Bayreuth, 22.02.2024 - Die Integration von künstlicher Intelligenz (KI) in Unternehmen hat in den letzten Jahren stark zugenommen und bietet zahlreiche Möglichkeiten zur Effizienzsteigerung, Automatisierung von Prozessen und verbesserten Entscheidungsfindung. Jedoch müssen Unternehmen beim Einsatz von KI-Technologien die Bestimmungen der Datenschutz-Grundverordnung (DSGVO) beachten, um die Rechte und den Schutz personenbezogener Daten zu gewährleisten. In diesem Artikel untersuchen wir die rechtlichen Aspekte des KI-Einsatzes in Unternehmen unter Berücksichtigung der DSGVO und bieten Praxisempfehlungen zur Einhaltung der Vorschriften.
Die besonderen Anforderungen bei der Entwicklung eigener KI-Software und dem Training von KI-Anwendungen mit personenbezogenen Daten werden in diesem Beitrag nicht betrachtet.
1. Transparenz
Gemäß Art. 5 Abs. 1 lit. a) und Art.12 ff. DSGVO müssen personenbezogene Daten transparent verarbeitet werden.
Betroffene Personen müssen den Verarbeitungsprozess nachvollziehen können. Dies erfordert von Unternehmen, leicht zugängliche und verständliche Informationen über die Datenverarbeitung bereitzustellen und die involvierte Logik offenzulegen. Insbesondere beim Einsatz von KI-Systemen, die große Datenmengen verarbeiten, ist die Einhaltung der Transparenzpflichten von entscheidender Bedeutung, so dass betroffene Personen die Risiken der Datenverarbeitung abschätzen können.
Unternehmen sollten sicherstellen, dass betroffene Personen über den Einsatz von KI informiert werden und verstehen können, wie ihre Daten verwendet werden. Der Einsatz von KI ist somit in die Datenschutzinformation aufzunehmen. Auch bei der Einholung von Einwilligungen muss zur Wirksamkeit umfassend über den Einsatz von KI informiert werden.
2. Datenminimierung
Ein weiterer wichtiger Grundsatz der DSGVO ist die Datenminimierung gemäß Art. 5 Abs. 1 lit. c) DSGVO, wonach die Verarbeitung personenbezogener Daten auf das erforderliche Maß beschränkt werden muss. Dies bedeutet, dass Unternehmen sicherstellen müssen, dass nur die für den jeweiligen Zweck notwendigen Daten verarbeitet werden.
Bei der Nutzung von KI-Systemen sollten Unternehmen daher Daten anonymisieren oder zumindest pseudonymisieren, wo immer dies möglich und angemessen ist, um die Privatsphäre der betroffenen Personen zu schützen.
3. Verbot von Profiling
Vollständig automatisierte Entscheidungen oder Profiling durch KI-Systeme sind gemäß Art. 22 DSGVO nur in engen Grenzen zulässig.
Unternehmen müssen sicherstellen, dass menschliche Überprüfungsmöglichkeiten vorhanden sind und dass automatisierte Entscheidungen keine rechtlichen Auswirkungen oder ähnlich erhebliche Beeinträchtigungen für betroffene Personen haben. Darüber hinaus müssen Unternehmen die Verantwortlichkeit klar festlegen und Mechanismen zur Sicherstellung der Rechtmäßigkeit, Einhaltung der Betroffenenrechte und Sicherheit der KI-Systeme implementieren.
4. Rechtsgrundlage
Auch wenn die Grundsätze aus Art. 5 DSGVO eingehalten werden, bedarf jede Verarbeitung personenbezogener Daten einer Rechtsgrundlage gemäß Art. 6 Abs. 1 DSGVO.
Die häufigste Rechtsgrundlage wird im Zusammenhang mit dem Einsatz von KI das berechtigte Interesse des Unternehmens an Effizienzsteigerung und Automatisierung sein. Gemäß Art. 6 Abs. 1 S. 1 lit. f) DSGVO ist die Verarbeitung personenbezogener Daten rechtmäßig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen.
Unternehmen müssen vor dem Einsatz von KI also prüfen, ob die Interessen oder Grundrechte der betroffenen Personen nicht überwiegen. In diese Prüfung ist auch einzubeziehen, ob wirksame und angemessene Schutzmaßnahmen implementiert werden.
Die Abwägung zwischen den Interessen des Verantwortlichen und den Rechten der betroffenen Personen erfordert eine sorgfältige Prüfung der Intensität des Eingriffs, der Art und des Umfangs der Datenverarbeitung und der getroffenen Sicherheitsmaßnahmen. Unternehmen sollten insbesondere auch die vernünftigen Erwartungen der betroffenen Personen berücksichtigen.
5. Handlungsempfehlung
In der Praxis sollten Beschäftigte dazu angehalten werden, keine personenbezogenen Daten in KI-Systeme (wie z.B. ChatGPT oder Bing Chat Enterprise) einzugeben. Stattdessen können Platzhalter oder anonymisierte Daten verwendet werden, um die Privatsphäre der betroffenen Personen zu schützen und dennoch von den Effizienzgewinnen von KI-Anwendungen zu profitieren.
Die Verarbeitung personenbezogener Daten mit KI ist stets rechtswidrig, wenn das angestrebte Ergebnis auch unter Verwendung anonymisierter Daten erreicht werden kann.
Darüber hinaus sollten Unternehmen Ergebnisse, die mithilfe von KI gewonnen wurden und personenbezogene Daten enthalten, klar kennzeichnen, um die Transparenz gegenüber den betroffenen Personen zu erhöhen und rein automatisierte Entscheidungen einschließlich Profiling zu verhindern.
Zur Sicherstellung dieser Anforderungen sind interne Verhaltensrichtlinien zum Umgang mit KI aufzustellen.
6. Fazit
Insgesamt zeigt sich, dass auch bei der rechtlichen Bewertung des Einsatzes von KI in Unternehmen auf die allgemeinen Grundsätze der DSGVO zurückgegriffen werden kann.
Der Einsatz erfordert eine sorgfältige Prüfung der rechtlichen Anforderungen im konkreten Einzelfall und die Implementierung angemessener Schutzmaßnahmen.
Wir beraten Sie gerne zum Einsatz von KI in Ihrem Unternehmen!