KI Datenschutz
KI-Lösungen datenschutzkonform im Unternehmen einsetzen
Beim Einsatz von künstlicher Intelligenz (KI) in Unternehmen ist eine ganzheitliche Datenstrategie von entscheidender Bedeutung. Sie legt fest, welche (personenbezogenen) Daten wie verarbeitet werden dürfen, um die datenschutzrechtlichen Anforderungen zu erfüllen und gleichzeitig das volle Potenzial von KI-Technologien auszuschöpfen.
Kostenlose Erstberatung anfordernDatenschutzrechtliche Grundlagen nach DSGVO
Was Sie darüber wissen sollten
KI kann Prozesse effizienter gestalten, neue Geschäftsmodelle ermöglichen und den Kundenservice verbessern. Bei der Optimierung von Abläufen, der Personalisierung von Angeboten oder der Automatisierung von Entscheidungen greifen diese KI-Systeme jedoch häufig auf große Mengen an Daten zu, darunter nicht selten auch personenbezogene Informationen.
Dies wirft entscheidende Fragen hinsichtlich der Einhaltung geltender Datenschutzgesetze, wie Datenschutz-Grundverordnung (DSGVO) und Bundesdatenschutzgesetz (BDSG), auf. Grundlegende Vorgaben der DSGVO betrachten wir nachfolgend genauer.
Rechtsgrundlagen der Verarbeitung (Art. 6 DSGVO)
Die Verarbeitung personenbezogener Daten ist nur erlaubt, wenn eine rechtliche Grundlage vorliegt. Im KI-Kontext kommen insbesondere folgende Grundlagen in Betracht:
- Einwilligung – z.B. bei der Nutzung eines KI-basierten Chatbots für Gesundheitsberatung.
- Vertragserfüllung – etwa bei der Analyse von Bestelldaten für eine automatische Produktempfehlung.
- Berechtigtes Interesse – z.B. beim Einsatz von KI zur Verbesserung der IT-Sicherheit. Hier muss eine Interessenabwägung erfolgen.
KI-Projekte ohne klare Zweckdefinition und Rechtsgrundlage führen schnell zur Unzulässigkeit der gesamten Datenverarbeitung.
Informationspflichten (Art. 13 & 14 DSGVO)
Betroffene Personen müssen darüber informiert werden, welche Daten zu welchem Zweck verarbeitet werden. Ebenso darüber, ob automatisierte Entscheidungen oder KI-Systeme im Einsatz sind. Die DSGVO verlangt dabei:
- Angaben zur Datenquelle (bei indirekter Erhebung)
- Nennung der Empfänger oder Kategorien von Empfängern
- Hinweise auf Übermittlungen in Drittstaaten
- Darstellung der involvierten Logik bei automatisierten Entscheidungen (z.B. bei Scoring-Systemen)
Diese Anforderungen gelten z.B. bei Bewerbungsprozessen mit KI-gestütztem Auswahlverfahren oder personalisierter Werbung.
Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO)
Unternehmen müssen alle Verarbeitungstätigkeiten dokumentieren, das gilt auch für KI-Systeme. Diese Dokumentation ist Grundlage für Transparenz, Kontrollierbarkeit und behördliche Prüfungen.
Auftragsverarbeitung (Art. 28 DSGVO)
Wird eine KI-Lösung von einem externen Anbieter bereitgestellt, der personenbezogene Daten im Auftrag verarbeitet, ist ein Vertrag zur Auftragsverarbeitung notwendig. Darin müssen unter anderem geregelt sein: Umfang und Zweck der Verarbeitung, Sicherheitsmaßnahmen, Weisungsgebundenheit und Unterstützung bei der Wahrung von Betroffenenrechten.
Beispiel: Der Einsatz eines cloudbasierten Textanalyse-Tools aus den USA wird mit einem AV-Vertrag und EU-Standardvertragsklauseln abgesichert.
Datenschutz durch Technikgestaltung (Art. 25 DSGVO)
KI-Systeme müssen von Anfang an datenschutzfreundlich konzipiert sein („Privacy by Design“) – und standardmäßig so eingestellt sein, dass nur notwendige Daten verarbeitet werden („Privacy by Default“). Zwei Beispiele hierfür sind:
- Sprachassistenten, die erst bei manuellem Start aktiv werden.
- Voreinstellungen bei Chatbots, die keine Gesprächsprotokolle speichern.
Sicherheit der Verarbeitung (Art. 32 DSGVO)
Gerade bei KI-Anwendungen, die oft mit sensiblen oder umfangreichen Daten arbeiten, sind technische und organisatorische Maßnahmen (TOMs) erforderlich. Dazu zählen:
- Pseudonymisierung oder Anonymisierung von Eingabedaten
- Zugriffskontrollen
- Verschlüsselung
- Schulung der Mitarbeitenden im sicheren Umgang mit KI-Systemen
Art. 22 DSGVO: Automatisierte Entscheidungen
Automatisierte Einzelentscheidungen, die rechtliche Wirkung entfalten oder eine betroffene Person erheblich beeinträchtigen (z.B. Ablehnung eines Kredits), sind grundsätzlich verboten, es sei denn:
- die Entscheidung ist für den Abschluss oder die Erfüllung eines Vertrags erforderlich
- sie erfolgt mit ausdrücklicher Einwilligung
- sie ist durch EU- oder nationales Recht erlaubt
Zusätzlich müssen gewährleistet sein:
- Information über die involvierte Logik
- Möglichkeit menschlicher Intervention
- Widerspruchsmöglichkeit
Beispiel: Eine KI trifft automatisiert eine Entscheidung über die Versicherungsprämie. Hier greift Art. 22 DSGVO – eine Datenschutz-Folgenabschätzung (DSFA) ist zusätzlich verpflichtend.
Relevanz für die Praxis
Was bedeutet das für Sie?
Bei der Implementierung und Nutzung von KI-Technologien unter Berücksichtigung des Datenschutzes sind zahlreiche Aspekte zu berücksichtigen. Dies ist insbesondere deshalb der Fall, weil KI ein großes Spektrum an Aufgaben übernehmen kann:
Chatbots
Die meist auf Large Language Modellen (LLMs) basierenden Chatbots, wie z.B. ChatGPT, sind vielseitig einsetzbar. Sie können nicht nur Text erzeugen, sondern beispielsweise Recherchen beschleunigen, Unterstützung bei der Entwicklung von Software leisten oder sogar Aufgaben im Kundensupport übernehmen.
Datenschutzrechtliche Risiken gehen vor allem mit dem verwendeten Trainingsmaterial einher. Large Language Modelle werden mit solch umfassenden Datenmengen trainiert, sodass personenbezogene Daten darin so gut wie immer enthalten sind. Entsprechend besteht die Gefahr, dass solche Daten ausgegeben und auf unzulässige Weise verarbeitet werden.
Generative KI
KI-Systeme können nicht nur Text erzeugen, sondern ebenso Bilder, Videos und Toninhalte. Auch hier besteht das Risiko, dass sich personenbezogene Daten im Trainingsmaterial befinden und diese im finalen Ergebnis wiederfinden. Die Verwendung von Bildern oder Stimmen real existierender Personen kann einen erheblichen Eingriff in deren Persönlichkeitsrechte darstellen.
Emotionserkennung
Einige Callcenter setzen KI zur Auswertung von Kundengesprächen ein. Moderne Systeme können in Echtzeit analysieren, wie es um die Emotionen der Anrufer und der Callcenter-Agents steht. Auch diese Methode greift in die Privatsphäre der Betroffenen ein, was einen datenschutzkonformen Einsatz zur großen Herausforderung machen kann.
Profiling
Profiling ist gemäß Art. 4 Nr. 4 DSGVO die automatisierte Verarbeitung personenbezogener Daten zur Bewertung bestimmter Aspekte, etwa wirtschaftlicher Lage, Interessen oder Verhalten. Wenn daraus automatisierte Entscheidungen mit erheblicher Wirkung erfolgen (z.B. Ablehnung eines Kredits), sind strenge Anforderungen zu beachten (Art. 22 DSGVO), etwa Transparenz und Widerspruchsrecht. Der Einsatz solcher KI-Lösungen will gut begründet bzw. auf valide Zwecke gestützt sein, da andernfalls Datenschutzvorfälle drohen.
Medizinische Analyse
Moderne KI-Lösungen heben die Auswertung von Gesundheitsdaten auf ein ganz neues Niveau. Bei der Auswertung von Röntgenbildern oder MRT-Daten können derartige Systeme dem Auge eines Facharztes überlegen sein und damit Menschenleben retten. Doch gerade beim Umgang mit Gesundheitsdaten sollte größte Vorsicht angebracht sein, um nicht gegen die DSGVO zu verstoßen.
Gesichtserkennung / Erfassung und Auswertung biometrischer Daten
KI-Systeme werten biometrische Zugangskontrollen zu Geräten und Räumlichkeiten spürbar auf. Personen werden besser erkannt, was Komfort und Sicherheit gleichermaßen erhöht. Allerdings wissen Nutzer solcher Systeme häufig nicht, wie häufig, wo und wie lange die erfassten Daten (z.B. Portraits, Fingerabdrücke oder Sprachaufnahmen) gespeichert werden.
Rollenwechsel beim Einsatz von KI-Systemen
Ein häufig unterschätzter Aspekt beim Einsatz von KI ist die Veränderung der datenschutzrechtlichen und regulatorischen Rolle eines Unternehmens. Während viele Unternehmen davon ausgehen, „nur Nutzer“ einer Lösung zu sein, können bestimmte Handlungen dazu führen, dass sie rechtlich gesehen als Anbieter im Sinne der KI-Verordnung gelten. Ein Rollenwechsel tritt insbesondere dann ein, wenn:
- ein Unternehmen ein bereits auf dem Markt befindliches KI-System unter eigener Marke vertreibt,
- wesentliche Änderungen an einem bestehenden KI-System vorgenommen werden (z.B. durch Nachtraining oder Funktionsanpassung), oder
- der Einsatzzweck der KI geändert wird, etwa von einer internen Textanalyse hin zur Kundeninteraktion, wodurch das System nun in den Bereich der Hochrisiko-KI fällt.
Solche Änderungen führen dazu, dass das Unternehmen nicht mehr nur „Betreiber“, sondern rechtlich verantwortlich als Anbieter eines KI-Systems gilt. Damit greifen zusätzliche Anforderungen aus der KI-Verordnung, insbesondere zur Konformitätsbewertung, technischen Dokumentation, Registrierung und Überwachungspflicht.
Schon bei der Einführung eines KI-Systems sollten Unternehmen klären, wie weit sie in die Entwicklung oder Modifikation eingreifen. Werden Systeme angepasst oder neu konfiguriert, sollte geprüft werden, ob daraus neue Pflichten entstehen. Andernfalls droht die unbeabsichtigte Übernahme von Anbieterverantwortung, inklusive Haftungsrisiken und Bußgeldern bei Verstößen.
Von der Herausforderung zur Lösung
Wichtige Aspekte der Umsetzung
Der Einsatz von KI-Systemen birgt datenschutzrechtliche Risiken und Hürden, deren Spektrum breit gefächert ist.
- Unzulässige Verarbeitungen
KI-Tools verfügen über beeindruckende Fähigkeiten. Doch nicht alle Fähigkeiten dürfen in der Praxis uneingeschränkt eingesetzt werden, da sie personenbezogene Daten auf unzulässige Weise verarbeiten. Ein Beispiel hierfür sind Tools, die den Gefühlszustand von Kunden oder Mitarbeitern feststellen. - Unbemerkte / versteckte Verarbeitungen
Für Anwender sind die meisten KI-Systeme eine Blackbox. Sie erhalten ein Ergebnis ohne sagen zu können, wie es vom System erzeugt wurde. Bei der Erarbeitung der Ergebnisse besteht das Risiko, dass unbemerkt personenbezogene Daten verarbeitet werden. - Datenübermittlung in das Ausland
Manche KI-Software führt ihre Berechnungen nicht lokal, sondern auf Servern des Anbieters aus. Hier droht die Übermittlung personenbezogener Daten auf fremde Systeme, die sich womöglich außerhalb des Landes oder gar außerhalb der EU befinden.
Interessante Fragestellungen
Aus Sicht des Datenschutzes können einzelne KI-Anwendungen verschiedene Fragen aufwerfen. Exemplarisch stellen wir nachfolgend drei Fragen vor.
Bei wem liegt die Verantwortlichkeit?
Essentiell ist die Frage, wer für die Verarbeitung der personenbezogenen Daten verantwortlich ist. Leider ist sie gar nicht immer so leicht zu klären. Je nach Anwendungsfall kann sie beim Anbieter des Tools liegen, ebenso ist es möglich, dass eine gemeinsame Verantwortlichkeit von Anbieter und Nutzer (im Sinne des Unternehmens) vorliegt oder schlichtweg eine Auftragsverarbeitung festzustellen ist. Eine vertragliche Klärung der Rollen sowie deren Abbildung im Verzeichnis von Verarbeitungstätigkeiten ist unerlässlich, insbesondere beim Einsatz externer KI-Dienstleister oder beim Bezug cloudbasierter KI-Anwendungen.
Gerade bei cloudbasierten KI-Systemen, bei denen der Anbieter personenbezogene Nutzerdaten zum Training oder zur Verbesserung der Modelle verwendet, ist häufig eine gemeinsame Verantwortlichkeit gemäß Art. 26 DSGVO anzunehmen. In solchen Fällen müssen beide Parteien gemeinsam über Zwecke und Mittel der Verarbeitung entscheiden und dies in einer klaren Vereinbarung dokumentieren. Eine transparente Kommunikation gegenüber den betroffenen Personen ist verpflichtend, etwa durch abgestimmte Datenschutzhinweise.
Wie lassen sich Betroffenenrechte wahren?
Im Hinblick auf die DSGVO ist es entscheidend, die Betroffenenrechte (z.B. Recht auf Auskunft oder Recht auf Löschung der Daten) zu wahren. Doch wie bereits erwähnt, ist künstliche Intelligenz in manchen Fällen eine Blackbox. Unternehmen können womöglich nicht immer sagen, ob und wo personenbezogene Daten gespeichert werden. In solchen Fällen ist es schwierig, Auskunft zu geben oder Daten zu löschen.
Einige KI-Modelle lassen sich technisch nicht so rückgängig machen, dass einzelne Trainingsdaten vollständig gelöscht werden können. Hier besteht ein Konflikt mit dem Recht auf Löschung, das technisch-organisatorisch abgefangen werden muss, z.B. durch restriktive Trainingsdatenwahl oder den Verzicht auf personenbezogene Trainingsdaten.
Datenschutz-Folgenabschätzung bei KI
Eine DSFA ist regelmäßig erforderlich, wenn KI-Systeme sensible Daten verarbeiten, automatisierte Entscheidungen treffen oder systematisch Personen bewerten. Sie ist nicht nur ein formaler Schritt, sondern dient der strukturierten Bewertung und Risikominderung.
Worauf ist beim Umgang mit Trainingsdaten zu achten?
Trainingsdaten sind entscheidend für die Verbesserung von KI-Algorithmen. Dabei ist der datenschutzkonforme Umgang mit diesen Daten komplex und erfordert von Unternehmen, die Herkunft der Daten zu klären und sicherzustellen, dass keine unrechtmäßig erhobenen personenbezogenen Daten verwendet werden. Dies beinhaltet die Prüfung auf notwendige Lizenzen oder Einwilligungen, besonders bei urheberrechtlich geschützten Inhalten wie Fotos oder Sprachaufnahmen.
Zudem muss festgelegt werden, was nach der Verarbeitung mit den Daten geschieht, beispielsweise ob personenbezogene Daten dem Anwender zugänglich gemacht werden. Eine Alternative stellt die Nutzung synthetischer oder anonymisierter Daten dar.
Praktische Empfehlungen vor dem KI-Einsatz
Bevor ein KI-System im Unternehmen eingeführt wird, lohnt sich ein genauer Blick auf die technischen Rahmenbedingungen, die Datenschutzkonformität und die Einsatzumgebung. Denn viele Risiken lassen sich bereits im Vorfeld durch gezielte Maßnahmen verringern.
| Empfehlung | Details |
|---|---|
Transparenz sicherstellen |
Prüfung vor dem Einsatz, ob das System die nötige Transparenz bietet. Dazu gehört, dass die Dokumentation des Anbieters nachvollziehbar darlegt, welche Daten verarbeitet werden, wie die Funktionsweise der KI aussieht und welche Garantien zur Einhaltung der DSGVO gegeben werden. Gerade bei generativen KI-Modellen ist es wichtig, die Herkunft des Trainingsmaterials zu kennen und Risiken wie Output-Bias oder unkontrollierte Reproduktion personenbezogener Inhalte zu verstehen. |
Technische Absicherung des Einsatzes |
KI-Systeme sollten möglichst in einer geschützten Umgebung betrieben werden. Wenn ein KI-Tool über eine Online-Schnittstelle genutzt wird, empfiehlt es sich, den Zugang technisch abzusichern, z.B. durch Authentifizierungsmechanismen, Zugriffsbeschränkungen oder eine vom Hauptsystem getrennte Testumgebung. |
Organisatorische Maßnahmen und Schulung |
Viele Datenschutzvorfälle bei KI entstehen nicht durch Technikfehler, sondern durch Fehlbedienung oder Unklarheiten in der Anwendung. Damit Mitarbeitende das System korrekt bedienen und Datenschutzvorgaben einhalten, sind interne Regelungen und Schulungen unerlässlich. |
Phasen der KI-Implementierung
Die erfolgreiche Implementierung von KI in Unternehmen erfolgt am besten in vier Phasen:
- Discovery-Phase: Erkundung verschiedener Anwendungsfälle und Identifikation potenzieller Einsatzmöglichkeiten in Ihrem Unternehmen.
- Engineering-Phase: Entwicklung erster Prototypen auf Basis vorhandener Ideen und Daten unter Nutzung unseres Know-hows und unserer Kapazitäten.
- Productive-Phase: Umsetzung der entwickelten Lösungen in die Praxis, um einen echten Mehrwert zu schaffen.
- Support-Phase: Kontinuierliche Überwachung und Optimierung der verwendeten Daten und des generierten Outputs, um nachhaltige Ergebnisse zu erzielen.
Unser Angebot
Ihr Partner und Dienstleister in Sachen Datenschutz
Der Einsatz KI-gestützter Systeme ist mit erheblichen datenschutzrechtlichen Herausforderungen verbunden. Welche Fragen zu klären sind, hängt vom jeweiligen Anwendungsszenario ab. Die Praxis zeigt, dass für die Erarbeitung einer umfassenden Datenschutzlösung verschiedene Perspektiven eingenommen werden müssen.
Wir sind der richtige Partner, wenn es um die datenschutzkonforme Einführung und Nutzung von KI in Ihrem Unternehmen geht. Mit unserer Expertise und Erfahrung unterstützen wir Sie bei allen Herausforderungen und sorgen dafür, dass Sie das volle Potenzial von KI-Technologien sicher und effizient nutzen.
- Entwicklung interner Richtlinien für Responsible AI
- Audit zum Stand der Umsetzung regulatorischer Anforderungen
- Durchführung von Datenschutz-Folgenabschätzungen
- Risikoeinstufung des KI-Systems und Ableitung notwendiger Maßnahmen gemäß AI Act
- Beratung zu Privacy by Design und Responsible AI by Design
- Beratung zu weiteren technischen und organisatorischen Maßnahmen, Best Practices und Standards
- Mitarbeiterschulungen zu rechtlichen und ethischen Aspekten des Einsatzes von KI
Ihre Experten für KI-Datenschutz
Die Herold Unternehmensberatung ist die richtige Wahl, wenn Sie datenschutzkonforme KI-Lösungen entwickeln oder einsetzen möchten. Wir unterstützen Sie dabei, rechtliche Anforderungen frühzeitig zu berücksichtigen und geeignete Maßnahmen zum Schutz personenbezogener Daten umzusetzen. Vereinbaren Sie jetzt Ihre kostenlose Erstberatung und erfahren Sie, wie Sie Datenschutz und KI verantwortungsvoll in Einklang bringen.
Bereit für den nächsten Schritt?
Kontaktieren Sie uns, um mehr über unsere Dienstleistungen zu erfahren oder ein unverbindliches Angebot zu erhalten. Sie erreichen uns unter 0800 5600831 (gebührenfrei) und über unser Kontaktformular.