Wer KI-Tools im Unternehmen einsetzt und dabei personenbezogene Daten verarbeitet, muss mehrere Anforderungen der DSGVO erfüllen. Die wichtigsten im Überblick:
Rechtsgrundlage prüfen
Jede Verarbeitung personenbezogener Daten braucht eine Rechtsgrundlage nach Art. 6 DSGVO, zum Beispiel eine Einwilligung der betroffenen Person oder ein berechtigtes Interesse des Unternehmens.
Auftragsverarbeitungsvertrag abschließen
Wenn ein externer Anbieter im Auftrag Ihres Unternehmens personenbezogene Daten verarbeitet, was bei cloudbasierten KI-Tools regelmäßig der Fall ist, ist ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO erforderlich. Ohne diesen Vertrag ist der Einsatz des Tools rechtswidrig.
Drittlandtransfer beachten
Viele KI-Anbieter, darunter OpenAI, haben ihren Sitz in den USA. Damit Daten rechtmäßig dorthin übermittelt werden dürfen, müssen geeignete Garantien vorliegen, etwa durch eine Zertifizierung des Anbieters unter dem EU-US Data Privacy Framework.
Datenschutz-Folgenabschätzung durchführen
Wenn durch den KI-Einsatz ein hohes Risiko für die Rechte und Freiheiten betroffener Personen besteht, etwa durch Profiling oder automatisierte Entscheidungen, schreibt Art. 35 DSGVO eine Datenschutz-Folgenabschätzung (DSFA) vor.
Training mit eigenen Daten ausschließen
Stellen Sie sicher, dass der Anbieter die von Ihnen eingegebenen Daten nicht zum Weitertraining des Modells verwendet. Das sollte vertraglich geregelt und technisch nachvollziehbar sein.
Transparenz gegenüber Betroffenen sicherstellen
Wenn Kunden, Mitarbeitende oder andere Personen durch den KI-Einsatz Daten von sich einbringen, haben sie das Recht, darüber informiert zu werden. Das betrifft auch Ihre Datenschutzerklärung.
Interne Richtlinien und Schulungen einführen
Mitarbeitende sollten wissen, was sie dürfen und was nicht. Eine klare interne KI-Nutzungsrichtlinie und regelmäßige Schulungen reduzieren das Risiko unbeabsichtigter Verstöße erheblich.
Ein Punkt, der in der Praxis oft unterschätzt wird
KI-Systeme gelten datenschutzrechtlich häufig als „Black Box". Was mit den eingegebenen Daten innerhalb des Modells geschieht, ist von außen kaum nachvollziehbar. Das macht es schwer, die geforderte Transparenz gegenüber betroffenen Personen vollständig herzustellen. Das ist kein Grund, auf KI zu verzichten, aber ein sehr guter Grund, den Einsatz sorgfältig zu planen und rechtlich abzusichern.
