Datenschutzrechtliche Anforderungen beim Einsatz von KI
Die KI ist in vielen Unternehmen bereits angekommen und beeinflusst unseren Arbeitsalltag jetzt schon maßgeblich. Obwohl die Rechtsunsicherheiten um die KI in großen Teilen weiterhin bestehen, haben sich immer mehr Aufsichtsbehörden mit Positionspapieren, Checklisten und Hilfestellungen für den Einsatz von KI Systemen geäußert.
Meinungen der Aufsichtsbehörden
So hat auch der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg eine Kurz-Checkliste zur Verarbeitung personenbezogener Daten in KI-Systemen veröffentlicht:
https://www.baden-wuerttemberg.datenschutz.de/rechtsgrundlagen-datenschutz-ki/#x_kurz-checkliste_zur_verarbeitung
Zu prüfen sind demnach folgende Punkte:
- Phase in der die Verarbeitung von Daten stattfindet
- Anwendungsbereich der DSGVO prüfen
- Verantwortlichkeiten festlegen
- Rechtsgrundlage bestimmen
- Einhaltung weiterer Pflichten aus der DSGVO insbesondere Art. 5 DSGVO sicherstellen
Auch das BayLDA hat sich bereits mit einer ausführlichen Checkliste zum Einsatz von KI geäußert. Enthalten sind hier auch Prüfpunkte, für den Fall, dass selbst ein KI-Modell erstellt wird.
(https://www.lda.bayern.de/media/ki_checkliste.pdf)
Hierbei sollte der Ersteller insbesondere auf folgende Punkte achten:
- Art der KI-Technologie
- Bewertung der Trainingsdaten (personenbezogen ja/nein, ist auch ein Training mit anonymen, synthetischen oder pseudonymen Daten möglich?)
- Rechtsgrundlage für die Verwendung personenbezogener Trainingsdaten
- Aufbereitung und weitere Maßnahmen zur Qualität der Trainingsdaten
- VVZ für das Training des KI-Modells
- Datenschutzfolgeabschätzung
- Erstellung eines Risikomodells
Explizit wird weiterhin auf die Grundsätze der DSGVO verwiesen. Hierzu gehört insbesondere auch die Rechenschaftspflicht. Als Unternehmen müssen Sie demnach die Einhaltung der Grundsätze aus Art. 5 DSGVO in dokumentierter Form nachweisen können!
Einhaltung der Rechenschaftspflicht
Egal ob Sie ein KI-Modell erstellen oder nur anwenden, die Grundsätze der DSGVO und damit auch die Rechenschaftspflicht müssen in jedem Fall eingehalten werden.
Die Behörden empfehlen für den Einsatz von KI folgendes Vorgehen:
- Arbeitsanweisungen und Schulungen zum Umgang mit KI
- restriktive Nutzung der KI ohne Eingabe von personenbezogenen Daten
- der Nutzung der eingegebenen Daten zum Zwecke des Maschinen Learnings gegenüber des KI-Anbieters widersprechen
- Transparenz schaffen
- Risikoanalyse durchführen
- Alle vom Anbieter angebotenen „Opt-outs“ auch durch gesondert angebotenes Formular nutzen
Bei Beachtung und Umsetzung dieser Vorgaben ist ein Mindestrahmen für die Nutzung von KI im Unternehmen geschaffen. Selbstverständlich sind damit nicht alle rechtlichen Risiken beseitigt. Das Beispiel Microsoft 365 zeigt aber, dass dies eben nicht immer möglich ist und zur eigenen Absicherung gewisse Mindeststandards eingehalten werden müssen.
Wir empfehlen daher unter anderem:
- Erstellung einer KI-Richtlinie für Ihr Unternehmen
- Verträge mit den Anbietern genau prüfen und auch abschließen (AVV, SCC inkl. TIA)
- Beschreibung der konkreten KI-Prozesse in Verarbeitungsverzeichnissen
- Datenschutzkonforme Konfiguration der Datennutzung durch die KI
- Risikoanalyse / Datenschutzfolgenabschätzung
- Information der betroffenen Personen über den Einsatz von KI. Art. 12, 13 DSGVO
Falls Sie in Ihrem Unternehmen hier einen Handlungsbedarf sehen, können Sie gerne jederzeit auf uns zukommen, um ein weiteres Vorgehen gemeinsam zu besprechen.
Download Artikel: Datenschutzrechtliche Anforderungen beim Einsatz von KI