Der Einsatz von Künstlicher Intelligenz (KI) in Unternehmen eröffnet enorme Chancen, bringt jedoch gleichzeitig erhebliche datenschutzrechtliche Herausforderungen mit sich. Um rechtliche Risiken zu minimieren und einen verantwortungsvollen Umgang mit KI sicherzustellen, müssen Unternehmen die aktuellen rechtlichen Rahmenbedingungen sorgfältig beachten.
Die zentralen Regelwerke für den KI-Einsatz in Unternehmen sind die Datenschutz-Grundverordnung (DSGVO) und die EU-KI-Verordnung (KI-VO).
Die DSGVO bildet weiterhin die Basis für den Datenschutz bei dem Einsatz von KI-Systemen, während die KI-VO spezifische Regelungen für KI-Anwendungen schafft.
- Kernaspekte des Datenschutzes bei KI
- Rechtmäßigkeit der Datenverarbeitung: Unternehmen müssen sicherstellen, dass für die Verarbeitung personenbezogener Daten durch KI-Systeme eine rechtliche Grundlage gemäß Art. 6 DSGVO besteht. Dies kann eine Einwilligung, die Erfüllung eines Vertrags oder die Wahrung berechtigter Interessen sein.
- Transparenz und Informationspflichten: Die DSGVO verlangt Transparenz bei der Datenverarbeitung. Unternehmen müssen klar und verständlich über die Zwecke der Datenverarbeitung und die Funktionsweise der KI-Systeme informieren, insbesondere bei automatisierten Entscheidungen.
- Datenminimierung und Zweckbindung: Es dürfen nur die für den jeweiligen Zweck erforderlichen Daten verarbeitet werden. Nach Erreichung des Zwecks müssen die Daten gelöscht werden, sofern keine gesetzlichen Aufbewahrungspflichten bestehen.
- Umgang mit automatisierten Entscheidungen: Bei KI-Systemen, die automatisierte Entscheidungen mit erheblichen Auswirkungen treffen, haben Betroffene das Recht auf menschliche Überprüfung. Unternehmen müssen Mechanismen implementieren, um Diskriminierung und Fehlentscheidungen zu vermeiden.
- Datensicherheit: Unternehmen sind verpflichtet, geeignete technische und organisatorische Maßnahmen zu ergreifen, um die Sicherheit der verarbeiteten Daten zu gewährleisten. Dies ist besonders relevant, da KI-Systeme oft auf große Datenmengen zugreifen.
- Rechtmäßigkeit der Datenverarbeitung: Unternehmen müssen sicherstellen, dass für die Verarbeitung personenbezogener Daten durch KI-Systeme eine rechtliche Grundlage gemäß Art. 6 DSGVO besteht. Dies kann eine Einwilligung, die Erfüllung eines Vertrags oder die Wahrung berechtigter Interessen sein.
- Neue Anforderungen durch die EU-KI-Verordnung
Die KI-VO bringt zusätzliche Verpflichtungen für Unternehmen:
- Verbot bestimmter KI-Praktiken: KI-Systeme mit unannehmbarem Risiko sind in der EU verboten.
- Sicherstellung von KI-Kompetenz: Unternehmen müssen gewährleisten, dass ihre Mitarbeiter über ausreichende Kompetenzen im Umgang mit KI-Systemen verfügen.
- Risikoklassifizierung: KI-Systeme werden in verschiedene Risikoklassen eingeteilt, wobei für Hochrisikosysteme besonders strenge Auflagen gelten.
- Erweiterte Transparenzpflichten: Nutzer müssen über den Einsatz von KI-Systemen informiert werden.
- Praktische Umsetzung für Unternehmen
Um den datenschutzrechtlichen Anforderungen gerecht zu werden, sollten Unternehmen folgende Schritte unternehmen:
- KI-Kompetenz aufbauen und Mitarbeiter schulen
- Verbotene KI-Praktiken identifizieren und einstellen
- Dokumentation und Transparenz der KI-Nutzung sicherstellen
- Risikobeurteilung der eingesetzten KI-Systeme durchführen
- Menschliche Aufsicht bei relevanten Entscheidungsprozessen gewährleisten
- Datenschutzfreundliche Gestaltung von KI-Prozessen (Privacy by Design) implementieren
- Datenschutzexperten in KI-Projekte einbinden
- Fazit
Der Einsatz von KI in Unternehmen bietet enorme Potenziale, erfordert jedoch eine sorgfältige datenschutzrechtliche Absicherung. Mit der Einführung der KI-VO und den bestehenden DSGVO-Anforderungen müssen Unternehmen ihre KI-Strategien kontinuierlich anpassen. Angesichts der hohen Bußgelder bei Verstößen ist es unerlässlich, sich frühzeitig mit den neuen Anforderungen auseinanderzusetzen und compliant zu agieren. Eine proaktive Herangehensweise an den Datenschutz bei KI-Einsatz kann nicht nur rechtliche Risiken minimieren, sondern auch das Vertrauen von Kunden und Partnern stärken.
Dieser Beitrag dient der allgemeinen Information und ersetzt keine individuelle Rechtsberatung. Haben Sie Fragen? Rufen Sie an oder schreiben Sie mir. Ich berate Sie gerne.
Mareike Arns, LL.M. Rechtsanwältin
Fachanwältin für Arbeitsrecht
Externe Datenschutzbeauftragte (TÜV)
