Laut dem sta­tis­ti­schen Bun­des­amt nut­zen Unter­neh­men Künst­li­che Intel­li­genz (KI) am häu­figs­ten zur Sprach­er­ken­nung, gefolgt von der Auto­ma­ti­sie­rung von Arbeits­ab­läu­fen oder aber auch zur Ent­schei­dungs­fin­dung. Ein kla­res Bild: KI-Systeme haben Ein­zug in die Struk­tu­ren von Unter­neh­men gefunden.

Bereits in unse­rem letz­ten Bei­trag konn­te ein ers­ter Ein­druck von der KI-Verordnung gewon­nen wer­den, wel­che nun am 01.08.2024 in Kraft tritt, voll­stän­di­ge Gel­tung jedoch erst ab dem 02.08.2026 erlangt. Selbst wenn die Ver­ord­nung der­zeit noch kein gel­ten­des Recht dar­stellt, ent­hält die­se eine aus­drück­li­che Bestim­mung, wel­che die Daten­schutz­grund­ver­ord­nung (DS-GVO) hin­sicht­lich der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten als anwend­bar erklärt. Ein Grund mehr sich mit der Fra­ge zu beschäf­ti­gen, wel­che daten­schutz­recht­lich rele­van­ten The­men­fel­der die Nut­zung von KI mit sich bringt.

Mit der Imple­men­tie­rung von KI-Systemen im Unter­neh­men wer­den diver­se daten­schutz­re­le­van­te Berei­che tan­giert, wodurch auch ein unzu­rei­chen­des Daten­schutz­ma­nage­ment zu Tage tre­ten kann. – Marie-Luis Bufler

Es ist nicht von der Hand zu wei­sen, dass die Nut­zung von KI-Systemen ein Pot­pour­ri an ver­schie­de­nen Inter­es­sen bereit­hält. Die­se rei­chen über das Inter­es­se des Unter­neh­mens, Wirt­schaft­lich­keits­ge­sichts­punk­ten zu ent­spre­chen, hin­weg zu den Inter­es­sen des KI-Anbieters, sich unter ande­rem die Ver­ar­bei­tung der Daten zu Trai­nings­zwe­cken vor­zu­hal­ten. Und zwi­schen all dem möch­te der Daten­schutz natür­lich auch sei­nen Platz wissen.

Im Sin­ne von „Vor­sicht ist bes­ser als Nach­sicht“ bzw. im Sin­ne des Daten­schut­zes „…ist bes­ser als ein Buß­geld der Auf­sichts­be­hör­de“, legen wir nach­fol­gend den Fokus auf die Fra­ge, was ein daten­schutz­kon­for­mer Ein­satz von KI-Anwendungen im Unter­neh­men grund­sätz­lich erfordert.

Was erfor­dert der daten­schutz­kon­for­me Ein­satz von KI-Anwendungen im Unternehmen?

Sofern die Imple­men­tie­rung einer KI-Anwendung im Raum steht, soll­te das Unter­neh­men, bzw. der daten­schutz­recht­li­che Ver­ant­wort­li­che, für das Grund­ge­rüst sor­gen. Das bedeu­tet im Ein­zel­nen, dass zu Beginn der Bereich abge­steckt wer­den soll­te, in wel­chem die KI-Anwendung zum Ein­satz gelangt. In die­sem Zusam­men­hang soll­te der Fokus deut­lich auf die kon­kre­ten Zwe­cke des Ein­sat­zes gelegt wer­den und dem­nach die Fra­ge, was sich das Unter­neh­men von dem Ein­satz ver­spricht. Dem Ver­ant­wort­li­chen sei dabei ange­ra­ten eine umfas­sen­de Doku­men­ta­ti­on vor­zu­neh­men, wel­che zu ver­schie­de­nen Zeit­punk­ten wie­der als Grund­la­ge her­an­ge­zo­gen wer­den kann.

Neben der Fra­ge der Zuläs­sig­keit des geplan­ten Ein­satz­be­reichs, bedarf die Fra­ge der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten eine nähe­re Prü­fung. Es soll­te nicht vor­schnell über die­sen Punkt hin­weg­ge­gan­gen wer­den, da in die­sem Zusam­men­hang auch die Art des KI-Systems an Rele­vanz gewinnt.

Soweit es sich um eine KI-Anwendung han­delt, wel­che als offe­nes Sys­tem aus­ge­stal­tet wur­de, ver­fügt die­se unter Umstän­den über einen Zugang zu wei­te­ren Daten­quel­len, wie dem Inter­net. Die­se Ver­knüp­fung kann im Ergeb­nis dazu füh­ren bzw. dazu ver­hel­fen, dass die Her­stel­lung eines Per­so­nen­be­zugs erst ermög­licht wird. Auch die Erwei­te­rung von Infor­ma­tio­nen zu einer Per­son ist denk­bar. Um die­se Gefah­ren­quel­le aus­zu­schlie­ßen ist es aus daten­schutz­recht­li­cher Sicht vor­zugs­wür­dig von einem offe­nen Sys­tem abzu­se­hen und ein tech­nisch geschlos­se­nes Sys­tem in Erwä­gung zu zie­hen. Durch­aus begrü­ßens­wert ist dahin­ge­hend auch die Tat­sa­che, dass auf die­sem Weg die Ver­ar­bei­tung zu Trai­nings­zwe­cken aus­ge­schlos­sen wer­den kann.

Wel­che Punk­te sind bei der Imple­men­tie­rung von KI zu beachten?

Wie Ein­gangs bereits dar­ge­stellt fin­det KI gera­de auch bei Sprach­er­ken­nung im Unter­neh­men Anwen­dung. Dabei ist sowohl hin­sicht­lich der Eingabe- als auch der Aus­ga­be­da­ten Vor­sicht gebo­ten. Sofern per­so­nen­be­zo­ge­ne Daten ver­ar­bei­tet wer­den bedarf es einer Daten­schutz­in­for­ma­ti­on, wel­che trans­pa­rent und in prä­zi­ser sowie in leicht ver­ständ­li­cher Form die betrof­fe­ne Per­son über die Ver­wen­dung ihrer Daten infor­miert. Dane­ben bedarf es einer geeig­ne­ten Rechts­grund­la­ge und der Klä­rung, inwie­weit die­se Daten an Drit­te bzw. an den KI-Anbieter der jewei­li­gen KI-Software über­mit­telt werden.

Los­ge­löst von der Sprach­er­ken­nung ist bei KI-Systemen grund­sätz­lich dar­auf zu ach­ten, dass allein die Ent­fer­nung der Stamm­da­ten nicht dafür Sor­ge trägt, dass kein Per­so­nen­be­zug her­ge­stellt wer­den kann. Selbst wenn es sich bei der KI-Anwendung um ein geschlos­se­nes Sys­tem han­delt, bedeu­tet dies im Umkehr­schluss nicht, dass durch die­ses kein Per­so­nen­be­zug her­ge­stellt bzw. Rück­schlüs­se gezo­gen wer­den kön­nen. Zwar ver­fügt ledig­lich ein begrenz­ter Kreis von Anwen­den­den über die­sen Zugriff, inwie­weit die­se jedoch berech­tigt sind ist festlegungsbedürftig.

An die­ser Stel­le soll­te der Ver­ant­wort­li­che dafür Sor­ge tra­gen, dass durch Schu­lun­gen und Sen­si­bi­li­sie­rung der Mit­ar­bei­ten­den ein daten­schutz­kon­for­mer Umgang bzw. ein dahin­ge­hen­des Bewusst­sein erreicht wird. Dies gera­de auch mit Blick auf Kate­go­rien beson­de­rer per­so­nen­be­zo­ge­ner Daten, da hier die Prü­fung, ob ein Aus­nah­me­tat­be­stand gem. Art. 9 Abs. 2 DS-GVO vor­liegt, erfol­gen sollte.
Dem kri­ti­schen Blick bei­be­hal­tend soll­ten die Ergeb­nis­se der KI stets hin­ter­fragt wer­den. Ins­be­son­de­re soll­te der Ver­ant­wort­li­che im Hin­ter­kopf behal­ten, dass unrich­ti­ge Ergeb­nis­se zu unzu­läs­si­gen Ver­ar­bei­tun­gen füh­ren. Nicht zuletzt soll­te sich die Prü­fung auch auf eine mög­li­che dis­kri­mi­nie­ren­de Wir­kung erstre­cken und die Trag­bar­keit des Ergeb­nis­ses ein­be­zie­hen. Denn auch hier ist die Unzu­läs­sig­keit der Ver­ar­bei­tung die Folge.

Abschlie­ßend soll­te vor jeder Imple­men­tie­rung fest­ste­hen, wie die Gewähr­leis­tung der Betrof­fe­nen­rech­te gesi­chert wird. Sofern eine betrof­fe­ne Per­son ihr Recht auf Berich­ti­gung gel­tend macht, hat die­se Berich­ti­gung inner­halb die­ser KI-Anwendung zu erfol­gen. Inwie­weit die­se Mög­lich­keit besteht, soll­te im Vor­hin­ein geklärt wer­den. Dabei muss gege­be­nen­falls der Anbie­ter erläu­tern, inwie­weit ein Nach­trai­ning bzw. eine Kor­rek­tur mög­lich ist. Glei­ches gilt für die übri­gen, nicht weni­ger bedeut­sa­men, Betroffenenrechte.

Wel­che Hand­lungs­emp­feh­lung las­sen sich für Unter­neh­men ableiten?

Sofern sich Unter­neh­men für die Imple­men­tie­rung von KI-Anwendungen ent­schei­den, soll­ten Ver­ant­wort­li­che, neben den soeben dar­ge­leg­ten Punk­ten, den nach­fol­gen­den Aus­füh­run­gen Beach­tung schenken:

  • Ver­ant­wort­lich­keit

Die Fra­ge der KI-Anwendung ent­hält zeit­gleich die Fra­ge nach der Ver­ant­wort­lich­keit. Sofern – wie hier über­wie­gend ange­nom­men – eine KI-Anwendung von einem exter­nen Anbie­ter in Betracht gezo­gen wird, wel­cher die­se als Cloud-Lösung anbie­tet, stellt die­ser ein Auf­trags­ver­ar­bei­ter dar. Dem­nach bedarf es einer ent­spre­chen­den Vereinbarung.

  • Kla­re inter­ne Regelungen

Dane­ben soll­ten inter­ne Rege­lun­gen erar­bei­tet und auf­ge­stellt wer­den, wel­che nicht nur den Beschäf­tig­ten Sicher­heit im Rah­men ihrer Beschäf­ti­gung bie­tet, son­dern auch kla­re Vor­ga­ben ent­hält, die eine eigen­mäch­ti­ge bzw. unkon­trol­lier­te Nut­zung deut­lich einschränken.

  • Infor­ma­ti­ons­grund­la­ge und Austauschbereitschaft

Ver­ant­wort­li­che sind ange­hal­ten sorg­fäl­tig zu prü­fen, wel­che Daten in die Anwen­dung ein­ge­speist wer­den dür­fen bzw. inwie­weit sich Anbie­ter der jewei­li­gen Anwen­dung der DS-GVO unter­wer­fen. In den Nut­zungs­be­din­gun­gen kann es unter Umstän­den zu einer Bereichs­ab­gren­zung in dem Sin­ne kom­men, dass ledig­lich die ame­ri­ka­ni­sche Bevöl­ke­rung adres­siert wird, um den Anfor­de­run­gen der DS-GVO nicht zu unter­lie­gen. Dane­ben kön­nen die Nut­zungs­be­din­gun­gen einen Hin­weis dahin­ge­hend erhal­ten, dass das Ein­pfle­gen per­so­nen­be­zo­ge­ner Daten unter­sagt ist. Bereits zu die­sem Zeit­punkt der Infor­ma­ti­ons­ge­win­nung soll­ten Ver­ant­wort­li­che aus­rei­chen­de Über­le­gun­gen über die in den Nut­zungs­be­din­gun­gen sowie der Daten­schutz­in­for­ma­ti­on nie­der­ge­leg­ten Umstän­de anstel­len, da die­se spä­tes­tens im Rah­men der Auf­trags­ver­ar­bei­tung wie­der an Rele­vanz gewin­nen dürften.

Nicht außer Acht gelas­sen wer­den soll­te in die­sem Kon­text auch die Durch­füh­rung einer Datenschutz-Folgenabschätzung, wel­che zumin­dest die Vor­ab­prü­fung eines vor­aus­sicht­li­chen hohen Risi­kos, mit Blick auf die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten, ver­langt. Sofern auf eine KI-Anwendung eines ande­ren Anbie­ters zurück­ge­grif­fen wird, bedarf es für die Risi­ko­ana­ly­se wei­ter­ge­hen­de Infor­ma­tio­nen von die­sem, sodass bereits zu Beginn der Anwen­dungs­aus­wahl auch auf die Anbie­ter als sol­che geach­tet wer­den sollte.

  • Ein­rich­tung einer Funktions-E-Mail-Adresse

Über­wie­gend wer­den die Beschäf­tig­ten des Unter­neh­mens mit der Nut­zung des KI-Systems in Berüh­rung kom­men und damit kon­fron­tiert sein, sodass die­sen eine Funktions-E-Mail-Adresse zur Ver­fü­gung gestellt wer­den soll­te. Glei­ches gilt, wenn Kom­mu­ni­ka­ti­ons­da­ten wie eine Mobil­funk­num­mer zur Regis­trie­rung oder Veri­fi­zie­rung ver­langt wer­den. Dann soll­te ein mobi­les End­ge­rät zu dienst­li­chen Zwe­cken zur Ver­fü­gung gestellt wer­den. Dies liegt in dem Umstand, dass der Schutz per­so­nen­be­zo­ge­ner Daten der eige­nen Beschäf­tig­ten nicht in den Hin­ter­grund gera­ten darf.

  • Daten­schutz­kon­for­me Gestaltung

Sofern per­so­nen­be­zo­ge­ne Daten ver­ar­bei­tet wer­den, sind schließ­lich die Grund­sät­ze von Pri­va­cy by Design und Pri­va­cy by Default zu beach­ten. Das bedeu­tet, bei­spiels­wei­se mit Blick auf die Mög­lich­keit, die Spei­che­rung für eine erneu­te Bear­bei­tung vor­neh­men zu kön­nen, dass an die­sem Punkt inter­ve­niert und davon abge­se­hen wer­den soll­te. Auch über Berech­ti­gungs­kon­zep­te kann in die­sem Kon­text nach­ge­dacht wer­den, um die Preis­ga­be von Infor­ma­tio­nen zu ver­mei­den bzw. zu ver­hin­dern. Die mög­li­chen Vor­ein­stel­lun­gen soll­ten dabei aus­ge­schöpft werden.

Fazit

Mit der Imple­men­tie­rung von KI-Systemen im Unter­neh­men wer­den diver­se daten­schutz­re­le­van­te Berei­che tan­giert, wodurch auch ein unzu­rei­chen­des Daten­schutz­ma­nage­ment zu Tage tre­ten kann. Ein siche­res und struk­tu­rier­tes Vor­ge­hen soll­te ins­be­son­de­re mit Blick auf die, über­wie­gend in die­sem Zusam­men­hang zu prü­fen­de und ste­tig an Rele­vanz gewin­nen­de, Datenschutz-Folgenabschätzung gege­ben sein. Die Abläu­fe und Pro­zes­se klein­tei­lig zu durch­den­ken ist uner­läss­lich und somit die Devi­se für Verantwortliche.

Was Sie noch interessieren könnte:

Autorin des Artikels:

Marie-Luis Bufler

Juristin mit Schwerpunkt Datenschutzrecht