KI und Datenschutz: 5 goldene Datenschutzregeln für den Umgang mit Künstlicher Intelligenz im Unternehmen

Risiken und Bedrohungen

Sicherheitslücken

1. Datensammlung und -nutzung

Umfang und Art der Daten

KI-Systeme sind auf große Mengen an Daten angewiesen, um effizient und genau arbeiten zu können. Diese Daten können personenbezogene Informationen enthalten, die unter den Schutz der Datenschutzgrundverordnung (DSGVO) fallen. Unternehmen müssen sicherstellen, dass sie nur die notwendigen Daten sammeln und verwenden und dabei stets den Grundsatz der Datenminimierung beachten.

Zweckbindung

Ein weiterer zentraler Grundsatz der DSGVO ist die Zweckbindung. Daten dürfen nur für den Zweck verarbeitet werden, für den sie ursprünglich erhoben wurden. Bei der Nutzung von KI bedeutet dies, dass Unternehmen klare und spezifische Zwecke für die Datenverarbeitung definieren und die Nutzer darüber informieren müssen. Eine nachträgliche Zweckänderung ist nur unter strengen Bedingungen zulässig.

2. Transparenz und Information

Informationspflichten

Unternehmen, die KI-Systeme einsetzen, müssen transparent darüber informieren, wie und warum personenbezogene Daten verarbeitet werden. Dies umfasst eine klare und verständliche Datenschutzerklärung sowie die Beantwortung von Anfragen betroffener Personen über die verwendeten Daten und den Verarbeitungszweck.

Erklärbarkeit der KI

KI-Modelle, insbesondere solche, die auf maschinellem Lernen basieren, sind oft komplex und schwer verständlich. Es ist jedoch entscheidend, dass die Entscheidungsprozesse der KI nachvollziehbar sind. Dies fördert nicht nur das Vertrauen der Nutzer, sondern ist auch aus rechtlicher Sicht relevant, da die DSGVO das Recht auf eine Erklärung und auf menschliches Eingreifen bei automatisierten Entscheidungen vorsieht.

3. Einwilligung und Rechte der Betroffenen

Einwilligung einholen

In vielen Fällen ist die Einwilligung der betroffenen Personen erforderlich, bevor ihre Daten für KI-Zwecke verarbeitet werden dürfen. Diese Einwilligung muss freiwillig, spezifisch, informiert und unmissverständlich sein. Unternehmen müssen sicherstellen, dass die betroffenen Personen ihre Einwilligung jederzeit widerrufen können.

Rechte der Betroffenen

Die DSGVO gewährt den betroffenen Personen verschiedene Rechte, darunter das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung und Datenübertragbarkeit. Diese Rechte müssen auch im Kontext der KI vollständig gewährleistet sein. Insbesondere das Recht auf Widerspruch gegen eine automatisierte Entscheidungsfindung muss beachtet werden.

4. Sicherheit und Risikomanagement

Technische und organisatorische Maßnahmen

Der Schutz personenbezogener Daten erfordert geeignete technische und organisatorische Maßnahmen. Dies umfasst die Sicherstellung der Vertraulichkeit, Integrität und Verfügbarkeit der Daten. Bei KI-Systemen bedeutet dies unter anderem, robuste Sicherheitsprotokolle zu implementieren und regelmäßige Sicherheitsüberprüfungen durchzuführen.

Datenschutz-Folgenabschätzung

Für KI-Systeme, die ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen darstellen, ist eine Datenschutz-Folgenabschätzung (DSFA) erforderlich. Diese Bewertung hilft, potenzielle Risiken zu identifizieren und geeignete Maßnahmen zu deren Minderung zu entwickeln.

5. Verantwortlichkeit und Governance

Datenschutz durch Design und durch Voreinstellungen

Datenschutz sollte von Anfang an in die Entwicklung und den Betrieb von KI-Systemen integriert werden („Privacy by Design“). Dies bedeutet, Datenschutzmaßnahmen bereits bei der Konzeption und Entwicklung zu berücksichtigen und datenschutzfreundliche Voreinstellungen zu verwenden („Privacy by Default“).

Verantwortlichkeit

Unternehmen müssen klare Verantwortlichkeiten und Zuständigkeiten für den Datenschutz festlegen. Dies umfasst die Ernennung eines Datenschutzbeauftragten, der die Einhaltung der Datenschutzbestimmungen überwacht und als Ansprechpartner für Datenschutzfragen dient.