Empfehlungen der Datenschutzkonferenz (DSK) für den Einsatz von Künstlicher Intelligenz

Der Einsatz von Künstlicher Intelligenz (KI) gewinnt in Unternehmen zunehmend an Bedeutung. Doch häufig stehen technische Innovationen im Vordergrund, während datenschutzrechtliche Anforderungen zu kurz kommen. Um Unternehmen bei der datenschutzkonformen Implementierung und Nutzung von KI-Anwendungen zu unterstützen, hat die Datenschutzkonferenz (DSK) im Mai 2024 eine Orientierungshilfe veröffentlicht. Diese bietet konkrete Empfehlungen, wie Unternehmen die Datenschutz-Grundverordnung (DSGVO) in den verschiedenen Phasen des KI-Einsatzes einhalten können.

Übersicht

  1. Die Doppelrolle: Datenschutz vs. KI-Anwendung
  2. Herausforderung: Künstliche Intelligenz im Einklang mit Datenschutz
  3. Lösungsansatz: Strukturen und transparente Kommunikation schaffen Klarheit
  4. Fazit

1) Datenschutzrechtliche Aspekte bei der Konzeption von KI-Anwendungen

Bereits bei der Auswahl einer KI-Anwendung müssen Unternehmen eine Reihe von Datenschutzanforderungen berücksichtigen:

Kostenlos Kostenloses Stock Foto zu ai, anwendung, App-Oberfläche Stock-Foto

Zweckbindung: Unternehmen müssen genau definieren, zu welchem Zweck die KI personenbezogene Daten verarbeitet. Werden Daten ohne klaren Zweck verarbeitet oder für andere Zwecke weiterverwendet, kann dies gegen den Grundsatz der Zweckbindung gemäß Art. 5 DSGVO verstoßen.

Rechtsgrundlage für die Datenverarbeitung: Vor der Implementierung einer KI müssen Unternehmen sicherstellen, dass sie für jede Verarbeitung personenbezogener Daten eine Rechtsgrundlage haben (z. B. Einwilligung, Vertragserfüllung oder berechtigtes Interesse).

Automatisierte Entscheidungen und Art. 22 DSGVO: KI-Anwendungen, die zu automatisierten Entscheidungen führen, welche rechtliche oder ähnliche erhebliche Auswirkungen auf betroffene Personen haben, erfordern eine besondere Prüfung. Laut Art. 22 DSGVO dürfen automatisierte Entscheidungen nur getroffen werden, wenn ein Mensch den Entscheidungsprozess letztlich überprüft und beeinflussen kann.

2) Datenschutz bei Implementierung von KI-Systemen

Bei der Implementierung von KI-Systemen sind insbesondere technische und organisatorische Maßnahmen (TOMs) erforderlich, um den Datenschutz sicherzustellen. Die DSK empfiehlt Unternehmen, auf folgende Punkte zu achten:

  • Datenschutz-Folgenabschätzung (DSFA): Wenn der Einsatz einer KI-Anwendung ein hohes Risiko für die Rechte und Freiheiten betroffener Personen darstellt, muss eine DSFA durchgeführt werden. Dies ist häufig der Fall, wenn KI große Mengen personenbezogener Daten verarbeitet oder Entscheidungen mit erheblichen Auswirkungen trifft.
  • Verantwortlichkeiten klären: Bei der Nutzung von KI in der Cloud, wo Daten an Dritte übermittelt werden, muss die Verantwortung klar geregelt sein. Hier ist häufig ein Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO erforderlich, um sicherzustellen, dass der externe Anbieter die gleichen Datenschutzstandards einhält.
  • Transparenzpflichten: Unternehmen müssen sicherstellen, dass sie den Betroffenen klar und verständlich erklären, wie die KI funktioniert, welche Daten verarbeitet werden und welche Rechte die Betroffenen haben. Dies umfasst auch, ob und wie die Eingabedaten (Prompts) gespeichert und genutzt werden.

3) Nutzung von KI-Anwendungen: Daten- und
Diskriminierungsschutz

Besonders kritisch wird es in der Nutzungsphase, wenn die KI tatsächlich im Betrieb eingesetzt wird. Hier betont die DSK folgende Punkte:

  • Vermeidung von Diskriminierung: Unternehmen müssen sicherstellen, dass die von der KI gelieferten Ergebnisse keine diskriminierenden Auswirkungen haben. Dies gilt insbesondere bei automatisierten Entscheidungsprozessen, z. B. in der Personalgewinnung. Eine KI, die auf unsauberem Training basiert, könnte Vorurteile verstärken und diskriminierende Entscheidungen treffen (z. B. durch den Ausschluss bestimmter Gruppen von Bewerbern). Unternehmen müssen ihre KI-Systeme daher regelmäßig auf solche Effekte überprüfen und sie anpassen.
  • Richtigkeit der Daten: Die von der KI generierten Ausgabedaten müssen auf ihre Richtigkeit hin überprüft werden, insbesondere wenn es um sensible Daten geht. Unrichtige Ergebnisse können zu fehlerhaften Entscheidungen führen, was wiederum datenschutzrechtlich problematisch ist.
  • Besondere Kategorien personenbezogener Daten: Werden besondere Kategorien personenbezogener Daten verarbeitet (z. B. Gesundheitsdaten), ist eine ausdrückliche Einwilligung der betroffenen Personen erforderlich. Unternehmen müssen zudem sicherstellen, dass diese Daten ausreichend geschützt werden.
Kostenlos Kostenloses Stock Foto zu ablehnung eines jobs, älterer arbeitssuchender, altersdiskriminierung Stock-Foto

4) Fazit: Datenschutz als integraler Bestandteil des KI-Einsatzes

Die Orientierungshilfe der DSK bietet Unternehmen eine wertvolle Unterstützung, um den Einsatz von KI datenschutzkonform zu gestalten. Sie gibt klare Handlungsempfehlungen für alle Phasen der KI-Nutzung und weist auf die datenschutzrechtlichen Anforderungen hin, die oft übersehen werden. Der Einsatz von KI bringt viele Chancen mit sich, doch er erfordert auch ein hohes Maß an Sorgfalt, insbesondere in Bezug auf den Schutz personenbezogener Daten. Unternehmen, die diese Richtlinien befolgen, können nicht nur rechtliche Risiken minimieren, sondern auch das Vertrauen ihrer Kunden und Partner stärken.

Die vollständige Orientierungshilfe der DSK finden Sie hier. Weitere nützliche Informationen und Leitfäden sind auf den Websites der jeweiligen Datenschutzbehörden verfügbar, wie etwa das Diskussionspapier des LfDI Baden-Württemberg oder die „Hamburger Thesen zum Personenbezug in Large Language Models“.

Melden Sie sich gerne, falls Sie weitere Fragen haben oder Unterstützung benötigen.

Quelle: Viele der Gedanken hier haben wir aus der Zeitschrift „Datenschutz-Praxis“, Ausgabe 09/2024

Schreibe einen Kommentar