Datenschutz mit KI
Wenn Unternehmen KI-Systeme einsetzen, gelten die Anforderungen der Datenschutz-Grundverordnung (DSGVO), sofern personenbezogene Daten verarbeitet werden. Die DSGVO ist dabei technologieneutral und findet unabhängig davon Anwendung, ob Daten durch klassische IT-Systeme oder KI-Systeme verarbeitet werden.
Im Zentrum stehen insbesondere Transparenz, Datenminimierung, Zweckbindung sowie der Schutz personenbezogener Daten vor unbefugter Verarbeitung oder Weitergabe.
Wann die DSGVO bei KI Anwendung findet
Section titled “Wann die DSGVO bei KI Anwendung findet”Die DSGVO gilt immer dann, wenn personenbezogene Daten im Zusammenhang mit dem Einsatz von KI-Systemen verarbeitet werden.
Dies kann bereits bei der Eingabe von Informationen in ein KI-System (z. B. Prompts, sofern diese personenbezogene Daten enthalten), bei der Verarbeitung durch das Modell oder bei der Speicherung bzw. Weiterverarbeitung von Ergebnissen der Fall sein.
Auch indirekte Verarbeitungen sind relevant, etwa wenn KI-Systeme personenbezogene Daten analysieren, klassifizieren oder Profile über Personen erstellen.
Entscheidend ist dabei nicht die Art der Technologie, sondern allein der Personenbezug der verarbeiteten Daten.
DSGVO Prinzipien im Überblick
Section titled “DSGVO Prinzipien im Überblick”| Prinzip | Bedeutung im KI-Einsatz |
|---|---|
| Zweckbindung | Personenbezogene Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke verarbeitet werden. |
| Datenminimierung | Es dürfen nur solche Daten verarbeitet werden, die für den jeweiligen Zweck tatsächlich erforderlich sind. |
| Transparenz | Betroffene Personen müssen klar und verständlich über die Verarbeitung informiert werden, einschließlich des Einsatzes von KI-Systemen, sofern dieser relevant ist. |
| Integrität und Vertraulichkeit | Personenbezogene Daten müssen durch geeignete technische und organisatorische Maßnahmen vor unbefugtem Zugriff, Verlust oder Manipulation geschützt werden. |
| Rechtmäßigkeit | Jede Verarbeitung personenbezogener Daten benötigt eine gültige Rechtsgrundlage nach Art. 6 DSGVO. |
KI-spezifische Datenschutzrisiken
Section titled “KI-spezifische Datenschutzrisiken”Der Einsatz von KI-Systemen bringt in der Praxis spezifische datenschutzrechtliche Risiken mit sich.
Ein wesentliches Risiko besteht darin, dass personenbezogene oder sensible Informationen unbeabsichtigt in KI-Systeme eingegeben werden, beispielsweise über Prompts oder Dokumentenuploads.
Je nach Systemarchitektur können diese Daten verarbeitet, gespeichert oder in Ausnahmefällen auch für Trainings- oder Optimierungszwecke verwendet werden. Unternehmen müssen daher die konkreten Bedingungen des jeweiligen Anbieters prüfen.
Ein weiterer relevanter Aspekt betrifft die Nutzung externer KI-Dienste. Viele KI-Systeme werden über Cloud-Infrastrukturen betrieben, wodurch eine Verarbeitung außerhalb der Europäischen Union möglich ist. In diesen Fällen sind die Anforderungen der DSGVO an Drittlandübermittlungen zu beachten, insbesondere Standardvertragsklauseln (Art. 46 DSGVO) oder ein Angemessenheitsbeschluss (Art. 45 DSGVO), sofern vorhanden.
Automatisierte Verarbeitung und Entscheidungen
Section titled “Automatisierte Verarbeitung und Entscheidungen”KI-Systeme können Entscheidungen vorbereiten oder vollständig automatisiert treffen. In diesen Fällen ist insbesondere Art. 22 DSGVO relevant.
Automatisierte Entscheidungen, die rechtliche Wirkung entfalten oder Betroffene in ähnlicher Weise erheblich beeinträchtigen, sind nur unter engen Voraussetzungen zulässig.
In bestimmten Fällen besteht zudem ein Anspruch auf menschliches Eingreifen, auf Darlegung des Entscheidungsprozesses sowie auf Anfechtung der Entscheidung.
Auch Profiling ist datenschutzrechtlich relevant, insbesondere wenn daraus Bewertungen, Klassifizierungen oder Risikoeinschätzungen über Personen abgeleitet werden.
Praktische Maßnahmen zur Risikominimierung
Section titled “Praktische Maßnahmen zur Risikominimierung”| Risiko | Beschreibung | Maßnahmen |
|---|---|---|
| Eingabe personenbezogener Daten in KI-Systeme | Mitarbeitende geben personenbezogene oder sensible Daten in Prompts oder Dateien ein | Anonymisierung oder Pseudonymisierung vor der Eingabe, klare interne Nutzungsrichtlinien, Schulungen |
| Unklare Datenverarbeitung durch KI-Anbieter | Verarbeitung, Speicherung oder Weiterverwendung von Daten ist nicht vollständig transparent | Prüfung des Anbieters, Abschluss eines Auftragsverarbeitungsvertrags (AVV), Einsatz DSGVO-konformer Dienste |
| Drittlandübermittlung | Verarbeitung personenbezogener Daten außerhalb der EU | Prüfung geeigneter Garantien nach Art. 44 ff. DSGVO, insbesondere Standardvertragsklauseln oder Angemessenheitsbeschluss |
| Fehlende interne Verantwortlichkeiten | Unklare Zuständigkeiten beim KI-Einsatz | Klare Zuweisung von Verantwortlichkeiten und Dokumentation im Verzeichnis von Verarbeitungstätigkeiten |
| Unkontrollierte KI-Ausgaben | Fehlerhafte oder personenbezogene Inhalte durch KI | Menschliche Kontrolle der Ergebnisse vor weiterer Verarbeitung |
| Datenabfluss durch Systemnutzung | Eingaben können in Logs oder Trainingssysteme gelangen | Nutzung von Enterprise- oder Datenschutzkonfigurationen, Deaktivierung der Trainingsnutzung sofern möglich |
Verantwortlichkeiten im Unternehmen
Section titled “Verantwortlichkeiten im Unternehmen”Der Einsatz von KI-Systemen entbindet Unternehmen nicht von ihrer datenschutzrechtlichen Verantwortung.
Sofern personenbezogene Daten verarbeitet werden, bleibt das Unternehmen in der Regel „Verantwortlicher“ im Sinne der DSGVO.
Werden externe KI-Dienste genutzt, kann je nach Ausgestaltung entweder eine Auftragsverarbeitung im Sinne von Art. 28 DSGVO, eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO oder eine eigenständige Verantwortlichkeit des Anbieters vorliegen.
In Fällen der Auftragsverarbeitung ist der Abschluss eines Auftragsverarbeitungsvertrags erforderlich.
Unternehmen müssen zudem intern klar regeln, wer für den datenschutzkonformen Einsatz von KI-Systemen verantwortlich ist.
Datenschutz-Folgenabschätzung (DSFA)
Section titled “Datenschutz-Folgenabschätzung (DSFA)”Eine Datenschutz-Folgenabschätzung ist erforderlich, wenn eine Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten betroffener Personen mit sich bringt.
Beim Einsatz von KI-Systemen kann dies insbesondere der Fall sein bei:
- umfangreicher Profilbildung
- Verarbeitung sensibler Daten
- automatisierten Entscheidungen mit rechtlicher oder vergleichbarer Wirkung
Die DSFA ist eine risikobasierte Einzelfallprüfung und nicht automatisch bei jedem KI-System erforderlich.
Der Einsatz von KI-Systemen unterliegt vollständig den Anforderungen der DSGVO, sofern personenbezogene Daten verarbeitet werden.
Entscheidend ist nicht die Technologie selbst, sondern die konkrete Verarbeitungssituation.
Unternehmen müssen daher insbesondere Transparenz sicherstellen, Datenverarbeitung minimieren, Verantwortlichkeiten klar definieren und geeignete technische sowie organisatorische Maßnahmen implementieren.
KI-Systeme sind datenschutzrechtlich keine gewöhnlichen Softwarelösungen, sondern müssen als eigenständige Verarbeitungssysteme mit erhöhtem Kontroll- und Dokumentationsbedarf behandelt werden.