KI und Datenschutz: Wegweiser für einen datenschutzkonformen Einsatz von KI

Künstliche Intelligenz (KI) ist längst in der Praxis angekommen – sei es in Form von Chatbots, intelligenten Analysen oder automatisierten Prozessen. Doch sobald personenbezogene Daten ins Spiel kommen, wird es knifflig: Die Datenschutz-Grundverordnung (DSGVO) gilt und stellt klare Anforderungen an die Nutzung von KI. Aktuell sorgt die KI-Verordnung der EU (AI Act) für viel Aufmerksamkeit, doch viele ihrer Regelungen sind noch nicht in Kraft und werden erst schrittweise wirksam. Unabhängig davon gelten die Anforderungen der DSGVO bereits heute und sind zwingend zu beachten. In diesem Beitrag liegt der Fokus daher auf den bestehenden Pflichten der DSGVO und den wesentlichen Aspekten eines datenschutzkonformen KI-Einsatzes, um folgenschwere Fallstricke zu vermeiden.

Wann ist die DSGVO beim Einsatz von KI anwendbar?

Die DSGVO findet immer dann Anwendung, wenn personenbezogene Daten verarbeitet werden. Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 Nr. 1 DSGVO). Eine Person gilt als identifizierbar, wenn sie direkt oder indirekt, insbesondere durch Zuordnung zu einer Kennung wie einem Namen, einer Kennnummer, Standortdaten oder besonderen Merkmalen identifiziert werden kann.

Sobald eine KI mit diesen Daten arbeitet, greifen die Vorschriften der DSGVO. Dies kann auf unterschiedliche Weise geschehen:

• Wenn eine KI direkt auf personenbezogene Daten zugreift, etwa für Analysen von Kundendaten.
• Wenn personenbezogene Daten als Eingaben (sogenannte Prompts) in eine KI eingegeben werden.
• Wenn eine KI personenbezogene Daten als Ausgabe generiert, beispielsweise durch das Erstellen personalisierter Inhalte.
• Wenn eine KI mit personenbezogenen Daten trainiert wird, etwa durch maschinelles Lernen mit Kundenhistorien oder Verhaltensdaten.

Die Anforderungen der DSGVO gelten nicht nur für eigene KI-Anwendungen, sondern auch für KI-Dienste externer Anbieter, die in Unternehmen genutzt werden. Da viele moderne Softwarelösungen bereits KI-Funktionen integrieren, ist es essenziell, deren Datenschutzkonformität gezielt zu prüfen und sicherzustellen, dass alle datenschutzrechtlichen Vorgaben auch für die KI-Features eingehalten werden.

Ein vollständiges Verbot oder die pauschale Vorgabe, ausschließlich mit anonymisierten Daten zu arbeiten, mag auf den ersten Blick wie eine einfache Lösung erscheinen, um die datenschutzrechtlichen Anforderungen gar nicht erst einhalten zu müssen. Doch dieser Ansatz greift oft zu kurz: Er kann Innovation ausbremsen, wertvolle Chancen ungenutzt lassen und verhindert eine nachhaltige, verantwortungsbewusste Nutzung von KI. Statt regulatorische Vorgaben zu umgehen, sollten Unternehmen darauf setzen, KI-Anwendungen bewusst und datenschutzkonform zu gestalten.

Acht zentrale Maßnahmen für einen datenschutzkonformen KI-Einsatz

1. Prüfung der Rechtmäßigkeit

Damit KI personenbezogene Daten verarbeiten darf, muss eine Rechtsgrundlage nach der DSGVO vorliegen. Eine pauschale Bewertung einer KI-Anwendung ist nicht möglich, da es auf den konkreten Verwendungszweck und die verarbeiteten Daten ankommt. So muss beispielsweise zwischen dem Einsatz von KI und dem Training von KI unterschieden werden, weil es sich dabei um unterschiedliche Verarbeitungstätigkeiten handelt. Jede Verarbeitungstätigkeit der KI muss einzeln geprüft werden.

In der Praxis sind folgende Rechtsgrundlagen für den Einsatz von KI relevant:

• Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): Diese Grundlage ist anwendbar, wenn die Verarbeitung zur Wahrung berechtigter Interessen erforderlich ist und keine überwiegenden Interessen oder Grundrechte und Grundfreiheiten der betroffenen Personen entgegenstehen. Eine sorgfältige Interessenabwägung ist erforderlich.
  Beispiel: Ein Online-Shop nutzt eine KI-gestützte Betrugserkennung, um verdächtige Transaktionen zu identifizieren und zu verhindern.
• Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO): Die Verarbeitung ist zulässig, wenn die KI-gestützte Datenverarbeitung für die Durchführung oder Anbahnung eines Vertrags erforderlich ist.
  Beispiel: Eine KI-basierte Übersetzungssoftware wird genutzt, um vertraglich vereinbarte Übersetzungsdienste für Kunden bereitzustellen. Die Datenverarbeitung ist erforderlich, um die vertraglich geschuldete Leistung zu erbringen.
• Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): Falls keine andere Rechtsgrundlage greift, muss eine informierte, freiwillige und widerrufbare Einwilligung eingeholt werden. In der Praxis kann dies jedoch mit erheblichen Herausforderungen verbunden sein, insbesondere im Hinblick auf die Freiwilligkeit der Einwilligung, die klare und verständliche Information der Betroffenen sowie die Gewährleistung eines einfachen Widerrufs.
  Beispiel: Eine KI analysiert das Nutzungsverhalten von Kunden, um personalisierte Werbeanzeigen zu schalten. Dies erfordert die vorherige Einwilligung der betroffenen Personen.

Soweit der Fokus auf „normalen“ personenbezogenen Daten liegt. Besondere Kategorien personenbezogener Daten, wie Gesundheitsdaten oder biometrische Daten, unterliegen nach Art. 9 DSGVO noch strengeren Anforderungen. In solchen Fällen sind besondere Schutzmaßnahmen erforderlich, um die rechtlichen Vorgaben zu erfüllen.

Sonderfall: Zweckänderung

Selbst wenn eine zulässige Rechtsgrundlage vorliegt, kann sich die Frage stellen, ob die Daten für einen anderen als den ursprünglich vorgesehenen Zweck weiterverwendet werden dürfen. Dies ist bei KI besonders relevant, da sie oft Daten über den ursprünglichen Anwendungsfall hinaus verarbeitet oder für neue Zwecke nutzt. In solchen Fällen schreibt Art. 6 Abs. 4 DSGVO eine Prüfung vor, ob die neue Nutzung mit dem ursprünglichen Zweck vereinbar ist oder eine neue Erlaubnis in Form einer Rechtsgrundlage benötigt wird.

Alle aktuellen Entwicklungen zur KI-Verordnung haben Sie mit unserem Newsletter im Blick.

2. Nutzung von KI-Diensten und Cloudlösungen (KI-as-a-Service)

Viele Unternehmen entwickeln keine eigene KI, sondern nutzen cloudbasierte KI-Dienste (KI-as-a-Service) oder Software-Lösungen mit KI-Integrationen. Dies erfolgt im Regelfall als Auftragsverarbeitung, sodass die Anforderungen von Art. 28 DSGVO gelten. Es muss sichergestellt werden, dass die Anbieter die Daten nicht zu eigenen Zwecken verwenden, beispielsweise um deren KI zu trainieren.

• Es sollten ausschließlich Dienstleister für KI-Software genutzt werden, die die gesetzlich geforderten Auftragsverarbeitungsverträge (AV-Verträge) bereitstellen können.
• Vor Beginn der Datenverarbeitung ist der AV-Vertrag sorgfältig zu prüfen und erst nach Abschluss zu unterzeichnen. Es muss sichergestellt werden, dass der Anbieter personenbezogene Daten nicht für eigene Zwecke verwendet.
• Falls eine Datenübertragung in ein Drittland (außerhalb der EU bzw. des EWR) erfolgt, sind geeignete Schutzmaßnahmen zu prüfen, wie beispielsweise Standardvertragsklauseln oder eine Zertifizierung nach dem Data Privacy Framework.

3. Technische und organisatorische Maßnahmen (TOM)

Datenschutz bedeutet nicht nur rechtliche Absicherung, sondern auch technische und organisatorische Sicherheitsmaßnahmen. Es müssen geeignete technische und organisatorische Maßnahmen implementiert werden, die sicherstellen, dass die im Zusammenhang mit KI verarbeiteten personenbezogenen Daten geschützt sind.

Besonders wichtig ist die Kontrolle des Zugriffs auf personenbezogene Daten. Es muss verhindert werden, dass KI-Systeme bestehende Zugriffsbeschränkungen umgehen und somit unberechtigte Personen Zugriff auf Daten erhalten. Zudem gilt der Grundsatz der Datenminimierung: Es dürfen nur die für den jeweiligen KI-Einsatz unbedingt erforderlichen Daten verarbeitet werden.

• Es dürfen nur die für den jeweiligen Zweck erforderlichen Daten verarbeitet werden.
• Zugriffsbeschränkungen nach dem Need-to-Know-Prinzip müssen definiert und durchgesetzt werden.
• Unternehmen müssen sicherstellen, dass eine KI keine bestehenden Berechtigungen umgeht oder Daten unbefugt verarbeitet.
• Dienstleister sollten regelmäßig überprüft werden, um sicherzustellen, dass ihre Sicherheitsmaßnahmen den gesetzlichen Anforderungen entsprechen.

4. Automatisierte Entscheidungsfindung

Entscheidungen mit rechtlicher Wirkung dürfen gemäß Art. 22 Abs. 1 DSGVO grundsätzlich nicht allein von einer KI getroffen werden. Automatisierte Entscheidungen sind nur in Ausnahmefällen zulässig, z. B. bei einer ausdrücklichen Einwilligung der betroffenen Person oder wenn eine gesetzliche Grundlage dies vorsieht. Wenn eine KI Vorschläge erstellt, die Rechtsfolgen haben oder eine Person erheblich beeinträchtigen können, muss sichergestellt sein, dass die endgültige Entscheidung von einem Menschen getroffen wird.

• Eine KI sollte keine endgültigen Entscheidungen mit rechtlicher Wirkung treffen oder Betroffene erheblich beeinträchtigen.
• Es ist sicherzustellen, dass eine menschliche Kontrollinstanz in den Entscheidungsprozess eingebunden wird.

5. Dokumentation im Verzeichnis der Verarbeitungstätigkeiten

Alle Verarbeitungstätigkeiten, (auch solche, die KI nutzen), müssen im Verzeichnis der Verarbeitungstätigkeiten dokumentiert werden. Das ist viel Arbeit, bietet aber einen umfassenden Überblick über die Datenverarbeitungen im Unternehmen und trägt dazu bei, das Vorliegen einer gültigen Rechtsgrundlage sicherzustellen.

• Alle KI-gestützten Verarbeitungsvorgänge müssen in das Verzeichnis der Verarbeitungstätigkeiten aufgenommen werden.
• Die Dokumentation muss regelmäßig überprüft und aktualisiert werden.

6. Datenschutz-Folgenabschätzung (DSFA)

Eine DSFA ist erforderlich, wenn eine Verarbeitung ein hohes Risiko für die Rechte und Freiheiten betroffener Personen darstellt. Das kann bei KI häufiger der Fall sein, insbesondere wenn sie zur Steuerung der Interaktion mit Betroffenen eingesetzt wird, persönliche Merkmale oder Verhaltensweisen analysiert und bewertet oder wenn es sich um eine neuartige, innovative oder risikobehaftete Technologie handelt. Die Datenschutzbehörden stufen viele KI-Anwendungen als hochrisikobehaftet ein, weshalb eine DSFA in solchen Fällen verpflichtend sein kann.

• Unternehmen sollten prüfen, ob eine DSFA notwendig ist und falls ja, diese gewissenhaft durchführen und dokumentieren.
• Eine frühzeitige Risikobewertung hilft, potenzielle Datenschutzrisiken zu erkennen und geeignete Schutzmaßnahmen zu ergreifen.

7. Informationspflichten und Transparenz

Die DSGVO verpflichtet Unternehmen, betroffene Personen über die Verarbeitung ihrer personenbezogenen Daten zu informieren. Dies geschieht in der Regel durch Datenschutzerklärungen, die darlegen, welche Daten verarbeitet werden und zu welchem Zweck die Verarbeitung erfolgt. Auch beim Einsatz von KI-Anwendungen gilt diese Pflicht. Die Anforderungen unterscheiden sich nicht grundlegend von anderen datenverarbeitenden Systemen und die Inhalte der Datenschutzerklärung richten sich nach Art. 13 und 14 DSGVO.

• Datenschutzerklärungen sollten geprüft und ggf. angepasst werden, um die Datenverarbeitung durch KI transparent darzustellen.
• Die Informationen müssen in einer klaren und verständlichen Sprache bereitgestellt werden.

8. Sensibilisierung und Schulung der Beschäftigten

Der Einsatz von KI in Unternehmen eröffnet viele Möglichkeiten, birgt aber auch Risiken im Hinblick auf den Datenschutz. Beschäftigte müssen sich bewusst sein, dass auch bei der Nutzung von KI die Vorgaben der DSGVO strikt eingehalten werden müssen. Unsachgemäßer Einsatz kann dazu führen, dass personenbezogene Daten unrechtmäßig verarbeitet oder Datenschutzverstöße begangen werden.

• Unternehmen sollten interne Richtlinien für den datenschutzkonformen Einsatz von KI aufstellen.
• Schulungen und Sensibilisierungsmaßnahmen helfen, einen verantwortungsbewussten und datenschutzkonformen Umgang sicherzustellen.

Sie brauchen rechtliche Unterstützung beim Einsatz von KI-Systemen in Ihrem Unternehmen? Melden Sie sich gerne hier.

Fazit

Der Einsatz von KI bietet Unternehmen erhebliche Chancen, bringt jedoch auch datenschutzrechtliche Herausforderungen mit sich. Datenschutz und Innovation stehen nicht im Widerspruch – sie müssen vielmehr Hand in Hand gehen.

Eine frühzeitige Prüfung der rechtlichen Anforderungen, die Implementierung geeigneter Schutzmaßnahmen und die Sensibilisierung der Mitarbeitenden sind entscheidend, um KI datenschutzkonform und verantwortungsvoll zu nutzen.

Bei Fragen zur datenschutzkonformen Nutzung von KI stehen wir Ihnen gerne beratend zur Seite.