Künstliche Intelligenz im Unternehmen – Chancen und rechtliche Risiken
Künstliche Intelligenz (KI) verändert die Arbeitswelt grundlegend. Unternehmen setzen KI-Systeme inzwischen in nahezu allen Bereichen ein – von der Kundenkommunikation über das Personalwesen bis hin zur Datenanalyse und Automatisierung von Geschäftsprozessen. Anwendungen wie ChatGPT, Microsoft Copilot oder spezialisierte KI-Lösungen versprechen erhebliche Effizienzsteigerungen.
Gleichzeitig entstehen jedoch neue datenschutzrechtliche Herausforderungen. Viele Unternehmen nutzen KI-Systeme, ohne sich ausreichend mit den Anforderungen der Datenschutz-Grundverordnung (DSGVO) und des europäischen AI Acts auseinanderzusetzen. Dies kann zu erheblichen Haftungsrisiken, Bußgeldern und Reputationsschäden führen.
Warum KI aus datenschutzrechtlicher Sicht besonders kritisch ist
Künstliche Intelligenz verarbeitet regelmäßig große Mengen an Daten. Dabei können auch personenbezogene Daten betroffen sein, beispielsweise:
- Kunden- und Kontaktdaten
- Mitarbeiterdaten
- Bewerberinformationen
- Kommunikationsinhalte
- Nutzungs- und Verhaltensdaten
Bereits die Eingabe personenbezogener Daten in externe KI-Systeme stellt eine Datenverarbeitung im Sinne der DSGVO dar. Unternehmen müssen daher sicherstellen, dass für jede Verarbeitung eine rechtliche Grundlage besteht.
Besonders problematisch ist, dass viele KI-Anwendungen als sogenannte „Black Box“ funktionieren. Nutzer können häufig nicht nachvollziehen, wie die Systeme Entscheidungen treffen oder welche Daten zu Trainingszwecken verwendet werden.
DSGVO-Anforderungen beim Einsatz von KI
1. Rechtsgrundlage der Datenverarbeitung
Unternehmen müssen prüfen, auf welcher Grundlage personenbezogene Daten verarbeitet werden. Je nach Anwendungsfall kommen insbesondere in Betracht:
- Einwilligung der betroffenen Person
- Vertragserfüllung
- berechtigte Interessen des Unternehmens
- gesetzliche Verpflichtungen
Die pauschale Nutzung einer KI-Anwendung ohne datenschutzrechtliche Prüfung genügt den gesetzlichen Anforderungen regelmäßig nicht.
2. Transparenzpflichten
Betroffene Personen müssen darüber informiert werden, dass ihre Daten durch KI-Systeme verarbeitet werden. Die Datenschutzerklärung sollte daher entsprechend angepasst werden.
Insbesondere muss transparent dargestellt werden:
- welche Daten verarbeitet werden,
- zu welchem Zweck die Verarbeitung erfolgt,
- welche KI-Systeme eingesetzt werden,
- ob automatisierte Entscheidungen getroffen werden.
3. Auftragsverarbeitung
Werden externe KI-Anbieter genutzt, ist häufig ein Vertrag zur Auftragsverarbeitung erforderlich.
Unternehmen sollten insbesondere prüfen:
- Wo werden die Daten gespeichert?
- Erfolgt eine Übermittlung in Drittstaaten?
- Werden die Daten zum Training der KI verwendet?
- Welche technischen und organisatorischen Maßnahmen bestehen?
4. Datenschutz-Folgenabschätzung
Bei besonders risikoreichen KI-Anwendungen kann eine Datenschutz-Folgenabschätzung (DSFA) erforderlich sein.
Dies gilt insbesondere bei:
- umfangreicher Überwachung von Personen,
- automatisierten Entscheidungen,
- Profiling,
- Verarbeitung sensibler Daten,
- KI-gestützten Bewerbungsverfahren.
Eine unterlassene DSFA kann selbstständig einen Datenschutzverstoß darstellen.
Der AI Act: Neue Pflichten für Unternehmen
Mit dem europäischen AI Act entsteht erstmals ein umfassender Rechtsrahmen für künstliche Intelligenz.
Der AI Act verfolgt einen risikobasierten Ansatz und unterscheidet zwischen:
Verbotenen KI-Systemen
Bestimmte Anwendungen sind grundsätzlich untersagt, beispielsweise besonders manipulative oder diskriminierende Systeme.
Hochrisiko-KI
Für Hochrisiko-Systeme gelten umfangreiche Anforderungen hinsichtlich:
- Dokumentation,
- Risikomanagement,
- Transparenz,
- menschlicher Kontrolle,
- Datenqualität.
KI-Systeme mit Transparenzpflichten
Bestimmte Systeme müssen Nutzer darüber informieren, dass sie mit einer KI interagieren.
Unternehmen sollten frühzeitig prüfen, ob ihre eingesetzten Anwendungen unter die Vorgaben des AI Acts fallen.
Typische Fehler beim Einsatz von KI
In der anwaltlichen Beratung zeigen sich immer wieder ähnliche Problemfelder:
Nutzung von ChatGPT mit personenbezogenen Daten
Mitarbeiter geben Kundendaten, Vertragsinhalte oder interne Informationen in KI-Systeme ein, ohne die datenschutzrechtlichen Konsequenzen zu berücksichtigen.
Fehlende KI-Richtlinien
Viele Unternehmen verfügen über keine verbindlichen Vorgaben zur Nutzung von KI-Anwendungen.
Unzureichende Dokumentation
Häufig fehlen Verarbeitungsverzeichnisse, Risikoanalysen oder Vertragsunterlagen mit den Anbietern.
Keine Schulung der Mitarbeiter
Selbst die beste Compliance-Struktur hilft wenig, wenn Mitarbeiter nicht wissen, welche Daten in KI-Systeme eingegeben werden dürfen.
Handlungsempfehlungen für Unternehmen
Unternehmen sollten den Einsatz von KI systematisch überprüfen.
Empfehlenswert sind insbesondere folgende Maßnahmen:
- Bestandsaufnahme aller eingesetzten KI-Systeme
- Datenschutzrechtliche Prüfung der Anwendungen
- Erstellung einer KI-Richtlinie
- Überprüfung bestehender Datenschutzhinweise
- Abschluss erforderlicher Auftragsverarbeitungsverträge
- Durchführung von Risikoanalysen
- Schulung der Mitarbeiter
- Vorbereitung auf die Anforderungen des AI Acts
Fazit
Künstliche Intelligenz bietet Unternehmen erhebliche Chancen, bringt jedoch zugleich neue datenschutzrechtliche und regulatorische Pflichten mit sich. Die DSGVO gilt auch für KI-Anwendungen uneingeschränkt. Darüber hinaus schafft der AI Act zusätzliche Anforderungen, die Unternehmen bereits heute berücksichtigen sollten.
Eine frühzeitige rechtliche Prüfung hilft, Bußgelder, Haftungsrisiken und Compliance-Verstöße zu vermeiden. Unternehmen sollten daher ihre KI-Systeme nicht nur technisch, sondern auch rechtlich bewerten lassen.
Rechtliche Unterstützung bei KI-Compliance und Datenschutz
Weser Datenschutz berät Unternehmen bundesweit zu allen Fragen rund um den datenschutzkonformen Einsatz von KI-Systemen. Wir prüfen bestehende Anwendungen, erstellen KI-Richtlinien, führen Datenschutz-Folgenabschätzungen durch und unterstützen bei der Umsetzung der Anforderungen aus DSGVO und AI Act.
Sprechen Sie uns an, wenn Sie den Einsatz künstlicher Intelligenz rechtssicher gestalten möchten.