Datenschutz beim Einsatz von Künstlicher Intelligenz – worauf Unternehmen achten müssen
Der Einsatz von Künstlicher Intelligenz (KI) bietet Unternehmen große Chancen – von Prozessautomatisierung bis zur Produktinnovationen. Gleichzeitig stellt KI besondere Anforderungen an den Datenschutz. Die DSGVO gilt uneingeschränkt, auch wenn moderne KI-Systeme technisch komplex sind. Unternehmen sollten daher nach Ansicht von Dr. Späth & Partner Rechtsanwälten unbedingt folgende Punkte beachten:
1. Rechtmäßigkeit der Datenerhebung – auf welche Rechtsgrundlage stützt sich das KI-Projekt?
Unternehmen und Start-ups, die Daten in ein KI-System einspeisen oder zur Modellschulung verwenden, sollten nach Ansicht von Dr. Späth & Partner unbedingt beachten, dass eine zulässige Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO feststehen muss. In Betracht kommen generell:
- -Einwilligung (z. B. bei Auswertung von Kundeninteraktionen zu Trainingszwecken)
- -Vertragserfüllung (z. B. wenn eine KI zur Erbringung eines gebuchten Services notwendig ist)
- -Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) – häufig bei internen Optimierungsprozessen; erfordert aber zwingend eine Interessenabwägung und transparente Information.
Dabei sollten Unternehmen beachten, dass eine Einwilligung z.B. auch widerrufen werden kann und die Daten auch nicht „auf Vorrat“ gesammelt werden dürfen, nur weil sie eventuell einmal nützlich für eine KI sein könnten.
2. Zweckbindung – klare Definition, wofür die Daten durch die KI genutzt werden
Nach Art. 5 Abs. 1 lit. b DSGVO müssen personenbezogene Daten für konkrete, eindeutige und legitime Zwecke erhoben werden.
Unternehmen sollten also nach Ansicht von Dr. Späth & Partner unbedingt beachten und sich überlegen:
- -Wofür genau die Daten benutzt werden sollen? (Training? Auswertung? Automatisierte Entscheidungen?)
- – Ob die Daten später für neue Zwecke weiterverwendet werden sollen? In diesen Fällen könnte eine Kompatibilitätsprüfung oder neue Rechtsgrundlage erforderlich sein.
- – ob die Daten an externe KI-Dienstleister übergeben werden sollen? Dann könnten zusätzlich Auftragsverarbeitungsverträge (Art. 28 DSGVO) sowie klare Zweckvorgaben zu beachten sein.
3. Datenminimierung – nur so viel wie nötig
Weiter beachten sollten Unternehmen und Startups, dass Art. 5 Abs. 1 lit. c DSGVO verlangt, dass nur jene Daten verarbeitet werden, die für den definierten Zweck erforderlich sind.
Hier sollten Unternehmen nach Ansicht von Dr. Späth & Partner prüfen
- -ob hochsensible Daten (z. B. Gesundheitsdaten) wirklich notwendig sind.
- – dass die Datenspeicher und Trainingsdatensätze regelmäßig bereinigt werden.
Die Devise sollte dabei sein: „So viel wie nötig, so wenig wie möglich.“
4. Transparenz und Informationspflichten
Darüber hinaus sollten Unternehmen die Transparenzpflichten beafhten: Wenn personenbezogene Daten in KI-Systeme fließen, müssen Betroffene nach Art. 13/14 DSGVO darüber informiert werden – insbesondere über:
- -die Art der Datenverarbeitung
- -den Zweck der Datenverarbeitung
- – die Rechtsgrundlage
- – den Empfänger (z. B. Cloud- oder KI-Anbieter)
- – teilweise auch die Logik und Tragweite von KI-gestützten Entscheidungen, sofern diese automatisiert erfolgen
5. Datenschutz-Folgenabschätzung (DSFA) prüfen
Weiter müssen Unternehmen prüfen, ob eine Datenschutz-Folgenabschätzung erforderlich ist.
Eine Datenschutzfolgenabschätzung (DSFA) nach Art. 35 DSGVO ist dabei grundsätzlich erforderlich, wenn ein KI-Projekt voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der Betroffenen mit sich bringt. Typische Fälle sind z.B.
- -Der Einsatz von KI zur automatisierten Bewertung oder Profiling
- -Die Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 DSGVO)
- -KI-gestützte Überwachung (z. B. Videoanalyse)
- -Entscheidungssysteme, die erhebliche Auswirkungen auf Betroffene haben (z. B. Kreditscoring, Bewerberauswahl)
Fazit: Der Einsatz von Künstlicher Intelligenz (KI) bringt für Unternehmen und Start-ups zahlreiche Vorteile. Sie müssen aber unbedingt die strengen datenschutzrechtlichen Bestimmungen beachten und können sich gerne an Dr. Späth & Partner Rechtsanwälte in Berlin wenden, die seit dem Jahr 2002, und somit seit ca. 23 Jahren, als Anwaltskanzlei tätig sind und seit dem Jahr 2023 auch im Bereich Künstliche Intelligenz beraten.