NewsletterJetzt anmelden – Die wichtigsten Nachrichten einfach per E-Mail erhalten!

Datenschutzkonforme Nutzung von KI-Anwendungen: Eine Orientierungshilfe

Mann und Symbolik zu künstlicher Intelligenz (KI)
Foto: Gerd Altmann / Pixabay

Künstliche Intelligenz (KI) hat in den letzten Jahren zunehmend an Bedeutung gewonnen, insbesondere im Bereich der Large Language Models (LLM), also generativer KI. Diese Modelle, die häufig als Chatbots genutzt werden, aber auch für andere Anwendungen dienen können, wurden dank dem ChatGPT schnell in Unternehmen eingeführt, werfen jedoch zahlreiche datenschutzrechtliche Fragen auf, die berücksichtigt werden müssen.

Eine Orientierungshilfe der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder bietet einen umfassenden Überblick über die datenschutzrechtlichen Anforderungen, die für eine konforme Nutzung von KI-Anwendungen zu berücksichtigen sind.

RETAIL-NEWS hat die Orientierungshilfe, die als ausführliche PDF zum Download verfügbar ist, auf die wesentlichen Punkte gekürzt:

Konzeption des Einsatzes und Auswahl von KI-Anwendungen

1.1 Einsatzfelder und Zwecke bestimmen

Bevor eine KI-Anwendung eingesetzt wird, müssen die Verantwortlichen genau festlegen, welche Einsatzfelder vorgesehen sind und welchem Zweck die Anwendung dient. Diese Zweckfestlegung ist entscheidend für den datenschutzkonformen Betrieb, da nur so überprüft werden kann, ob die Verarbeitung personenbezogener Daten zur Zweckerreichung erforderlich ist. Für öffentliche Stellen ist es zudem wichtig sicherzustellen, dass das Einsatzfeld im Rahmen ihrer gesetzlichen Aufgaben liegt und die Datenverarbeitung zur Aufgabenerfüllung notwendig ist.

1.2 Einsatzfelder rechtmäßig?

Einige Einsatzfelder für KI-Anwendungen können von vornherein unzulässig sein. Die europäische KI-Verordnung verbietet beispielsweise Praktiken wie „Social Scoring“ und biometrische Echtzeitüberwachung öffentlicher Räume oder erlaubt sie nur unter sehr engen Bedingungen.

1.3 Einsatzfelder ohne personenbezogene Daten?

Es kann vorkommen, dass bestimmte Einsatzfelder keinerlei personenbezogene Daten beinhalten. In solchen Fällen unterliegen diese Bereiche nicht dem Datenschutzrecht. Dennoch sollte geprüft werden, ob ein Personenbezug durch andere Merkmale möglich ist, und diese Prüfung sollte über den gesamten Lebenszyklus der Daten hinweg erfolgen.

1.4 Datenschutzkonformes Training von KI-Anwendungen

Bei der Auswahl von KI-Anwendungen ist zu berücksichtigen, ob diese datenschutzkonform trainiert wurden. Verantwortliche müssen sicherstellen, dass Fehler beim Training nicht die Datenverarbeitung in ihrer Verantwortlichkeit beeinträchtigen.

1.5 Rechtsgrundlage für die Datenverarbeitung?

Für jeden Verarbeitungsschritt, bei dem personenbezogene Daten verarbeitet werden, ist eine datenschutzrechtliche Rechtsgrundlage erforderlich. Diese kann je nach Anwendung und Institution variieren.

1.6 Keine automatisierte Letztentscheidung

Entscheidungen mit Rechtswirkung dürfen grundsätzlich nur von Menschen getroffen werden. Eine lediglich formelle Beteiligung eines Menschen im Entscheidungsprozess ist nicht ausreichend.

1.7 Geschlossenes oder offenes System?

KI-Anwendungen können als geschlossene oder offene Systeme konzipiert sein. Geschlossene Systeme bieten aus datenschutzrechtlicher Sicht Vorteile, da die Kontrolle über Ein- und Ausgabedaten bei den Anwendenden bleibt.

1.8 Transparenz

Verantwortliche müssen sicherstellen, dass ihnen vom Anbieter ausreichend Informationen zur Verfügung gestellt werden, um die Transparenzanforderungen der Datenschutz-Grundverordnung (DS-GVO) umzusetzen.

1.9 Transparenz und Wahlmöglichkeit hinsichtlich KI-Training

Es muss geprüft werden, ob Ein- und Ausgabedaten für das Training verwendet werden und ob Nutzerdie Möglichkeit haben, diese Nutzung auszuschließen.

1.10 Transparenz und Wahlmöglichkeit hinsichtlich Eingabe-Historie

Nutzersollten selbst entscheiden können, ob ihre Eingabe-Historie gespeichert wird.

1.11 Berichtigung, Löschung und weitere Betroffenenrechte

Verantwortliche müssen gewährleisten, dass betroffene Personen ihre Rechte auf Berichtigung und Löschung ausüben können.

1.12 Datenschutzbeauftragte und Beschäftigtenvertretung einbinden

Datenschutzbeauftragte und Beschäftigtenvertretungen sollten bei Entscheidungen über KI-Anwendungen eingebunden werden.

Implementierung von KI-Anwendungen

2.1 Verantwortlichkeit festlegen und verbindlich regeln

Die Verantwortlichkeit muss klar festgelegt und verbindlich geregelt werden, besonders bei der Nutzung externer KI-Anwendungen.

2.2 Interne Regelungen treffen

Es sollten klare interne Regelungen für den Einsatz von KI-Anwendungen getroffen werden, um unkontrollierte Nutzung durch Beschäftigte zu vermeiden.

2.3 Datenschutz-Folgenabschätzung

Vor der Verarbeitung personenbezogener Daten ist eine Datenschutz-Folgenabschätzung (DSFA) durchzuführen, wenn ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen besteht.

2.4 Beschäftigte schützen, betriebliche Accounts einrichten

Beschäftigte sollten für die Nutzung von KI-Anwendungen betriebliche Geräte und Accounts nutzen, um die Entstehung von Profilen zu vermeiden.

2.5 Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen

Technische und organisatorische Maßnahmen sollten ergriffen werden, um die Datenschutzgrundsätze umzusetzen.

2.6 Datensicherheit

KI-Anwendungen müssen den Anforderungen an IT-Sicherheit genügen, um unbefugten Zugriff zu verhindern.

2.7 Beschäftigte sensibilisieren

Beschäftigte sollten durch Schulungen und Leitfäden über den datenschutzkonformen Einsatz von KI-Anwendungen informiert werden.

2.8 Weitere Entwicklungen verfolgen

Verantwortliche müssen aktuelle Entwicklungen im rechtlichen und technischen Bereich verfolgen, um die internen Vorgaben gegebenenfalls anzupassen.

Nutzung von KI-Anwendungen

3.1 Vorsicht bei Eingabe und Ausgabe personenbezogener Daten

Bei der Eingabe und Ausgabe personenbezogener Daten ist besondere Vorsicht geboten. Es muss sichergestellt werden, dass betroffene Personen über die Verwendung ihrer Daten informiert sind.

3.2 Besondere Vorsicht bei besonderen Kategorien personenbezogener Daten

Besondere Kategorien personenbezogener Daten unterliegen strengen Schutzvorschriften und dürfen nur unter bestimmten Bedingungen verarbeitet werden.

3.3 Ergebnisse auf Richtigkeit prüfen

Die Ergebnisse von KI-Anwendungen müssen auf ihre Richtigkeit überprüft werden, um unzulässige Verarbeitungen zu vermeiden.

3.4 Ergebnisse und Verfahren auf Diskriminierung prüfen

Verantwortliche müssen sicherstellen, dass die Ergebnisse von KI-Anwendungen keine diskriminierenden Auswirkungen haben.

Anzeige

Reseller mit mehreren Sneakers
ANZEIGE

Effiziente Buchhaltung und Auftragsabwicklung für Reseller mit Anifora

Re-Commerce, Second-Hand und Markplätze wachsen ungebrochen. Doch gerade kleinere Reseller stehen vor der Herausforderung, ihre Buchhaltung effizient und rechtskonform zu gestalten. Anifora bietet eine einfache Lösung zur Automatisierung der Auftragsverarbeitung, speziell für Reseller. Das Tool integriert verschiedene Marktplätze mit Buchhaltungstools und sorgt für eine Dokumentation aller Geschäftsvorgänge. Reseller profitieren von erheblicher Zeitersparnis und einem verbesserten Workflow.

Beliebte Beiträge

Abkürzung DMA für Digital Markets Act als neue Gesetzgebung der Europäischen Union (EU)

Digital Markets Act: EU startet Untersuchung gegen Apple wegen Vertragsbedingungen

Die EU-Kommission hat Apple über vorläufige Verstöße gegen den Digital Markets Act informiert und ein neues Verfahren wegen der Vertragsbedingungen des App Stores eröffnet. Die Untersuchung konzentriert sich auf Steuerungsregeln und Gebühren für App-Entwickler. Erste Erkenntnisse deuten darauf hin, dass Apples Praktiken die Kommunikation der Entwickler mit ihren Kunden einschränken und übermäßige Gebühren erheben.

RETAIL-NEWS PARTNER

swyytr -der digitale Hub für die Food Economy. Jede Menge Information und Inspiration rund um die Lebensmittelbranche.
[Anzeige]
eRecht24 – Eine der bekanntesten Adressen rund um die wichtigen Themen Internetrecht und Datenschutz.