KI und Datenschutz: Ist KI datenschutzkonform?

1. Was ist KI?
2. Wie funktionieren KI-gestützte Systeme?
3. Beispiele: Funktionen und Bereiche, in denen wir KI bereits nutzen
4. Das solltest du bei der Nutzung von KI-gestützten Systemen datenschutzrechtlich beachten
5. Das solltest du beim Einsatz von KI-gestützten Systemen beachten
6. Fazit: Du magst es einfach? Dann verzichte auf personenbezogene Daten!
7. Welche Systeme helfen dir bei den Themen Datenschutz und KI?
8. Fazit: Je sensibler die Daten, desto umfangreicher die rechtlichen Vorgaben

Seit dem 25. Mai 2018 ärgert die Europäische Datenschutzgrundverordnung (DSGVO) Datensammler*innen. Das bedeutet, Unternehmen bzw. ihre Datenschutzverantwortlichen müssen sich wohl oder übel mit der Kompatibilität zwischen KI und Datenschutz auseinandersetzen. In diesem Artikel erfährst du, was Unternehmen beim Einsatz von KI aus rechtlicher Sicht beachten müssen.

Was ist KI?

Es gibt (noch) keine universelle Definition für die künstliche Intelligenz (KI) bzw. Artificial Intelligence (AI). Prinzipiell simulieren Computersysteme dabei mit künstlicher Intelligenz die menschliche Intelligenz. Das bedeutet, Maschinen verarbeiten Informationen, identifizieren Muster und treffen eigenständig ihre Entscheidungen. Kurzum: Die KI soll Computern die notwendige Intelligenz verleihen, mit der sie selbstständig Aufgaben abarbeiten und Probleme lösen können.

Das Europäische Parlament beschreibt KI wie folgt:

„Künstliche Intelligenz ist die Fähigkeit einer Maschine, menschliche Fähigkeiten wie logisches Denken, Lernen, Planen und Kreativität zu imitieren.

KI ermöglicht es technischen Systemen, ihre Umwelt wahrzunehmen, mit dem Wahrgenommenen umzugehen und Probleme zu lösen, um ein bestimmtes Ziel zu erreichen. Der Computer empfängt Daten (die bereits über eigene Sensoren, zum Beispiel eine Kamera, vorbereitet oder gesammelt wurden), verarbeitet sie und reagiert.

KI-Systeme sind in der Lage, ihr Handeln anzupassen, indem sie die Folgen früherer Aktionen analysieren und autonom arbeiten.“

Wie funktionieren KI-gestützte Systeme?

Die KI gehört zur Informatik und besteht aus zwei Teilen: aus einer Hardwarekomponente und einer Software. Sie erkennt die Informationen aus Eingabedaten und ordnet sie zu – wie ein Mensch es auch tun würde. Diese Fähigkeit basiert entweder auf maschinellem Lernen (Machine Learning) oder von Menschen programmierten Abläufen. Umso größer die Datenmenge, desto mehr Daten kann die KI auf Muster und Zusammenhänge untersuchen – und desto besser werden folglich die Ergebnisse.

Programmierung der KI

Beim Programmieren der künstlichen Intelligenz stehen drei wesentliche Dinge im Mittelpunkt: dazulernen, logisches Denken entwickeln und sich selbst korrigieren.

• Lernen: Erfassung von Daten, Erstellung von Regeln (Algorithmen) zum Umgang mit Informationen aus Daten, Erstellung von konkreten Schritt-für-Schritt-Anleitungen
• Logik: Auswahl von Algorithmen
• Selbstkorrektur: Kontinuierliche Abstimmung der Algorithmen

Teilgebiete der KI

Einige Begriffe fallen beim Thema KI immer wieder. Fälschlicherweise werden sie zum Teil synonym verwendet, doch die Technologien unterscheiden sich.

• Natural Language Processing (NLP): Damit ist das Verstehen, Interpretieren und Generieren von menschlicher Sprache gemeint. Es geht um die Fähigkeit, den Kontext zu analysieren. NLP kommt bei der Spracherkennung, automatisierten Übersetzung und Chatbots zum Einsatz.
• Neuronale Netze: Künstlich zusammengeschaltete Neuronen bilden sogenannte neuronale Netze. Die Neuronen verarbeiten Informationen und geben sie untereinander weiter, bis das Ergebnis stimmt. Dieses Prinzip kommt bei der Bilderkennung zum Einsatz.
• Machine Learning: Die subsymbolische KI hat keine Regeln. Stattdessen löst der Algorithmus mathematische Prozesse aus. Solange, bis das richtige Ergebnis eintritt. Die künstliche Intelligenz lernt während der Ergebnissuche. Unternehmen nutzen Machine Learning häufig für ihre Prozessautomatisierung.
• Deep Learning: Deep Learning gehört zu Machine Learning. Hier besteht das künstlich neuronale Netz aus mindestens fünf Schichten (Deep Neural Network). So können große Mengen an Daten verarbeitet und analysiert werden. Die Maschine lernt automatisch, wie sie eine Aufgabe ausführen soll.
• Knowledge Presentation: Es geht darum, Informationen für den Computer verständlich und zugänglich zu machen. Knowledge Presentation kommt u. a. in der Datenintegration, bei Online-Suchanfragen oder bei der Automatisierung von Entscheidungsprozessen zum Einsatz.

Beispiele: Funktionen und Bereiche, in denen wir KI bereits nutzen

Künstliche Intelligenz klingt für dich nach neumodischem Kram? Tatsächlich ist die KI schon seit vielen Jahren Teil unseres privaten und beruflichen Umfelds.

KI im Alltag

Schon vor ChatGPT kam KI in unserem Alltag – wenn auch unwissend – zum Einsatz.

Ein paar Beispiele von vielen sind:

• Sprachassistenten (z. B. Alexa)
• Smarthome (z. B. Licht und Temperatur anpassen)
• Anzeige im Social Media Feed und Ads (z. B. Facebook)
• Sprachübersetzung (z. B. DeepL)
• Bildbearbeitung (z. B. KI-Funktionen in Canva)
• Diagnosen durch Medizinprodukte (z. B. Ada)

KI im beruflichen Umfeld

In diversen Branchen automatisieren Unternehmen ihre Prozesse mit intelligenten Systemen. In der Regel begegnest du ihnen in Form von Conversational AI – oder wie du sie vermutlich wahrnimmst: Chatbots.

Typische Anwendungsbereiche dafür sind: 

• Kundenservice (z. B. Sinch Engage)
• Kaufberatung
• Kostenbestimmung und Risikobewertung
• Contenterstellung (z. B. OpenAI ChatGPT)
• Buyer Journey (z. B. SAP Commerce Cloud)
• Mitarbeiterbefragungen

Das solltest du bei der Nutzung von KI-gestützten Systemen datenschutzrechtlich beachten

KI-gestützte Systeme durchlaufen wahre Trainingseinheiten und lernen ihr „Leben lang“ dazu.

Unternehmen sollten dabei zwei grundlegende Dinge beachten: 

1. Schlechte Inputs (Informationen aus dem Internet) ergeben schlechte Outputs (KI-generierte Inhalte).
2. Personenbezogene Daten müssen immer DSGVO-konform verarbeitet werden.

Gibt es rechtliche Vorschriften bei der Nutzung von KI?

Wenn du mit einem KI-gestützten System personenbezogene Daten verarbeitest, musst du einige Vorgaben in puncto Datenschutz beachten. In diesem Artikel können wir nicht auf alle eventuelle auf dich bzw. dein Unternehmen zutreffende Regelungen eingehen, sieh die folgende Aufzählung daher bitte lediglich als grobe Übersicht.

Datenschutzrechtliche Verantwortung

Durch den Einsatz eines KI-gestützten Systems giltst du i. d. R. als datenschutzrechtlich verantwortlich. Zumeist werden die Daten auf dem Server von Anbieter*innen deines KI-gestützten Systems verarbeitet. Anbieter*innen sind in diesem Fall Auftragsverarbeiter*innen und verarbeiten die Daten in deinem Auftrag. Dann ist es deine Aufgabe, einen Auftragsverarbeitungsvertrag abzuschließen und zu prüfen, ob er bzw. sie die daraus resultierenden Pflichten erfüllen kann. heyData

(Demo buchen)

Soweit so gut. Komplizierter wird es durch die Weiterentwicklung von KI-gestützten Systemen. Einige Datenschützer*innen kritisieren die schwammige Rechtslage zur Verwendung persönlicher Daten während des „Trainings“. Problematisch ist das u. a. hinsichtlich urheberrechtlich geschützter Daten. Kritische Stimmen legen Unternehmen nahe, der Nutzung ihrer erhobenen Daten sicherheitshalber nicht zuzustimmen oder auf eine Opt-out-Möglichkeit – wie du sie vielleicht durch die gewerbliche Nutzung von ChatGPT schon kennst – zurückzugreifen.

Rechtsgrundlage für die Datenverarbeitung

Unternehmen sind zu einer gültigen Rechtsgrundlage für die Datenverarbeitung verpflichtet. In der Regel ist das schlicht die Einwilligung der betroffenen Personen. Auf ein berechtigtes Interesse solltest du dich hier nicht verlassen.

Informationspflichten und Betroffenenrechte

Unternehmen müssen die Informations-, Auskunfts-, Widerspruchs-, Berichtigungs-, Löschungs-, Einschränkungs- und Datenübertragbarkeitsrechte der Betroffenen berücksichtigen. 

Privacy by Design und Privacy by Default

Unternehmen müssen Datenschutzgrundsätze wie die Datenminimierung wirksam umsetzen. Das gilt sowohl während der Nutzung eines KI-gestützten Systems als auch zuvor bei der Systementwicklung.

Datenschutz-Folgenabschätzung (DSFA)

Meistens ist schon vor der Datenverarbeitung eine Datenschutz-Folgenabschätzung notwendig. Laut der deutschen Datenschutzkonferenz ist sie etwa zur Verarbeitung personenbezogener Daten, Interaktionssteuerung und Bewertung erforderlich.

Technische und organisatorische Maßnahmen (TOM)

Unternehmen müssen umfangreiche technische und organisatorische Maßnahmen zur Vertraulichkeit, Verfügbarkeit und Integrität von Daten einleiten.

Datenschutzbeauftragte

Prüfe genaustens, ob durch deine KI-gestützte Datenverarbeitung die Benennung von Datenschutzbeauftragten nötig ist.

Entstehen datenschutzrechtliche Risiken durch die Verwendung von KI?

Je länger eine Technologie auf dem Markt ist, umso mehr konkrete Handlungsempfehlungen lassen sich durch Gerichtsurteile ableiten. KI-gestützte Systeme sind noch relativ neu, wodurch diese Erfahrungswerte einfach noch fehlen. Diese Tatsache birgt prinzipiell ein gewisses Risiko für Unternehmen. Du solltest dich daher keinesfalls auf eine Eigenrecherche verlassen. Lasse deinen individuellen Anwendungsfall von einem Datenschutzexperten absegnen, bevor du sensible Daten mit KI-gestützten Systemen verarbeitest.

Dass zum Thema Datenschutz laut Gesetzgeber längst noch nicht alles geklärt ist, zeigt uns unser Nachbarland Italien: Die Datenschutzbehörde hatte ChatGPT erst kürzlich Verbesserungsmaßnahmen auferlegt, um die Nutzung des KI-Text-Generators wieder zu ermöglichen.

Das solltest du beim Einsatz von KI-gestützten Systemen beachten

Wie du siehst, gibt es beim Einsatz von KI aus datenschutzrechtlicher Sicht einiges zu beachten. Wenn du personenbezogene Daten verarbeitest, nutze die folgende Checkliste und setze dir imaginäre Haken.

• Verantwortungsvoller Umgang: Das betrifft die Themen Datenschutz, Datenqualität, geistiges Eigentum, Transparenz, Haftung und Risikomanagement, menschliche Überprüfung, Mitarbeiterschulungen, ethische Überlegungen, Coding und Plug-ins (die IHK hilft dir hier weiter).
• Datenschutz-Folgenabschätzung: Ist sie notwendig?
• Auftragsverarbeitungsvertrag: Ist er notwendig und entspricht er den Anforderungen laut Art. 28, DSGVO?
• EU/EWR-Gebiet: Sind eine Standardvertragsklausel und ein Transfer Impact Assessment notwendig?
• Verbot von ausschließlichen und automatisierten Entscheidungsfindungen (gemäß Art. 22, Abs. 1, DSGVO): Ist eine Ausnahme tatsächlich gerechtfertigt?

Einsatzgebiet der KI

Du tust dir einen Gefallen, wenn du das Einsatzgebiet deines KI-gestützten Systems hinsichtlich sensibler Daten auf ein Minimum reduzierst. Überlege dir also gut,

• Welche Daten erfasst werden sollen.
• Welche Mitarbeiter*innen damit arbeiten sollen.
• Welche Richtlinien zur Nutzung des Tools dir und deinem Team helfen können.

Fazit: Du magst es einfach? Dann verzichte auf personenbezogene Daten!

Das alles klingt kompliziert und aufwendig? Du fragst dich gerade, ob dir ein KI-gestütztes System überhaupt genug Arbeit abnehmen kann, um Zeit für diese DSGVO-Kompatibilitätsprüfung zu haben? Dann klammere sensiblen Daten doch einfach aus. Du kannst bei der Verarbeitung z. B. komplette Datensätze außen vor lassen oder bestimmte Informationen zuvor aus dem zu bearbeitenden Dokument herauslöschen.

Nehmen wir eine Firmenpräsentation als Beispiel. Entferne alle sensiblen Daten, bevor du die Präsentation von einem KI-gestützten System übersetzen lässt.

Welche Systeme helfen dir bei den Themen Datenschutz und KI?

Auf OMR Reviews findest du viele hilfreiche Tools in den Kategorien Datenschutz Management und KI-Text-Generator, die dich beim Einsatz von bzw. mithilfe von künstlicher Intelligenz im Berufsalltag unterstützen. Schau dich gleich mal um. Die Filterfunktionen und die verifizierten Nutzerbewertungen helfen dir dabei, das perfekte Tool für dein Unternehmen zu finden.

Derzeit besonders beliebteste Systeme auf OMR Reviews:

heyData

Legally ok

NoSpamProxy

PrivacyBee

SAI360

consentmanager

neuroflash

OpenAI ChatGPT

Creaitor

Retresco Textengine

Conversionmaker.ai

Fazit: Je sensibler die Daten, desto umfangreicher die rechtlichen Vorgaben

So beeindruckend die Welt der künstlichen Intelligenz auch ist, noch stehen wir ganz am Anfang. Das dürfen wir in der ganzen Euphorie nicht vergessen. Aus technischer und rechtlicher Sicht! Besonders in sensiblen Unternehmensbereichen wie der Personalabteilung kann es durch rechtliche Vorgaben schnell zu Einschränkungen kommen. Unternehmen mit Betriebsräten müssen neben Datenschutz- und arbeitsrechtlichen Vorgaben beispielsweise auch das Mitbestimmungs- und Beteiligungsrecht (nach § 87, Abs. 1 und § 90, Abs. 1 BetrVG) berücksichtigen. 

Ein generelles Verbot von KI-gestützten Systemen ist in Deutschland und Europa derzeit nicht vorstellbar. Solange du stets einen Blick auf unser geltendes Recht wirfst und einen verantwortungsbewussten Umgang mit der KI an den Tag legst, steht dir und deinem neuen intelligenten Lieblingstool nichts im Wege.

Tipp: Wenn du dich in diesem Bereich noch weiterbilden möchtest, schau doch gerne mal bei OMR Education vorbei. Hier werden zahlreiche Weiterbildungen angeboten, darunter auch eine Academy und ein Deep Dive im Bereich KI.