ANZEIGE
ANZEIGE

Datenschutzkonforme Nutzung von KI-Anwendungen: Eine Orientierungshilfe

Autor
Themen
Mann und Symbolik zu künstlicher Intelligenz (KI)
Foto: Gerd Altmann / Pixabay
Die Orientierungshilfe der unabhängigen Datenschutzaufsichtsbehörden gibt Einblicke in die datenschutzkonforme Nutzung von KI-Anwendungen. Sie erläutert rechtliche Grundlagen, bietet praktische Empfehlungen und hebt die Bedeutung von Transparenz, Datensicherheit und dem Schutz personenbezogener Daten hervor.
Beitrag teilen

Künstliche Intelligenz (KI) hat in den letzten Jahren zunehmend an Bedeutung gewonnen, insbesondere im Bereich der Large Language Models (LLM), also generativer KI. Diese Modelle, die häufig als Chatbots genutzt werden, aber auch für andere Anwendungen dienen können, wurden dank dem ChatGPT schnell in Unternehmen eingeführt, werfen jedoch zahlreiche datenschutzrechtliche Fragen auf, die berücksichtigt werden müssen.

Eine Orientierungshilfe der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder bietet einen umfassenden Überblick über die datenschutzrechtlichen Anforderungen, die für eine konforme Nutzung von KI-Anwendungen zu berücksichtigen sind.

RETAIL-NEWS hat die Orientierungshilfe, die als ausführliche PDF zum Download verfügbar ist, auf die wesentlichen Punkte gekürzt:

Konzeption des Einsatzes und Auswahl von KI-Anwendungen

1.1 Einsatzfelder und Zwecke bestimmen

Bevor eine KI-Anwendung eingesetzt wird, müssen die Verantwortlichen genau festlegen, welche Einsatzfelder vorgesehen sind und welchem Zweck die Anwendung dient. Diese Zweckfestlegung ist entscheidend für den datenschutzkonformen Betrieb, da nur so überprüft werden kann, ob die Verarbeitung personenbezogener Daten zur Zweckerreichung erforderlich ist. Für öffentliche Stellen ist es zudem wichtig sicherzustellen, dass das Einsatzfeld im Rahmen ihrer gesetzlichen Aufgaben liegt und die Datenverarbeitung zur Aufgabenerfüllung notwendig ist.

1.2 Einsatzfelder rechtmäßig?

Einige Einsatzfelder für KI-Anwendungen können von vornherein unzulässig sein. Die europäische KI-Verordnung verbietet beispielsweise Praktiken wie „Social Scoring“ und biometrische Echtzeitüberwachung öffentlicher Räume oder erlaubt sie nur unter sehr engen Bedingungen.

1.3 Einsatzfelder ohne personenbezogene Daten?

Es kann vorkommen, dass bestimmte Einsatzfelder keinerlei personenbezogene Daten beinhalten. In solchen Fällen unterliegen diese Bereiche nicht dem Datenschutzrecht. Dennoch sollte geprüft werden, ob ein Personenbezug durch andere Merkmale möglich ist, und diese Prüfung sollte über den gesamten Lebenszyklus der Daten hinweg erfolgen.

1.4 Datenschutzkonformes Training von KI-Anwendungen

Bei der Auswahl von KI-Anwendungen ist zu berücksichtigen, ob diese datenschutzkonform trainiert wurden. Verantwortliche müssen sicherstellen, dass Fehler beim Training nicht die Datenverarbeitung in ihrer Verantwortlichkeit beeinträchtigen.

1.5 Rechtsgrundlage für die Datenverarbeitung?

Für jeden Verarbeitungsschritt, bei dem personenbezogene Daten verarbeitet werden, ist eine datenschutzrechtliche Rechtsgrundlage erforderlich. Diese kann je nach Anwendung und Institution variieren.

1.6 Keine automatisierte Letztentscheidung

Entscheidungen mit Rechtswirkung dürfen grundsätzlich nur von Menschen getroffen werden. Eine lediglich formelle Beteiligung eines Menschen im Entscheidungsprozess ist nicht ausreichend.

1.7 Geschlossenes oder offenes System?

KI-Anwendungen können als geschlossene oder offene Systeme konzipiert sein. Geschlossene Systeme bieten aus datenschutzrechtlicher Sicht Vorteile, da die Kontrolle über Ein- und Ausgabedaten bei den Anwendenden bleibt.

1.8 Transparenz

Verantwortliche müssen sicherstellen, dass ihnen vom Anbieter ausreichend Informationen zur Verfügung gestellt werden, um die Transparenzanforderungen der Datenschutz-Grundverordnung (DS-GVO) umzusetzen.

1.9 Transparenz und Wahlmöglichkeit hinsichtlich KI-Training

Es muss geprüft werden, ob Ein- und Ausgabedaten für das Training verwendet werden und ob Nutzerdie Möglichkeit haben, diese Nutzung auszuschließen.

1.10 Transparenz und Wahlmöglichkeit hinsichtlich Eingabe-Historie

Nutzersollten selbst entscheiden können, ob ihre Eingabe-Historie gespeichert wird.

1.11 Berichtigung, Löschung und weitere Betroffenenrechte

Verantwortliche müssen gewährleisten, dass betroffene Personen ihre Rechte auf Berichtigung und Löschung ausüben können.

1.12 Datenschutzbeauftragte und Beschäftigtenvertretung einbinden

Datenschutzbeauftragte und Beschäftigtenvertretungen sollten bei Entscheidungen über KI-Anwendungen eingebunden werden.

Implementierung von KI-Anwendungen

2.1 Verantwortlichkeit festlegen und verbindlich regeln

Die Verantwortlichkeit muss klar festgelegt und verbindlich geregelt werden, besonders bei der Nutzung externer KI-Anwendungen.

2.2 Interne Regelungen treffen

Es sollten klare interne Regelungen für den Einsatz von KI-Anwendungen getroffen werden, um unkontrollierte Nutzung durch Beschäftigte zu vermeiden.

2.3 Datenschutz-Folgenabschätzung

Vor der Verarbeitung personenbezogener Daten ist eine Datenschutz-Folgenabschätzung (DSFA) durchzuführen, wenn ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen besteht.

2.4 Beschäftigte schützen, betriebliche Accounts einrichten

Beschäftigte sollten für die Nutzung von KI-Anwendungen betriebliche Geräte und Accounts nutzen, um die Entstehung von Profilen zu vermeiden.

2.5 Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen

Technische und organisatorische Maßnahmen sollten ergriffen werden, um die Datenschutzgrundsätze umzusetzen.

2.6 Datensicherheit

KI-Anwendungen müssen den Anforderungen an IT-Sicherheit genügen, um unbefugten Zugriff zu verhindern.

2.7 Beschäftigte sensibilisieren

Beschäftigte sollten durch Schulungen und Leitfäden über den datenschutzkonformen Einsatz von KI-Anwendungen informiert werden.

2.8 Weitere Entwicklungen verfolgen

Verantwortliche müssen aktuelle Entwicklungen im rechtlichen und technischen Bereich verfolgen, um die internen Vorgaben gegebenenfalls anzupassen.

Nutzung von KI-Anwendungen

3.1 Vorsicht bei Eingabe und Ausgabe personenbezogener Daten

Bei der Eingabe und Ausgabe personenbezogener Daten ist besondere Vorsicht geboten. Es muss sichergestellt werden, dass betroffene Personen über die Verwendung ihrer Daten informiert sind.

3.2 Besondere Vorsicht bei besonderen Kategorien personenbezogener Daten

Besondere Kategorien personenbezogener Daten unterliegen strengen Schutzvorschriften und dürfen nur unter bestimmten Bedingungen verarbeitet werden.

3.3 Ergebnisse auf Richtigkeit prüfen

Die Ergebnisse von KI-Anwendungen müssen auf ihre Richtigkeit überprüft werden, um unzulässige Verarbeitungen zu vermeiden.

3.4 Ergebnisse und Verfahren auf Diskriminierung prüfen

Verantwortliche müssen sicherstellen, dass die Ergebnisse von KI-Anwendungen keine diskriminierenden Auswirkungen haben.

→ Jetzt auch auf LinkedIn oder X (Twitter) folgen und keine News verpassen!
ANZEIGE
Drei Faktoren: Was zeichnet (wirklich) einen erfolgreichen Online-Shop aus?

Drei Faktoren: Was zeichnet (wirklich) einen erfolgreichen Online-Shop aus?

Wer als Shop-Betreiber, E-Commerce Manager oder Gründer einer E-Commerce-Marke erfolgreich werden möchte, muss drei grundsätzliche Faktoren, Verkaufspsychologie, Außendarstellung und Design sowie Nutzererlebnis, verinnerlichen. Die ganzheitliche Sicht hilft dabei, die Kunden besser zu verstehen, die Zielgruppe effektiver anzusprechen und die Produkte erfolgreicher zu verkaufen.

Drei Faktoren: Was zeichnet (wirklich) einen erfolgreichen Online-Shop aus?

Drei Faktoren: Was zeichnet (wirklich) einen erfolgreichen Online-Shop aus?

Wer als Shop-Betreiber, E-Commerce Manager oder Gründer einer E-Commerce-Marke erfolgreich werden möchte, muss drei grundsätzliche Faktoren, Verkaufspsychologie, Außendarstellung und Design sowie Nutzererlebnis, verinnerlichen. Die ganzheitliche Sicht hilft dabei, die Kunden besser zu verstehen, die Zielgruppe effektiver anzusprechen und die Produkte erfolgreicher zu verkaufen.