© Rawpixel.com - Freepik.com
Wissensbox Recht

Datenschutzkonforme Auswahl und Implementierung von KIDatenschutzkonforme Auswahl und Implementierung von KI

Damit Unternehmen von den Möglichkeiten Künstlicher Intelligenz profitieren, muss die Auswahl und Implementierung datenschutzkonform sein. Wir erklären, worauf es ankommt und geben Ihnen knappe Checklisten an die Hand.

Im Büroalltag werden vielfach Large Language Modells (LLMs) für die Erstellung kürzerer Textpassagen, im Kundensupport oder Recruiting eingesetzt. Was aber gilt es bei der Auswahl sowie der Implementierung aus rechtlicher Sicht zu beachten?

Viele Unternehmen fragen sich, wie sie LLMs zukünftig datenschutzkonform einsetzen können. Die Datenschutzgrundverordnung (DSGVO) stellt einige Herausforderungen, die unter anderem Transparenzpflichten, Betroffenenrechte, die Richtigkeit von Ergebnissen oder auch die Schulung von Mitarbeitenden betreffen. Durch frühes Adressieren der Herausforderungen im Prozess können einige Hürden von vornherein umgangen werden. Daher ist es sinnvoll, vorausschauend auch schon bei der Auswahl des LLM den Datenschutz mitzudenken. Im Folgenden zeigen wir die datenschutzrechtlichen Anforderungen an die Auswahl und Implementierung von LLMs auf und stellen Checklisten zur Sicherstellung der Rechtskonformität vor.

Auswahl

Bei der Auswahl der KI-Anwendung sind einige Punkte wie etwa die geplanten Einsatzzwecke, die datenschutzkonforme Entwicklung der Anwendung, Transparenz sowie die Datensparsamkeit in der Verwendung zu berücksichtigen. Werden diese Punkte schon bei der Auswahl beachtet, kann man sich unter Umständen spätere Schwierigkeiten bei der Erfüllung von Anforderungen ersparen. Grundsätzlich sollte bei der Auswahlentscheidung über eine KI-Anwendung daher stets der Datenschutzbeauftragte eingebunden werden.

Identifizierung geplanter Einsatzzwecke

In einem ersten Schritt sollten die Zwecke identifiziert werden, für welche der Einsatz von KI-Anwendungen geplant ist. Anhand dieser Zweckbestimmung kann beurteilt werden, ob zur Erreichung des Zweckes der Einsatz Künstlicher Intelligenz und die Verarbeitung personenbezogener Daten erforderlich sind. Dieser Schritt hilft auch dabei, die datenschutzrechtliche Rechtsgrundlage der Verarbeitung herauszuarbeiten, die angegeben werden muss. Und er bereitet die gegebenenfalls erforderliche Datenschutz-Folgenabschätzung vor.

Datenschutzkonformes und datensparsames Training der KI

In die Auswahlentscheidung zwischen verschiedenen KI-Anwendungen, die denselben Zweck erfüllen, sollte nach Möglichkeit mit einbezogen werden, ob beim Training der Anwendung durch den Entwickler die Grundsätze des Schutzes personenbezogener Daten berücksichtigt wurden. So kann ausgeschlossen werden, dass datenschutzwidriges Verhalten bei der Entwicklung negative Auswirkungen in der späteren Nutzung und Erfüllung der eigenen Pflichten hat.

Unter anderem sollte die Nutzung der Trainingsdaten sowie jeder weitere Verarbeitungsschritt auf wirksamer Rechtsgrundlage erfolgt sein. Fällt die Wahl beispielsweise auf einen europäischen oder – noch konkreter – deutschen Entwickler, müssen nicht mühsam verschiedene Datenschutzstandards verglichen werden.

Bei der Auswahl der für das eigene Unternehmen richtigen KI-Anwendung sollte auch die Datensparsamkeit eine Rolle spielen. Idealerweise sollten die eingegebenen Daten sowie der selbst durch Prompts generierte Output nicht zum Training der KI weiterverwendet werden. So kann verhindert werden, dass Daten, die Rückschlüsse auf Beschäftigte oder Kunden ermöglichen, in das Modell der KI oder zu deren Entwickler gelangen. Die Auswahl der KI-Anwendung sollte daher vorzugsweise auf Tools fallen, welche die Daten entweder grundsätzlich nicht zum Training verwenden oder die ein Opt-Out ermöglichen. Dieses Opt-Out muss in dem letztgenannten Fall durch Mitarbeitende auch ausgeübt werden. Hier spielt die Schulung der Mitarbeitenden eine wichtige Rolle.

Unkomplizierte Gewährleistung von Betroffenenrechten

Neben den Anforderungen an das Training der KI-Anwendung sollten auch in die KI eingebaute Features zur Erfüllung der Betroffenenrechte eine wichtige Rolle bei der Auswahlentscheidung spielen. So kann die spätere Arbeitsbelastung für das eigene Unternehmen möglichst geringgehalten werden.

Grundsätzlich gilt, dass von Datenverarbeitung betroffene Personen transparent über die Verarbeitung und deren Rechtsgrundlage informiert werden müssen. Dies betrifft sowohl Input-Daten mit Personenbezug als auch Daten, welche erst im Output Personenbezug oder Personenbeziehbarkeit aufweisen. Diese Information kann beispielsweise durch entsprechende Datenschutzhinweise erfolgen. Um dieser Pflicht von Seiten des Unternehmens nachkommen zu können, müssen u. U. die Anbieter der KI-Anwendung entsprechende Informationen zur Verfügung stellen. Bei der Auswahlentscheidung ist also Anbietern der Vorzug zu geben, die diese Anforderung erfüllen.

Werden KI-Anwendungen zur automatisierten Entscheidungsfindung verwendet, folgen hieraus weitere datenschutzrechtliche Informationspflichten. In diesem Fall muss auch über die Logik, die bei der Entscheidungsfindung verwendet wurde, und die Auswirkungen für den Betroffenen informiert werden. Insbesondere müssen auch diese Informationen dem Unternehmen zuvor durch den Anbieter der KI-Anwendung zur Verfügung gestellt werden. Das Wissen um die verwendete Logik ist für das Unternehmen noch aus einem weiteren Grund von Bedeutung. Entscheidungen mit rechtlichen Wirkungen dürfen nicht ausschließlich und automatisiert durch KI-Anwendungen getroffen werden. Damit aber ein Mensch die Letztentscheidung aufbauend auf der Vorarbeit der KI treffen kann, muss die Vorarbeit nachvollziehbar sein. Nur so ist eine von dem Vorschlag der Anwendung unabhängige Willensbildung möglich.

Checkliste: Auswahl

  1. Einsatzzweck festlegen!
  2. Datenschutzkonform entwickelte Systeme favorisieren!
  3. Datensparsame Anwendungen bevorzugen!
  4. Systeme mit unproblematischer Erfüllung der Betroffenenrechte (‚auf Knopfdruck‘) wählen!

Implementierung

Ist unter Einbeziehung des Datenschutzbeauftragten die Entscheidung über die Auswahl der KI-Anwendung gefallen, muss die Implementierung im Unternehmen organisiert werden. Um die spätere Nutzung reibungslos zu gewährleisten, gilt es einige Vorbereitung zu treffen. Im Folgenden stellen wir eine Auswahl datenschutzbezogener Vorbereitungen vor.

Verantwortlichkeiten regeln

Im datenschutzrechtlichen Sinne ‚Verantwortlicher‘ ist, wer die Zwecke und Mittel der Datenverarbeitung festlegt. Hierfür muss nicht unbedingt die Möglichkeit des unmittelbaren Zugriffs auf die Daten bestehen. Daher sind im Rahmen der Verwendung von KI-Anwendungen verschiedene Verantwortlichkeitskonstellationen möglich. Diese können von der alleinigen Verantwortlichkeit des Unternehmens über ein mögliches Auftragsdatenverarbeitungsverhältnis zwischen Unternehmen und KI-Anbieter bis hin zur gemeinsamen Verantwortlichkeit beider reichen. Die Art des Verhältnisses muss analysiert und die notwendigen Vereinbarungen müssen getroffen werden.

Datenschutz-Folgenabschätzung

Ist der Einsatz einer KI-Anwendung mit einem hohen Risiko für die Rechte von Betroffenen verbunden, sollte vor dem Einsatz der Anwendung eine Datenschutz-Folgenabschätzung (DSFA) durchgeführt werden. Dies muss gesondert für jede neue KI-Anwendung sowie jeden Einsatzzweck der KI-Anwendung geschehen. Bei einem weitreichenden Unterstützungssystem für das Recruiting kann es sich etwa um eine KI-Anwendung mit hohem Risiko für Betroffene handeln. Im Rahmen der DSFA sind dann die Risiken zu benennen und in einem ersten Schritt gegen die Zwecke der KI-Anwendung abzuwägen. Sodann sollten Abhilfemaßnahmen zur Eindämmung des Risikos herausgearbeitet werden. Diese Risikominderungsmaßnahmen sind im Rahmen der weiteren Implementierung und Nutzung umzusetzen.

Interne Richtlinien, Sensibilisierung der Mitarbeitenden und Datenschutzhinweise

Um den Einsatz von konkreten KI-Anwendungen im Unternehmen vorzubereiten, sollte eine unternehmensinterne Richtlinie zum Umgang mit KI festgelegt werden. In dieser sollten unter anderem der im Unternehmen gewünschte und erlaubte sowie der verbotene Einsatz von KI anhand von Szenarien dargestellt sein.

Neben diesen internen Nutzungsrichtlinien müssen – wie für die Datenverarbeitung ohne KI– Datenschutzhinweise formuliert werden. Ist die KI-Anwendung in die Website eingebunden, können die Datenschutzhinweise beispielsweise in den Datenschutzerklärungen der Website ergänzt werden.

Für die Nutzung der Anwendungen sollten den Mitarbeitenden Geräte sowie Geschäftsaccounts zur Verfügung gestellt werden. So wird die Möglichkeit der Rückschlüsse auf sie als Person minimiert. Gleiches gilt für u.U. anzugebende E-Mail-Adressen sowie Telefonnummern.

Zusätzlich sollten Mitarbeitende, die zukünftig KI verwenden sollen, in Schulungen über die unternehmensinternen Richtlinien informiert und grundsätzlich für Chancen und Risiken von KI sensibilisiert werden („AI literacy“).

Checkliste: Implementierung

  1. Verantwortlichkeiten festlegen!
  2. Notwendigkeit einer Datenschutz-Folgenabschätzung analysieren!
  3. Aufstellen unternehmensinterner Richtlinien!
  4. Formulierung von Datenschutzhinweisen!
  5. Sensibilisierung von Mitarbeitenden in Schulungen!

Zusammenfassung und Fazit

Wie gezeigt, sollte der Einsatz von KI im Unternehmen sorgsam vorbereitet werden, um späteren Problemen zuvorzukommen. Datenschutzrechtliche Herausforderungen stellen sich vor allem bezogen auf die Datenschutzkonformität von lizenzierten KI-Anwendungen. Oder sie betreffen die Komplexität der Umsetzung der Pflichten, die sich in Verbindung mit Betroffenenrechten ergeben. Außerdem sollten Mitarbeitende durch die Zurverfügungstellung von Leitlinien und Schulungen auf den Einsatz von KI im Berufsumfeld vorbereitet und für Risiken aber auch Chancen der Technologie sensibilisiert werden.

Werden jedoch einige einfache Schritte bei der Auswahl des Anbieters sowie der KI-Anwendung beachtet und wird die Implementierung im Unternehmen gut vorbereitet, steht der erfolgreichen Nutzung von KI im Unternehmen nichts im Wege.

Weiterführende Quellen

Verwandte Beiträge