Künstliche Intelligenz kann Geschäftsprozesse erheblich verbessern – aber was passiert mit den Daten? Gerade wenn Kundendaten, Mitarbeiterdaten oder sensible Geschäftsinformationen verarbeitet werden, stellt sich die Frage: Ist das DSGVO-konform?
Warum Datenschutz bei KI besonders wichtig ist
KI-Systeme arbeiten mit Daten – oft mit großen Mengen davon. Wenn diese Daten personenbezogen sind, greift die DSGVO. Das betrifft nicht nur offensichtliche Fälle wie Kundennamen und E-Mail-Adressen, sondern auch indirekt personenbezogene Daten wie IP-Adressen, Geräte-IDs oder Verhaltensmuster.
Die wichtigsten DSGVO-Anforderungen bei KI-Nutzung
- Zweckbindung: Daten dürfen nur für den Zweck verwendet werden, für den sie erhoben wurden. Ein KI-Modell mit Kundendaten zu trainieren erfordert eine eigene Rechtsgrundlage.
- Datenminimierung: Nur die Daten verwenden, die tatsächlich benötigt werden – nicht alles, was verfügbar ist.
- Transparenz: Betroffene müssen informiert werden, dass ihre Daten durch KI verarbeitet werden und welche Entscheidungen darauf basieren.
- Automatisierte Einzelentscheidungen: Art. 22 DSGVO schränkt Entscheidungen ein, die ausschließlich auf automatisierter Verarbeitung beruhen und rechtliche Wirkung entfalten.
- Auftragsverarbeitung: Wenn ein externer KI-Dienst genutzt wird, ist ein Auftragsverarbeitungsvertrag (AVV) erforderlich.
Cloud-KI vs. lokale KI
Bei Cloud-basierten KI-Diensten wie ChatGPT oder Google Cloud AI werden Daten an externe Server übertragen – oft außerhalb der EU. Das erfordert besondere Schutzmaßnahmen:
- Prüfung der Rechtsgrundlage für die Datenübertragung in Drittländer
- Abschluss von Standardvertragsklauseln oder Nutzung von EU-Rechenzentren
- Prüfung, ob der Anbieter Daten zum Training eigener Modelle verwendet
Lokale KI-Lösungen, die auf eigener Infrastruktur laufen, umgehen viele dieser Probleme. Die Daten verlassen das Unternehmen nicht, und die volle Kontrolle bleibt erhalten.
Praktische Maßnahmen für DSGVO-konforme KI-Nutzung
- Datenschutz-Folgenabschätzung (DSFA): Bei hohem Risiko für die Rechte der Betroffenen ist eine DSFA Pflicht
- Anonymisierung und Pseudonymisierung: Personenbezogene Daten vor der KI-Verarbeitung anonymisieren, wo möglich
- Verarbeitungsverzeichnis: KI-Verarbeitungen im Verarbeitungsverzeichnis dokumentieren
- Mitarbeiter schulen: Klare Richtlinien, welche Daten in KI-Tools eingegeben werden dürfen
- Anbieter prüfen: AVV abschließen, Serverstandorte und Datenverwendung prüfen
KI ohne personenbezogene Daten
Viele KI-Anwendungsfälle funktionieren auch ohne personenbezogene Daten: Textgenerierung, Übersetzungen, Code-Assistenz, Datenanalyse mit aggregierten Zahlen. In diesen Fällen ist die DSGVO kein Hindernis – solange sichergestellt ist, dass keine personenbezogenen Daten versehentlich eingegeben werden.
KI datenschutzkonform einsetzen?
Ich berate Sie bei der Auswahl und Integration von KI-Lösungen – mit Blick auf Datenschutz und Praxistauglichkeit.