Der datenschutzkonforme Einsatz von KI-Anwendungen
Im digitalen Zeitalter ist der Einsatz von Künstlichen Intelligenzen ein nahezu unverzichtbares Werkzeug für Unternehmen geworden. Doch wie bleibt man beim Einsatz von KI datenschutzkonform? In diesem dreiteiligen Blog-Beitrag erfahren Sie, wie Sie KI-Anwendungen datenschutzkonform einsetzen, rechtliche Fallstricke umgehen und personenbezogene Daten vor Missbrauch schützen. Diese Woche beenden wir die Serie und beschäftigen uns abschließend mit der Nutzung von KI-Anwendungen.
- Seien Sie vorsichtig bei der Eingabe und Ausgabe personenbezogener Daten
Wenn Sie als Eingabedaten personenbezogene Daten verwenden, müssen Sie die Betroffenen über die Verwendung ihrer Daten transparent informieren. Für die Verarbeitung dieser Daten in KI-Anwendungen und die mögliche Übermittlung an den Anbieter der KI-Anwendung ist jeweils eine Rechtsgrundlage notwendig. Auch wenn eine Eingabe keine personenbezogenen Daten enthält, kann die KI-Anwendung unter Umständen eine Ausgabe mit Personenbezug zu betroffenen Personen generieren. Hier kann wieder eine Rechtsgrundlage erforderlich sein. Sollten Sie zudem beabsichtigen, personenbezogene Ausgabedaten weiterverarbeiten zu wollen, sind Betroffene gemäß Art. 14 DSGVO darüber zu informieren.
- Schützen Sie besondere Kategorien personenbezogener Daten
Besondere Kategorien personenbezogener Daten, wie Informationen zu religiösen Überzeugungen oder Gesundheitsdaten, gelten als besonders schützenswert. Dazu zählen beispielsweise Angaben zur Einnahme bestimmter Medikamente oder der regelmäßige Besuch einer bestimmten Kirche. Die Verarbeitung solcher Daten ist laut Art. 9 Abs. 1 DSGVO grundsätzlich verboten und nur ausnahmsweise unter den Voraussetzungen des Art. 9 Abs. 2 bis 4 DSGVO erlaubt. Daher müssen Sie im Umgang mit KI-Anwendungen hinsichtlich der Eingabe, Verarbeitung und Ausgabe solcher Daten sorgfältig prüfen, ob eine der genannten Ausnahmeregelungen greift.
- Überprüfen Sie die Richtigkeit der KI-Ergebnisse
Die Ergebnisse von KI-Anwendungen mit Personenbezug müssen sorgfältig hinterfragt werden. Anbieter von großen Sprachmodellen (LLM) betonen häufig, dass die von ihren Anwendungen generierten Texte keine Garantie auf Richtigkeit bieten und immer hinterfragt werden sollten. Unrichtigkeit bei Ergebnissen, die einen Personenbezug aufweisen, kann allerdings schnell zu unzulässigen Verarbeitungen führen. Nicht zuletzt verpflichtet Sie der Grundsatz der Richtigkeit nach Art. 5 Abs. 1 d dazu, auf sachliche Richtigkeit im Umgang mit personenbezogenen Daten zu achten. Deshalb ist eine sorgfältige Überprüfung vor der Weiterverarbeitung unerlässlich.
- Prüfen Sie KI-Ergebnisse und Verfahren auf Diskriminierung
Unabhängig von sachlicher Richtigkeit können die Ergebnisse und Verfahren von KI-Anwendungen zu unzulässigen Verarbeitungen von personenbezogenen Daten führen, wenn sie in Zusammenhang mit Diskriminierung stehen. Eine KI-Anwendung könnte anhand früherer erfolgreicher Bewerbungen in einem Unternehmen folgende Empfehlung geben: „Für die freie Stelle sollten bevorzugt männliche Bewerber ausgewählt werden.“ Die Anwendung dieses Ergebnisses in einem Bewerbungsverfahren würde eine unzulässige Verarbeitung der Geschlechtsangaben der Bewerber:innen darstellen und gegen das Allgemeine Gleichbehandlungsgesetz (AGG) verstoßen. Achten Sie daher darauf, Ergebnisse und Verfahren von KI-Anwendungen auf Diskriminierung zu hinterfragen.
Weiterführend
-
Wie können Unternehmen datenschutzkonform mit KI arbeiten? Teil 1
-
Wie können Unternehmen datenschutzkonform mit KI arbeiten? Teil 2
Autor: Markus Vatter, Head of Compliance, 07.10.2024
