur Verfügung stellen. Private Accounts und Geräte sollten vermieden werden, da sonst ungewollt Profile zu den jeweiligen Beschäftigten entstehen können. Die Accounts sollten keine Namen von Mitarbeitern enthalten, wenn die KI-Anwendung nicht auf eigenen Servern läuft. Stattdessen sollte bei der Angabe einer E-Mail-Adresse eine allgemeine Funktionsadresse des Unternehmens oder der Dienststelle verwendet werden. Falls bei der Registrierung eine Mobilfunknummer verlangt wird, sollte dafür ein Firmenhandy bereitgestellt werden.
    
5. Schützen Sie personenbezogene Daten durch Technikgestaltung und datenschutzfreundliche Voreinstellungen 
   Um personenbezogene Daten im Umgang mit KI-Anwendungen zu schützen, achten Sie auf eine datenschutzkonforme Technikgestaltung und datenschutzfreundliche Voreinstellungen. Beispielsweise sollten für Mitarbeiter-Accounts die Funktionen so eingestellt sein, dass keine Eingabedaten zu Trainingszwecken verarbeitet, keine Eingabe-Historie über die Sitzung hinaus gespeichert und Ausgabedaten nicht automatisch veröffentlicht werden.
    
6. Gewährleisten Sie die Datensicherheit bei KI-Anwendungen 
   KI-Anwendungen müssen neben den datenschutzrechtlich erforderlichen technischen-organisatorischen Maßnahmen grundsätzlich auch diejenigen Anforderungen erfüllen, die generell für IT-Systeme gelten. Dazu gehören insbesondere die Vertraulichkeit, Integrität und Verfügbarkeit der Daten. Wenn Angreifer unbefugt auf KI-Anwendungen zugreifen, könnten sie möglicherweise persönliche Daten oder Geschäftsgeheimnisse offenlegen. Nutzen Sie die Informationen und Empfehlungen von Institutionen wie dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zur Absicherung Ihrer KI-Anwendungen.
    
7. Sensibilisieren Sie Ihre Mitarbeiter für den KI-Einsatz 
   Schulen und informieren Sie Ihre Mitarbeiter darüber, wie sie KI-Anwendungen sicher und datenschutzkonform nutzen können. Leitfäden, Workshops und regelmäßige Gespräche helfen dabei, das Bewusstsein für Datenschutzrisiken zu schärfen und den korrekten Umgang mit KI-Technologien zu fördern.
    
8. Verfolgen Sie rechtliche und technische Entwicklungen kontinuierlich
   Als Verantwortlicher sollten Sie die rechtlichen und technischen Entwicklungen rund um den Einsatz von KI-Anwendungen kontinuierlich verfolgen. Dazu gehört unter anderem die Prüfung, inwieweit zusätzliche Anforderungen aus der europäischen KI-Verordnung erfüllt werden müssen. Auch fortschreitende technische Lösungen oder Updates sollten regelmäßig dahingehend überprüft werden, ob interne Vorgaben angepasst werden müssen. Etablieren Sie hierfür eine Routine im Rahmen Ihres Datenschutzmanagements gemäß Art. 24 DS-GVO.

Autor: Markus Vatter, Head of Compliance, 27.09.2024