Was Unternehmen beachten müssen
(TL). Unternehmen, die Künstliche Intelligenz (KI) einsetzen möchten, stehen vor der Herausforderung, ein umfassendes Datenschutzkonzept zu entwickeln, das den Anforderungen der Datenschutz-Grundverordnung (DSGVO) und des neuen AI Act der EU entspricht. Dieser Beitrag beleuchtet die wesentlichen Aspekte, die bei der Erstellung und Implementierung eines solchen Konzepts berücksichtigt werden müssen.
EU AI Act und Datenschutz-Grundverordnung
Im Mai 2024 wurde der AI Act der EU von den Mitgliedsstaaten beschlossen und wird in Kürze auch in Deutschland rechtskräftig. Trotz dieser neuen Verordnung bleibt die DSGVO der zentrale Rechtsrahmen für den Datenschutz. Unternehmen müssen daher sowohl die Bestimmungen des AI Act als auch die der DSGVO einhalten. Besonders wichtig ist hierbei die Durchführung einer Datenschutz-Folgenabschätzung (DSFA) vor der Nutzung von KI, um Risiken für den Datenschutz zu identifizieren und geeignete Maßnahmen zur Risikominimierung zu planen und zu dokumentieren.
Elemente eines Datenschutzkonzepts für KI
Ein umfassendes Datenschutzkonzept sollte verschiedene Maßnahmen und Strategien umfassen, um den Anforderungen der DSGVO gerecht zu werden:
- Interne Weisungen und Dokumentation:
- Klare Anweisungen, welche Tools unter welchen Bedingungen verwendet werden dürfen.
- Dokumentation der Einbindung des Datenschutzbeauftragten und Bereitstellung betrieblicher Dienste und Zugänge.
- Datensicherheit und Anonymisierung:
- Strenger Zugangsschutz für betriebliche KI-Dienste durch sichere Authentifizierungsverfahren.
- Verzicht auf die Nutzung personenbezogener Daten durch Einsatz von Anonymisierungstechniken.
- Prüfung und Kontrolle:
- Regelmäßige Überprüfung der KI-Resultate auf Richtigkeit und mögliche Diskriminierung.
- Sicherstellung, dass keine automatisierten Entscheidungen ohne menschliche Kontrolle getroffen werden.
Empfehlungen der Datenschutzbehörden
Die Datenschutzkonferenz (DSK) hat bereits 2019 ein Positionspapier veröffentlicht, das technische und organisatorische Maßnahmen zur Risikominderung bei der Entwicklung und dem Betrieb von KI-Systemen empfiehlt. Auch die Hamburgische Datenschutzbehörde hat im November 2023 eine Checkliste zum Einsatz LLM-basierter Chatbots herausgegeben, die praktische Hinweise zur DSGVO-konformen Nutzung von KI enthält.
Verfahrensverzeichnis und Datenschutz-Folgenabschätzung
Neben der Erstellung eines Datenschutzkonzepts ist auch das Verzeichnis von Verarbeitungstätigkeiten entsprechend anzupassen. Dieses muss die jeweiligen KI-basierten Verfahren und die getroffenen Schutzmaßnahmen dokumentieren. Dies erleichtert die Einhaltung der DSGVO und sorgt für Transparenz gegenüber den Aufsichtsbehörden.
Ein umfassendes Datenschutzkonzept ist unverzichtbar für den rechtskonformen Einsatz von KI in Unternehmen. Es schützt nicht nur die Rechte der betroffenen Personen, sondern minimiert auch Risiken und schafft Vertrauen bei Kunden und Geschäftspartnern. Unternehmen sollten daher frühzeitig mit der Planung und Implementierung geeigneter Datenschutzmaßnahmen beginnen und diese regelmäßig überprüfen und anpassen.
