Beim Einsatz von Künstlicher Intelligenz (KI) in Unternehmen ist eine umfassende Datenstrategie von entscheidender Bedeutung. Diese Strategie legt klar fest, welche Daten wie verarbeitet werden dürfen, um nicht nur die rechtlichen Anforderungen zu erfüllen, sondern auch das volle Potenzial von KI-Technologien auszuschöpfen.

Anwendungsfelder von KI in Unternehmen

Künstliche Intelligenz bietet vielfältige Einsatzmöglichkeiten, die den Unternehmensalltag verändern können.

  • KI im Kundenservice
    Automatisierung wiederkehrender Aufgaben zur Effizienzsteigerung und Verbesserung der Kundenbetreuung.
  • KI im Marketing
    Erstellung passgenauer Angebote für Kunden durch intelligente Datenanalysen und Prognosen.
  • KI als Sicherheitsfaktor
    Erkennen und Vermeiden von Fehlern und Sicherheitslücken durch präzises Monitoring und Analysen.
  • Geschäftsprozesse automatisieren
    Effiziente Gestaltung und Optimierung von Geschäftsprozessen durch KI.
  • KI-basierte Vorhersage
    Optimierung von Wartung und Lagerhaltung durch präzise Vorhersagen.
  • Computer-Auditing
    Verarbeitung und Umwandlung von Sprachdaten zur Verbesserung der Kommunikation und Datenanalyse.

Beispiele für den Datenschutz beim Einsatz künstlicher Intelligenz

KI-Lösungen sind für den Einsatz in unterschiedlichsten Unternehmensbereichen erhältlich. Nachfolgend stellen wir einige Einsatzfelder und Berührungspunkte mit dem Datenschutz vor.

Chatbots

Die meist auf Large Language Modellen (LLMs) basierenden Chatbots, wie z.B. ChatGPT, sind vielseitig einsetzbar. Sie können nicht nur Text erzeugen, sondern beispielsweise Recherchen beschleunigen, Unterstützung bei der Entwicklung von Software leisten oder sogar Aufgaben im Kundensupport übernehmen.

Datenschutzrechtliche Risiken gehen vor allem mit dem verwendeten Trainingsmaterial einher. Large Language Modelle werden mit solch umfassenden Datenmengen trainiert, sodass personenbezogene Daten darin so gut wie immer enthalten sind. Entsprechend besteht die Gefahr, dass solche Daten ausgegeben und auf unzulässige Weise verarbeitet werden.

Generative KI

KI-Systeme können nicht nur Text erzeugen, sondern ebenso Bilder, Videos und Toninhalte. Auch hier besteht das Risiko, dass sich personenbezogene Daten im Trainingsmaterial befinden und diese im finalen Ergebnis wiederfinden. Die Verwendung von Bildern oder Stimmen real existierender Personen kann einen erheblichen Eingriff in deren Persönlichkeitsrechte darstellen.

Emotionserkennung

Einige Callcenter setzen KI zur Auswertung von Kundengesprächen ein. Moderne Systeme können in Echtzeit analysieren, wie es um die Emotionen der Anrufer und der Callcenter-Agents steht. Auch diese Methode greift in die Privatsphäre der Betroffenen ein, was einen datenschutzkonformen Einsatz zur großen Herausforderung machen kann.

Profiling

Durch die Zusammenführung von Daten (z.B. aus der Einkaufshistorien) ist es möglich, Kundenprofile zu erstellen, die beispielsweise Auskunft über Interessen und Vorlieben geben. Der Einsatz solcher KI-Lösungen will gut begründet bzw. auf valide Zwecke gestützt sein, da andernfalls Datenschutzvorfälle drohen.

Medizinische Analyse

Moderne KI-Lösungen heben die Auswertung von Gesundheitsdaten auf ein ganz neues Niveau. Bei der Auswertung von Röntgenbildern oder MRT-Daten können darartige Systeme dem Auge eines Facharztes überlegen sein und damit Menschenleben retten. Doch gerade beim Umgang mit Gesundheitsdaten sollte größte Vorsicht angebracht sein, um nicht gegen die DSGVO zu verstoßen.

Gesichtserkennung / Erfassung und Auswertung biometrischer Daten

KI-Systeme werten biometrische Zugangskontrollen zu Geräten und Räumlichkeiten spürbar auf. Personen werden besser erkannt, was Komfort und Sicherheit gleichermaßen erhöht. Allerdings wissen Nutzer solcher Systeme häufig nicht, wie häufig, wo und wie lange die erfassten Daten (z.B. Portraits, Fingerabdrücke oder Sprachaufnahmen) gespeichert werden.

Rechtsgrundlagen für den Einsatz von KI

Beim Einsatz von KI müssen Unternehmen strenge rechtliche Grundlagen beachten. Beispielsweise darf KI keine autonomen Entscheidungen treffen, die erhebliche Auswirkungen auf Menschen haben. Die Einhaltung dieser rechtlichen Rahmenbedingungen ist unerlässlich, um die Integrität und Fairness von KI-Systemen zu gewährleisten.

Um den Datenschutz beim Einsatz von KI zu gewährleisten, bedarf es klarer interner Richtlinien. In vielen Fällen ist es notwendig, Datenschutz-Folgenabschätzungen durchzuführen, um mögliche Risiken zu identifizieren und zu minimieren. Diese Maßnahmen sind entscheidend, um einen datenschutzkonformen Einsatz von KI zu gewährleisten.

Datenschutzrechtliche Risiken und Stolpersteine beim Einsatz von KI-Lösungen

Der Einsatz von KI-Systemen birgt datenschutzrechtliche Risiken und Hürden, deren Spektrum breit gefächert ist.

  • Unzulässige Verarbeitungen
    KI-Tools verfügen über beeindruckende Fähigkeiten. Doch nicht alle Fähigkeiten dürfen in der Praxis uneingeschränkt eingesetzt werden, da sie personenbezogene Daten auf unzulässige Weise verarbeiten. Ein Beispiel hierfür sind Tools, die den Gefühlszustand von Kunden oder Mitarbeitern feststellen.
  • Unbemerkte / versteckte Verarbeitungen
    Für Anwender sind die meisten KI-Systeme eine Blackbox. Sie erhalten ein Ergebnis ohne sagen zu können, wie es vom System erzeugt wurde. Bei der Erarbeitung der Ergebnisse besteht das Risiko, dass unbemerkt personenbezogene Daten verarbeitet werden.
  • Datenübermittlung in das Ausland
    Manche KI-Software führt ihre Berechnungen nicht lokal, sondern auf Servern des Anbieters aus. Hier droht die Übermittlung personenbezogener Daten auf fremde Systeme, die sich womöglich außerhalb des Landes oder gar außerhalb der EU befinden.
  • Unzulässiges Profiling
    Beim Profiling werden Daten (oft aus verschiedenen Quellen) zusammengeführt, um Personenprofile zu erstellen. Diese Profile können z.B. Auskunft über Interessen und Vorlieben der Betroffenen geben. Je nach Situation kann dieser Zweck der Verarbeitung jedoch unzulässig sein.

Interessante Fragestellungen

Aus Sicht des Datenschutzes können einzelne KI-Anwendungen verschiedene Fragen aufwerfen. Exemplarisch stellen wir nachfolgend drei Fragen vor.

Bei wem liegt die Verantwortlichkeit?

Essentiell ist die Frage, wer für die Verarbeitung der personenbezogenen Daten verantwortlich ist. Leider ist sie gar nicht immer so leicht zu klären. Je nach Anwendungsfall kann sie beim Anbieter des Tools liegen, ebenso ist es möglich, dass eine gemeinsame Verantwortlichkeit von Anbieter und Nutzer (im Sinne des Unternehmens) vorliegt oder schlichtweg eine Auftragsverarbeitung festzustellen ist. Pauschal lässt sich dies in den wenigsten Fällen sagen, was fast immer eine genaue Einzelfallprüfung notwendig macht.

Wie lassen sich Betroffenenrechte wahren?

Im Hinblick auf die DSGVO ist es entscheidend, die Betroffenenrechte (z.B. Recht auf Auskunft oder Recht auf Löschung der Daten) zu wahren. Doch wie bereits erwähnt, ist künstliche Intelligenz in manchen Fällen eine Blackbox. Unternehmen können womöglich nicht immer sagen, ob und wo personenbezogene Daten gespeichert werden. In solchen Fällen ist es schwierig, Auskunft zu geben oder Daten zu löschen.

Worauf ist beim Umgang mit Trainingsdaten zu achten?

Trainingsdaten helfen bei der Verbesserung von KI-Algorithmen. Der datenschutzkonforme Umgang mit Datensätzen für das KI-Training ist jedoch ein äußerst umfassendes und komplexes Thema. Insbesondere sollte geklärt sein, woher das Datenmaterial stammt und - sofern es personenbezogene Daten enthält - dafür Einwilligungen vorliegen. Ebenso ist zu klären, was nach der Verarbeitung geschieht und beispielsweise personenbezogene Daten dem Anwender bereitgestellt werden.

Phasen der KI-Implementierung

Die erfolgreiche Implementierung von KI in Unternehmen erfolgt am besten in vier Phasen:

  • Discovery-Phase
    Erkundung verschiedener Anwendungsfälle und Identifikation potenzieller Einsatzmöglichkeiten in Ihrem Unternehmen.
  • Engineering-Phase
    Entwicklung erster Prototypen auf Basis vorhandener Ideen und Daten unter Nutzung unseres Know-hows und unserer Kapazitäten.
  • Productive-Phase
    Umsetzung der entwickelten Lösungen in die Praxis, um einen echten Mehrwert zu schaffen.
  • Support-Phase
    Kontinuierliche Überwachung und Optimierung der verwendeten Daten und des generierten Outputs, um nachhaltige Ergebnisse zu erzielen.

KI datenschutzkonform einsetzen - so helfen wir Ihnen

Der Einsatz KI-gestützter Systeme ist mit erheblichen datenschutzrechtlichen Herausforderungen verbunden. Welche Fragen zu klären sind, hängt vom jeweiligen Anwendungsszenario ab. Die Praxis zeigt, dass für die Erarbeitung einer umfassenden Datenschutzlösung verschiedene Perspektiven eingenommen werden müssen.

Wir sind der richtige Partner, wenn es um die datenschutzkonforme Einführung und Nutzung von KI in Ihrem Unternehmen geht. Mit unserer Expertise und Erfahrung unterstützen wir Sie bei allen Herausforderungen und sorgen dafür, dass Sie das volle Potenzial von KI-Technologien sicher und effizient nutzen können.

  • Entwicklung interner Richtlinien für Responsible AI
  • Audit zum Stand der Umsetzung regulatorischer Anforderungen
  • Durchführung von Datenschutz-Folgenabschätzungen
  • Risikoeinstufung des KI-Systems und Ableitung notwendiger Maßnahmen gemäß AI Act
  • Beratung zu Privacy by Design und Responsible AI by Design
  • Beratung zu weiteren technischen und organisatorischen Maßnahmen, Best Practices und Standards
  • Mitarbeiterschulungen zu rechtlichen und ethischen Aspekten des Einsatzes von KI

Wenn auch Sie KI-Lösungen einsetzen möchten und Rat zu den datenschutzrechtlichen Fragestellungen benötigen, sind Sie bei uns genau richtig. Gerne erarbeiten wir gemeinsam mit Ihnen eine Lösung. Nutzen Sie unsere kostenlose Erstberatung, um mehr zu erfahren.