Sergey Nivens - stock.adobe.com

Was zum Datenschutzkonzept bei KI-Nutzung gehört

Wenn Unternehmen KI einsetzen, müssen sie Datenschutzmaßnahmen festlegen, dokumentieren und überprüfen. Die Aufsichtsbehörden geben Hinweise, welche Maßnahmen nicht fehlen sollten.

Im Mai 2024 wurde der AI Act der EU auch von den Mitgliedsstaaten beschlossen und wird in naher Zukunft geltendes Recht in Deutschland. Aber: „Die KI-Verordnung kommt, der Datenschutz bleibt“, betonte die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen schon vor mehreren Monaten. Wer also den Einsatz von KI (Künstlicher Intelligenz) im Unternehmen plant, muss nicht nur den AI Act beachten, sondern insbesondere auch die Datenschutz-Grundverordnung (DSGVO).

Dazu gehört es, bereits vor der Nutzung von KI eine entsprechende Datenschutz-Folgenabschätzung (DSFA) durchzuführen. Neben der Bestimmung der Risiken für den Datenschutz gehören nach DSGVO auch dazu „die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird“.

Wer KI nutzen will, benötigt also ein Datenschutzkonzept, das beschreibt, wie die erkannten Risiken bewältigt werden sollen. Dies muss entwickelt, dokumentiert und regelmäßig einer Prüfung der Wirksamkeit unterzogen werden.

Doch was gehört alles in dieses Konzept? Welche Maßnahmen zum Datenschutz bei KI sind sinnvoll und notwendig? Die Aufsichtsbehörden für den Datenschutz geben an vielen Stellen Hinweise dazu. Ein Positionspapier der DSK (Datenschutzkonferenz) zu empfohlenen technischen und organisatorischen Maßnahmen bei der Entwicklung und dem Betrieb von KI-Systemen (PDF) gibt es schon seit 2019. Dort werden die Schutzziele oder Gewährleistungsziele und damit die Vermeidung von Datenschutz-Risiken mit Maßnahmen hinterlegt.

Maßnahmen zur Minderung von KI-Risiken

Um den Anforderungen der DSGVO bei KI-Nutzung in der Praxis gerecht zu werden, hat die Hamburgische Datenschutzbehörde auch im November 2023 eine Checkliste zum Einsatz LLM-basierter Chatbots herausgegeben. Auch die im Mai 2024 erschienene Orientierungshilfe der Datenschutzkonferenz zeigt Behörden und Unternehmen auf, was beim Einsatz von KI-Systemen zu beachten ist, so die Aufsichtsbehörden.

Zu den notwendigen Maßnahmen zählen klare und dokumentierte interne Weisungen, ob, beziehungsweise unter welchen Voraussetzungen welche Tools infrage kommen, die Einbindung der oder des Datenschutzbeauftragten, die Bereitstellung betrieblicher Dienste und Zugänge zu KI-Tools, das Verbot der privaten Nutzung betrieblicher KI-Dienste, ein starker Zugangsschutz für die betrieblichen KI-Dienste (sichere Authentifizierung), der Verzicht auf die Nutzung personenbezogener Daten (Einsatz von Anonymisierung), keine Aufgaben und Ausgaben für die KI mit direktem Personenbezug, Beschränkungen bei der Nutzung personenbeziehbarer Daten (also Daten mit indirektem Personenbezug), Ausschluss der eigenen, vertraulichen Daten als Trainingsdaten eines (öffentlichen) KI-Dienstes, Prüfung der KI-Resultate auf Richtigkeit und mögliche Diskriminierung und nicht zuletzt die Sicherstellung, dass KI-Resultate keine automatisierten Entscheidungen ohne Kontrolle durch Menschen bedeuten (siehe auch Scoring und Datenschutz: Neue Grenzen für Algorithmen).

Entscheidend ist es, diese Vorgaben und Maßnahmen nicht nur zu dokumentieren, sondern sie auch bei den Beschäftigten, die danach handeln sollen, umfassend bekannt und verständlich zu machen.

Ausführlich behandeln dies die Datenschutzaufsichtsbehörden in ihrer aktuellen Orientierungshilfe „Künstliche Intelligenz und Datenschutz Version 1.0

Unternehmen müssen auch an das Verfahrensverzeichnis denken

Die vorgesehenen Datenschutzmaßnahmen zur Minderung der KI-Risiken und damit die Datenschutzkonzepte gehören nicht nur in die notwendige Datenschutz-Folgenabschätzung. Auch das Verzeichnis von Verarbeitungstätigkeiten (Verfahrensverzeichnis) muss bei Einsatz von KI die jeweiligen KI-basierten Verfahren aufführen. Auch dort müssen die Schutzmaßnahmen dokumentiert werden.

Dazu sagt zum Beispiel das BayLDA (Bayerisches Landesamt für Datenschutzaufsicht): Mit einem Eintrag in das ohnehin schon vorhandene Verarbeitungsverzeichnis ist der Grundstein für einen datenschutzkonformen KI-Einsatz schnell und unbürokratisch gelegt.

Es sollte nicht überraschen, dass KI-Verfahren letztlich genauso behandelt werden müssen wie alle anderen Verfahren auch, es gilt eben neben dem AI Act auch die DSGVO, wie sie bei jeder Verarbeitung personenbezogener Daten zu beachten ist. Der Datenschutz verlangt also bei KI-Nutzung nichts Unmögliches, sondern das Datenschutzniveau, wie es die DSGVO immer verlangt, und zwar „unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen“.

Erfahren Sie mehr über Datenschutz und Compliance