openart-image Ws5CL182 1734784893560 raw

Künstliche Intelligenz (KI) in Unternehmen - Teil 4

12.11.2024 Andrea Andersen

Dies ist der vierte unserer Serie zum Thema “Künstliche Intelligenz”. In den ersten beiden Ausgaben zu den “Grundlagen der KI” (Teil 1 hierund Teil 2 hier) haben wir bereits die wesentlichen Unterschiede zwischen KI-Systemen und herkömmlicher Software beleuchtet. Wir haben verschiedene Kategorien von KI-Systemen vorgestellt und die Bedeutung der Unterscheidung zwischen offenen und geschlossenen Systemen hervorgehoben. Darüber hinaus haben wir uns mit den vielfältigen Fähigkeiten und Aufgaben von KI-Systemen auseinandergesetzt und mögliche Risiken aufgezeigt. Der dritte Teil befasste sich mit dem regulatorischen Rahmen für KI-Systeme, wobei wir uns auf die Risikoklassen der EU KI-Verordnung (EU AI ACT) und die ethischen Aspekte des Ethikleitfadens für vertrauenswürdige KI von 2019 konzentrierten.

In dieser Ausgabe möchten wir Ihnen einen Überblick darüber geben, welche Prozessschritte bei der Implementierung von KI zu beachten sind und welche datenschutzrechtlichen Fragen in diesem Zusammenhang geklärt werden müssen. Ziel des Leitfadens ist es, Ihnen ein Verständnis zu vermitteln und Sie dabei zu unterstützen, KI-Systeme so einzusetzen, dass sowohl Innovation gefördert als auch der Schutz personenbezogener Daten gewährleistet wird.

Prozessschritte bei Implementierung von KI-Anwendungen

Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) gibt in ihrer Orientierungshilfe Hinweise, woran aus datenschutzrechtlicher Sicht zu denken ist, wenn KI im Einsatz ist. Dabei sind diese Aspekte zu berücksichtigen und in einer Dokumentation auszuarbeiten:

Wer ist verantwortlich?

Setzt ein Unternehmen eine KI allein für eigene Zwecke ein, ist es auch allein verantwortlich . Wird eine KI innerhalb einer Unternehmensgruppe eingesetzt, werden alle Unternehmen gemeinsam Verantwortliche gem. Art. 26 DSGVO. Eine entsprechende Vereinbarung über die gemeinsame Verantwortlichkeit ist zu treffen.

Anwendungsbereich: Für wen gelten die gesetzlichen Regelungen?

Die KI-Verordnung der EU stellt klar, dass die gesetzlichen Regelungen auch für Anbieter und Betreiber von KI-Systemen gelten, die in einem Drittland niedergelassen sind. Damit soll eine Umgehung der Verordnung verhindert werden.

Angabe des Zwecks und der Rechtsgrundlage

Um KI datenschutzkonform im Unternehmen einsetzen zu können, muss im ersten Schritt geklärt werden, wo die KI zu welchem Zweck eingesetzt wird (gem. Art. 5 Abs. 1 lit. b DSGVO - Zweckbindung der Datenverarbeitung). Für jeden einzelnen Verarbeitungsschritt ist dann zu prüfen, ob eine Rechtsgrundlage vorliegt. Denn es macht aus datenschutzrechtlicher Sicht einen großen Unterschied, ob eine KI zur Optimierung von

Produktionsprozessen oder zur Identifizierung von Talenten und zur Analyse von Mitarbeiterdaten für die Personalentwicklung eingesetzt wird.

Arten von Unternehmensdaten

Der Datenschutz ist immer dann erforderlich, wenn personenbezogene Daten gespeichert oder verarbeitet werden. Beim Einsatz von KI-Technologien werden oft große Mengen personenbezogener Daten analysiert und verarbeitet. Hier ein grober Überblick, welche Datenarten einen Personenbezug darstellen:

KEIN PERSONENBEZUG

  • Logistikdaten

  • Qualitätsdaten

  • Betriebsdaten

  • Entwicklungsdaten

→ DSGVO gilt nicht!

PERSONENBEZUG

  • Lieferanten- / Auftragsdaten

  • Zahlungsdaten

  • Kundendaten

  • Personaldaten

→ DSGVO gilt!

Es kann sein, dass zunächst Daten ohne Personenbezug zu Schulungszwecken verwendet werden. In diesem Fall ist die DSGVO nicht anwendbar. Allerdings ist der Begriff “Personenbezug” in der DSGVO recht weit gefasst. Trainingsdaten, die für die KI genutzt werden und zunächst keinen direkten Personenbezug aufweisen, können durch die weitere Verarbeitung und Verknüpfung der Daten Pseudonyme erzeugen, die einen Personenbezug herstellen und die DSGVO einschlägig werden lassen. Die DSK empfiehlt daher, über den gesamten Lebenszyklus der Daten in der KI regelmäßig zu prüfen, ob personenbezogene Daten vorliegen.

Wenn die DSGVO gilt, müssen die Betroffenen informiert werden, wenn ihre personenbezogenen Daten für Trainings verwendet werden oder im Rahmen des Einsatzes von KI entstehen.

  • Erfüllung der Informationspflicht

    Sollten ihre personenbezogenen Daten für Trainings verwendet werden oder im Rahmen des Einsatzes von KI entstehen.

  • Wahrung von Betroffenenrechten

    Betroffene haben Rechte (gem. Art. 15 ff DSGVO). Dazu gehören das Recht auf Auskunft sowie das Recht auf Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch. Die Umsetzung dieser Rechte ist sicherzustellen. Andernfalls liegt eine Datenschutzverletzung vor. Aufgrund der oft großen und weit verteilten Datensätze ist dies eine große Herausforderung. Aber es gilt: Wenn KI-Anbieter ihre Dienste anbieten wollen, muss es möglich sein, Daten zu berichtigen und weitere Betroffenenrechte geltend zu machen, zum Beispiel durch Korrektur von Daten oder durch ein Nachtraining / Finetuning. Viele Anbieter behaupten bisher noch, dass dies nicht möglich ist.

  • Handlungsanweisungen für Beschäftigte

    Für den Einsatz von KI im Unternehmen müssen durch die Verantwortlichen klare Regeln für die Beschäftigten geschaffen werden, um den Anforderungen an die Informationssicherheit und den datenschutzrechtlichen Vorgaben gerecht zu werden. Hilfreich ist eine Richtlinie mit verbindlichen Vorgaben zum Einsatz von KI-Systemen. Wenn Sie eine solche Richtlinie in Ihrem Unternehmen etablieren möchten, sprechen Sie uns an. Wir übermitteln Ihnen gerne eine entsprechende Vorlage.

  • Durchführung einer Datenschutzfolgenabschätzung (DSFA)

    Art. 35 DSGVO befasst sich mit der Durchführung einer Datenschutzfolgenabschätzung zur Beschreibung und Bewertung möglicher Risiken bei der Datenverarbeitung. Es werden Begrifflichkeiten erläutert und wann eine DSFA durchzuführen ist. In Absatz 1 wird darauf hingewiesen, dass insbesondere bei neuen Technologien eine DSFA zu erstellen ist. Künstliche Intelligenz ist eine neue Technologie! Bei KI-Systemen muss also hinsichtlich der Erstellung einer DSFA genauer hingeschaut werden. Aber ist das so schlimm? Die Risikobewertung ist Teil einer DSFA und kann relativ schnell durchgeführt werden. Wenn die Risikobewertung durchgeführt wurde, kann daraus abgeleitet werden, ob eine vollständige DSFA erforderlich ist. Grundsätzlich hilft die Risikobewertung, datenschutzfreundliche Systeme zu identifizieren. Es ist daher immer eine gute Idee, vor der Einführung eines KI-Systems eine Risikobewertung durchzuführen. Entweder ist sie schnell erstellt oder sie wirft Fragen auf. In jedem Fall ist dann aber klar, ob der Einsatz eines neuen Systems aus Datenschutzsicht sicher ist. Eine Risikoabwägung sollte daher bei der Einführung eines KI-Systems immer durchgeführt werden. Die Aufsichtsbehörden haben gemäß Art. 35 Abs. 4 DSGVO eine Liste von Verarbeitungstätigkeiten erstellt, für die eine DSFA durchzuführen ist. In dieser Liste ist z. B. die Kundenbetreuung mittels KI aufgeführt.

  • Lebenslange Überprüfung der KI

    Nach Auffassung der DSK reicht die einmalige Erstellung einer DSFA nicht aus. KI-Systeme müssen kontinuierlich überwacht werden, um sicherzustellen, dass die Weiterverarbeitung der Daten zulässig ist und auch dauerhaft nicht zu unzulässigen Verarbeitungen führt.

Sonstige, wichtige Aspekte im Umgang mit KI

  • Keine Verwendung privater Accounts und Geräte durch die Beschäftigten

  • Eingabedaten dürfen nicht zu Trainingszwecken genutzt werden

  • Keine Speicherung der Eingabehistorie

  • Keine Veröffentlichung von Ausgabedaten

  • Schulung der Beschäftigten im Umgang mit KI

Die Orientierungshilfe „Künstliche Intelligenz und Datenschutz” der Aufsichtsbehörden des Bundes und der Länder (DSK), die „KI-Verordnung der Europäischen Union” und die „Informationen zum sicheren Einsatz von KI” zur Gewährleistung der Datensicherheit des Bundesamtes für Sicherheit in der Informationstechnik (BSI) geben zusätzliche Hilfestellung, welche Aspekte es beim Einsatz von KI zu berücksichtigen gilt.

Wir unterstützen Sie gerne bei der Entwicklung einer Richtlinie für den Einsatz von KI in Ihrem Unternehmen! Kontaktieren Sie uns, um mehr zu erfahren.