Datenschutzrechtliche Herausforderungen beim Einsatz von KI in Unternehmen

Datenschutz und der Einsatz von KI

Datenschutzrechtliche Herausforderungen beim Einsatz von KI in Unternehmen

Der Einsatz von Künstlicher Intelligenz (KI) in Unternehmen nimmt stetig zu. Tools wie ChatGPT, Microsoft Copilot oder Google Gemini werden immer beliebter, weil sie Prozesse erleichtern, Effizienz steigern und ggfs. sogar innovative Geschäftsmodelle ermöglichen. Doch mit den vielen Vorteilen kommen auch erhebliche Herausforderungen, vor allem zum Thema Datenschutz. Unternehmen müssen sicherstellen, dass die Nutzung derartiger Tools mit den gesetzlichen Vorschriften, insbesondere der DSGVO, konform ist. Ein erfahrener Anwalt für Datenschutz kann Unternehmen dabei unterstützen, die rechtlichen Anforderungen korrekt umzusetzen und datenschutzrechtliche Risiken zu minimieren.

Durch die Eingabe personenbezogener Daten in die KI-Programme, findet eine Verarbeitung durch Übermittlung statt, für die es einer Rechtsgrundlage bedarf. Als solche kommen theoretisch ein Vertrag (Art. 6 Abs. 1 lit. b) DSGVO), eine Einwilligung (Art. 6 Abs. 1 lit. a) DSGVO) oder ein berechtigtes Interesse (Art. 6 Abs. 1 lit. f) DSGVO) in Betracht. In den seltensten Fällen wird die Datenverarbeitung durch die KI für die Erfüllung der vertraglichen Pflichten erforderlich sein (Art. 6 Abs. 1 lit. b) DSGVO). Eine Einwilligung wird wohl, aktuell jedenfalls noch, meistens nicht vorliegen.

Somit bleibt für eine rechtmäßige Nutzung der KI mit personenbezogenen Daten nur das berechtigte Interesse des Verantwortlichen. Um sich auf diese Rechtsgrundlage berufen zu können, müssen folgende Voraussetzungen vorliegen:

Legitimes Interesse: Der Verwender muss ein berechtigtes wirtschaftliches oder betriebliches Interesse an der Nutzung des KI-Tools haben (z. B. Effizienzsteigerung oder Automatisierung von Prozessen);
Erforderlichkeit der Datenverarbeitung: Die Verarbeitung muss notwendig sein, um das berechtigte Interesse zu verfolgen. Eine weniger eingriffsintensive Alternative (z. B. Verarbeitung der Daten ohne KI) darf nicht zur Verfügung stehen und
Abwägung mit den Interessen der betroffenen Person: Die Rechte und Freiheiten der betroffenen Personen dürfen nicht überwiegen. Dabei spielen Faktoren wie Transparenz, Zweckbindung und Schutzmaßnahmen eine Rolle.

Gerade diese Aspekte fehlen den gängigen KI-Tools häufig. Unternehmen müssen sicherstellen, dass die KI-Anbieter die personenbezogen Daten nicht zu Trainingszwecken nutzen. Außerdem müssen die KI-Dienstleister gewährleisten, dass die Daten DSGVO-konform verarbeitet werden. Hierzu gehören u.a. ein angemessenes Sicherheitsniveau und ein Datentransfer in ausschließlich Länder, für die ein angemessenes Datenschutzniveau besteht. Das ist bei vielen Anbietern (noch) nicht der Fall.

Um diese rechtlichen Unsicherheiten zu umgehen, können die Verantwortlichen die Daten vollständig anonymisieren, sodass kein Personenbezug mehr besteht. Falls das nicht möglich ist, so sind dennoch die weiteren Grundsätze der Verarbeitung und des Datenschutzes zu berücksichtigen. Hierzu zählt auch der Grundsatz der Datensparsamkeit. Demnach sollte sichergestellt sein, dass nur die absolut notwendigen Daten verarbeitet werden. Das kann ggfs. auch durch Pseudonymisierung erreicht werden.

Sofern all diese Aspekte berücksichtigt werden, sind Unternehmen weiterhin verpflichtet, auch alle weiteren Vorschriften zur Datenverarbeitung einzuhalten. Hierzu zählen u.a. die Informationspflichten. Betroffenen sollten über die Übermittlung ihrer Daten an den KI-Anbieter informiert werden. Dies umfasst auch die Bereitstellung von Informationen darüber, auf welche Weise die KI die Daten verarbeitet. Dieses Wissen wird oft noch fehlen. Auch Informationen darüber, ob und in wieweit automatisierte Entscheidungen getroffen werden, z.B. in einem Bewerbungsprozess, sind zwingend vorgeschrieben.

Weiterhin ist zwingend ein Auftragsverarbeitungsvertrag mit dem KI-Anbieter zu schließen, sofern die KI nicht selbst die verarbeitende Stelle ist. Das hängt stets von der jeweiligen Art der Verarbeitung ab. Schließlich sollten Mitarbeiter zum Einsatz und Umgang mit der KI geschult werden, um zu gewährleisten, dass das Prinzip der gesetzlichen Vorschriften zum Datenschutz stets eingehalten wird und nicht aus Bequemlichkeit eine Abkürzung genommen wird, die eventuell rechtswidrig ist. Denn als verantwortlicher Verarbeiter haftet das Unternehmen immer noch selbst, auch und gerade wenn Verstöße gegen die DSGVO von der KI begangen und festgestellt werden.

Künstliche Intelligenz bietet enorme Chancen für Unternehmen, bringt jedoch auch datenschutzrechtliche Herausforderungen mit sich. Durch eine frühzeitige Berücksichtigung der Datenschutz Anforderungen können Unternehmen nicht nur rechtliche Risiken minimieren, sondern auch das Vertrauen von Kunden und Partnern stärken. Eine sorgfältige Planung, transparente Kommunikation und die Implementierung technischer sowie organisatorischer Schutzmaßnahmen sind essenziell, um KI sicher und DSGVO-konform einzusetzen.

Die Kanzlei Lemme steht Ihnen jederzeit beratend zur Seite und unterstützt Sie umfassend bei allen Fragen zum Einsatz von KI im Kontext des Datenschutzes in Ihrem Unternehmen.

← Schadensersatzansprüche nach Art. 82 DSGVO bei massenhaftem Versand von Abmahnungen

Rechtsanwältin Friederike Lemme, September 2023 · Berlin