Stellen Sie sich vor, Ihr neuer Kollege ist ein Roboter. Er organisiert Meetings, beantwortet Kundenanfragen in Sekundenschnelle und schlägt Ihnen sogar vor, welche Aufgaben Sie als nächstes angehen sollten. Willkommen in der Welt der KI im Arbeitsumfeld!
Worum geht’s: Datenschutzanforderungen bei KI
1. Datenschutzbeauftragten einbinden
2. Zweckfestlegung und Rechtmäßigkeit sowie Risikoabschätzung
3. Transparenz ist geboten, Verträge sind abzuschließen
4. Zusammenfassung der erforderlichen Maßnahmen und weitere Tipps
In der neuen Realität bringt KI unzählige Vorteile mit sich, von der Effizienzsteigerung bis hin zur verbesserten Kommunikation. Hinsichtlich der Effizienzsteigerung ist derzeit bspw. der Microsoft365(M365)-Copilot von praktischer Relevanz.
Laut statistischem Bundesamt nutzt bereits etwa jedes achte Unternehmen (12%) mit mindestens zehn Beschäftigten KI. Bei den Großunternehmen ist es sogar jedes dritte Unternehmen (35%).[1]
Doch bei all den Vorteilen dürfen Unternehmen die datenschutzrechtlichen Herausforderungen nicht außer Acht lassen. Denn sobald eine KI personenbezogene Daten verarbeitet, stehen Unternehmen in der Pflicht, die strengen Bestimmungen nach der Datenschutzgrundverordnung (DSGVO) einzuhalten.
Bei Überlegungen zur Einführung einer KI ist für Unternehmen die Einbindung des Datenschutzbeauftragten entscheidend. Dieser hat die Aufgabe, Ihnen bei allen Datenschutzfragen beratend zur Seite zu stehen und ist daher der erste Ansprechpartner bei Datenschutzfragen rund um die Einführung einer KI.
Legen Sie die Zwecke der KI vorab fest und ermitteln Sie mit ihrem Datenschutzbeauftragten die Rechtsgrundlage der Datenverarbeitung!
Gemeinsam mit dem Datenschutzbeauftragten sind die Zwecke für die KI festzulegen. Im Beispiel von M365-Copilot ist dies häufig eine Erleichterung der Arbeitsschritte oder die Effizienzsteigerung. Es ist dann vor allem zu überlegen und am besten auch zu dokumentieren, welche personenbezogenen Daten der Nutzer und den anderen Betroffenen hierfür erforderlich sind.
Kommt man dann zu dem Ergebnis, dass z.B. die Namen, Mailadressen u.Ä. erforderlich sind, ist sich die von Unternehmen allseits beliebte Frage zu stellen: Darf ich diese Daten verarbeiten? Hierbei kommen einige Möglichkeiten in Betracht. Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg hat hierzu eine Übersicht erstellt.[2] Bei den o.g. Zwecken zu M365-Copilot wird häufig das berechtigte Interesse oder eine Einwilligung der betroffenen Personen in Betracht kommen.
Um die Risiken für den KI-Einsatz abschätzen zu können, ist zu empfehlen, vor der Einführung einer KI auch eine sog. Datenschutzfolgenabschätzung (DSFA) durchzuführen. Diese ist im Datenschutzrecht in bestimmten Fällen vorgeschrieben und erscheint aufgrund der Vielseitigkeit von KI in jedem Fall sinnvoll. Hierbei kann Ihnen ihr Datenschutzbeauftragter helfen.
Schon wieder eine Datenschutzerklärung? Ja, aber dieses Mal spezifisch zur KI.
Die Nutzer und andere Betroffenen sind außerdem über die Datenverarbeitungen im Rahmen der KI zu informieren. Jeder kennt das schon von Datenschutzerklärungen und anderen Hinweisen, die auf Webseiten abrufbar sind oder bei einem neuen Vertragsabschluss zugesandt werden. Eine Informationsmöglichkeit für Mitarbeiter kann dabei z.B. eine Information über die Betriebsvereinbarung sein, sofern eine Arbeitnehmervertretung vorhanden ist und eine Vereinbarung zum Thema KI geschlossen wird.
Je nach dem, wie Sie die KI implementieren, kann es außerdem nötig sein, einen sog. Auftragsverarbeitungsvertrag (AVV) mit dem Anbieter oder anderen Dienstleistern abzuschließen. Microsoft stellt hierfür bspw. ein Data Protection Addendum (DPA) zur Verfügung. Ein derartiger Vertrag dient der Absicherung ihrer personenbezogenen Daten. Zur weiteren Absicherung sind zusätzliche Maßnahmen umzusetzen. Unternehmen sollten auf geschlossene KI-Systeme setzen und u.a. datenschutzgerechte Einstellungen sowie Berechtigungs- und Löschkonzepte integrieren.
Welche Maßnahmen sind aus datenschutzrechtlicher Sicht also insbesondere bei der Implementierung einer KI im Unternehmen regelmäßig zu beachten?
- Frühzeitige Einbindung des Datenschutzbeauftragten
- Durchführung einer Datenschutz-Folgenabschätzung vor der Implementierung der KI
- Dokumentation und Aufnahme in das Verzeichnis aller Verarbeitungstätigkeiten
- Sicherstellung der Legitimation und Überprüfung des Trainings der KI
- Treffen von internen Regelungen
- Wahrung der Transparenz
- Ggfls. Abschluss von datenschutzrechtlichen Verträgen (AVV)
- Sicherstellung der Datensicherheit durch spezifische technische und organisatorische Maßnahmen (Berechtigungs- und Löschkonzepte, Datenminimierung, geschlossenes System, Privacy-by-Default, etc.)
- Schaffung von Strukturen zur Erfüllung der Betroffenenrechte
Weiterführende Tipps finden Sie auch in der aktuellen Orientierungshilfe der Datenschutzkonferenz (DSK) zum Thema KI[3] sowie in der Checkliste des Bayerischen Landesamt für Datenschutzaufsicht[4].Mit der steigenden Nachfrage nach KI wächst auch der Bedarf an datenschutzrechtlicher Unterstützung. Die bevorstehende KI-Verordnung der Europäischen Union wird zusätzliche Anforderungen an Unternehmen stellen.
Dieser Artikel ist im Sommer 2024 in der 31. Ausgabe des Stadtglanz Magazin erschienen
Anna Bauer (LL.M.)
Wirtschaftsjuristin und Bereichsleiterin des Bereichs Datenschutz und Compliance
Anna Bauer ist bereits seit einigen Jahren in der Datenschutzberatung tätig und hat die Stellung als Bereichsleiterin bei der LINET Services GmbH inne. Sie und das restliche Team des Datenschutz- und Compliance-Bereichs beraten und unterstützen insbesondere mittelständische Unternehmen, aber auch Unternehmen in Konzernstrukturen sowie öffentliche Stellen in der Region bei der Umsetzung der DSGVO sowie anderer Compliance-Themen.
[1] https://www.destatis.de/DE/Presse/Pressemitteilungen/2023/11/PD23_453_52911.html
[2] https://www.baden-wuerttemberg.datenschutz.de/rechtsgrundlagen-datenschutz-ki/