rechtsgrundlagen im datenschutz beim einsatz von künstlicher intelligenz

Rechtsgrundlagen im Datenschutz beim Einsatz von künstlicher Intelligenz

/ Allgemein, Datenschutz

Warum KI-Datenschutz zur Pflichtaufgabe wird

Künstliche Intelligenz verändert die Geschäftswelt fundamental. Von ChatGPT über automatisierte Bewerbermanagement-Systeme bis hin zu KI-gestützter Kundenanalyse – die Einsatzmöglichkeiten scheinen grenzenlos.

Doch mit den Chancen wachsen auch die rechtlichen Herausforderungen. Denn KI-Systeme verarbeiten regelmäßig personenbezogene Daten, treffen automatisierte Entscheidungen und schaffen neue Risiken für die Rechte Betroffener. Unternehmen, die KI einsetzen, bewegen sich in einem komplexen rechtlichen Spannungsfeld zwischen Innovation und Compliance.

Die Datenschutz-Grundverordnung bildet dabei das Fundament, wird aber durch den EU AI Act und nationale Vorschriften ergänzt. Viele Unternehmen unterschätzen, dass bereits die Wahl der falschen Rechtsgrundlage für die Datenverarbeitung erhebliche Bußgeldrisiken nach sich ziehen kann.

Die zentrale Frage lautet: Auf welcher rechtlichen Basis darf ich personenbezogene Daten für KI-Anwendungen verarbeiten? Und welche zusätzlichen Pflichten ergeben sich aus dem neuen KI-Rechtsrahmen?

Kontakt aufnehmen
Inhaltsübersicht
  1. Warum KI-Datenschutz zur Pflichtaufgabe wird
  2. Das Wichtigste im Überblick
  3. Rechtliche Grundlagen: Das Zusammenspiel von DSGVO, BDSG und EU AI Act
  4. Hauptaspekte: Die datenschutzrechtlichen Herausforderungen beim KI-Einsatz
  5. Praktische Tipps für datenschutzkonforme KI-Nutzung
  6. Checkliste: Datenschutzkonforme KI-Implementierung
  7. KI und Datenschutz im Einklang
  8. Häufig gestellte Fragen 

Das Wichtigste im Überblick

  • Rechtliche Komplexität: Der Einsatz von KI-Systemen erfordert ein Zusammenspiel mehrerer Rechtsgrundlagen aus DSGVO, BDSG und dem EU AI Act – eine bloße Einwilligung reicht häufig nicht aus.
  • Transparenzpflichten: Unternehmen müssen nachweisen können, wie ihre KI-Systeme personenbezogene Daten verarbeiten, welche Entscheidungslogik dahintersteckt und wie Betroffenenrechte gewährleistet werden.
  • Risikobasierter Ansatz: Je höher das Risiko für Grundrechte der Betroffenen, desto strenger sind die datenschutzrechtlichen Anforderungen – von Hochrisiko-KI bis zu minimalen Transparenzpflichten.

Rechtliche Grundlagen: Das Zusammenspiel von DSGVO, BDSG und EU AI Act

Die DSGVO als datenschutzrechtliches Fundament

Die Datenschutz-Grundverordnung gilt grundsätzlich für jede Verarbeitung personenbezogener Daten – also auch für KI-Systeme. Zentral ist dabei Art. 6 DSGVO, der die zulässigen Rechtsgrundlagen für die Datenverarbeitung abschließend aufzählt.

Besonders relevant für KI-Anwendungen sind:

Einwilligung: Die betroffene Person muss freiwillig, informiert und unmissverständlich in die Verarbeitung einwilligen. Bei KI-Systemen bedeutet dies konkret, dass Nutzer verstehen müssen, wie ihre Daten durch die KI verarbeitet werden. Die bloße Zustimmung zu allgemeinen Geschäftsbedingungen reicht nicht aus.

Vertragserfüllung: Die Verarbeitung ist zulässig, wenn sie zur Erfüllung eines Vertrags erforderlich ist. 

Berechtigtes Interesse: Diese Rechtsgrundlage ermöglicht die Verarbeitung, wenn das Interesse des Verantwortlichen die Interessen der Betroffenen überwiegt. Für KI-Anwendungen erfordert dies eine sorgfältige Interessenabwägung, die dokumentiert werden muss.

Automatisierte Einzelfallentscheidungen nach Art. 22 DSGVO

Ein zentraler Aspekt beim KI-Einsatz ist Art. 22 DSGVO. Diese Norm verbietet grundsätzlich automatisierte Entscheidungen, die rechtliche Wirkung entfalten oder die betroffene Person erheblich beeinträchtigen – etwa die automatisierte Ablehnung einer Kreditanfrage oder eines Bewerbungsverfahrens.

Ausnahmen bestehen nur, wenn:

  • die Entscheidung für die Vertragserfüllung erforderlich ist
  • eine ausdrückliche Einwilligung vorliegt
  • eine Rechtsvorschrift dies ausdrücklich erlaubt

Selbst bei Vorliegen einer Ausnahme müssen Unternehmen angemessene Maßnahmen treffen, um die Rechte der Betroffenen zu wahren – insbesondere das Recht auf menschliches Eingreifen und auf Anfechtung der Entscheidung.

Der EU AI Act als neuer Regulierungsrahmen

Der EU AI Act führt einen risikobasierten Ansatz ein und kategorisiert KI-Systeme nach ihrem Risikopotenzial. Während der AI Act primär die KI-Systeme selbst reguliert, hat er erhebliche Auswirkungen auf den Datenschutz:

Hochrisiko-KI-Systeme – etwa zur Personalauswahl oder Kreditwürdigkeitsprüfung – unterliegen strengen Anforderungen an Datenqualität, Dokumentation und menschliche Aufsicht. Diese Pflichten ergänzen die DSGVO-Anforderungen.

Verbotene KI-Systeme – beispielsweise Social-Scoring-Systeme oder biometrische Echtzeit-Fernidentifizierung im öffentlichen Raum – sind grundsätzlich untersagt und können auch datenschutzrechtlich nicht legitimiert werden.

Transparenzpflichten gelten selbst für KI-Systeme mit minimalem Risiko. Nutzer müssen darüber informiert werden, dass sie mit einem KI-System interagieren.

Hauptaspekte: Die datenschutzrechtlichen Herausforderungen beim KI-Einsatz

Wahl der richtigen Rechtsgrundlage

Die Auswahl der passenden Rechtsgrundlage ist entscheidend. Viele Unternehmen setzen reflexartig auf die Einwilligung, übersehen aber deren praktische Schwächen: Eine Einwilligung kann jederzeit widerrufen werden, was bei kontinuierlichen KI-Anwendungen zu Betriebsstörungen führen kann.

Für geschäftliche KI-Anwendungen ist häufig die Rechtsgrundlage des berechtigten Interesses praktikabler. Voraussetzung ist eine dokumentierte Interessenabwägung, die zeigt, dass das Unternehmensinteresse die Interessen der Betroffenen überwiegt.

Bei dieser Abwägung sind folgende Faktoren zu berücksichtigen:

  • Art und Umfang der Datenverarbeitung
  • Sensibilität der verarbeiteten Daten
  • Erwartungen der Betroffenen
  • Risiken für die Betroffenen
  • Vorhandene Schutzmaßnahmen

Transparenz und Informationspflichten

Die DSGVO verlangt in Art. 13 und 14 umfassende Informationspflichten. Bei KI-Systemen wird dies zur besonderen Herausforderung, da viele Unternehmen die innere Funktionsweise ihrer KI-Modelle selbst nicht vollständig durchschauen können.

Dennoch müssen Betroffene folgende Informationen erhalten:

  • Dass eine KI-basierte Verarbeitung stattfindet
  • Welche Rechtsgrundlage zugrunde liegt
  • Welche Zwecke verfolgt werden
  • Welche Datenkategorien verarbeitet werden
  • Wie lange Daten gespeichert werden
  • Welche Rechte ihnen zustehen

Bei automatisierten Entscheidungen nach Art. 22 DSGVO kommen zusätzliche Informationspflichten hinzu: Unternehmen müssen aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen der Verarbeitung bereitstellen.

Diese Transparenzpflicht ist mehr als eine formale Anforderung. Sie ermöglicht es Betroffenen, ihre Rechte wahrzunehmen und gegebenenfalls Widerspruch einzulegen.

Datenminimierung

Das Prinzip der Datenminimierung verlangt, dass nur die Daten verarbeitet werden, die für den Zweck erforderlich sind. Bei KI-Systemen, die oft von großen Datenmengen profitieren, entsteht ein Spannungsverhältnis.

Die Lösung liegt in einer differenzierten Betrachtung: Für das Training von KI-Modellen können umfangreichere Datensätze notwendig sein, während im produktiven Einsatz nur minimale Daten verarbeitet werden sollten. Zudem können Anonymisierungs- und Pseudonymisierungstechniken helfen, den Personenbezug zu reduzieren.

Datenschutz-Folgenabschätzung bei Hochrisiko-KI

Art. 35 DSGVO schreibt eine Datenschutz-Folgenabschätzung vor, wenn die Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. KI-Anwendungen erfüllen diese Voraussetzung häufig, insbesondere wenn:

  • umfangreiche systematische Überwachung stattfindet
  • automatisierte Entscheidungen mit Rechtswirkung getroffen werden
  • besondere Kategorien von Daten verarbeitet werden

Die Datenschutz-Folgenabschätzung muss systematisch beschreiben, welche Verarbeitungsvorgänge stattfinden, welche Risiken bestehen und welche Maßnahmen zur Risikominimierung getroffen werden. 

Verantwortlichkeit und Nachweispflichten

Die DSGVO verlangt in Art. 5 die Rechenschaftspflicht: Verantwortliche müssen die Einhaltung der Datenschutzgrundsätze nachweisen können. Bei KI-Systemen bedeutet dies konkret:

  • Dokumentation der Rechtsgrundlagen
  • Nachvollziehbarkeit der KI-Entscheidungen
  • Protokollierung von Datenverarbeitungsvorgängen
  • Dokumentation der Interessenabwägung
  • Nachweis geeigneter technischer und organisatorischer Maßnahmen

Praktische Tipps für datenschutzkonforme KI-Nutzung

Vertragliche Absicherung bei KI-Anbietern

Prüfen Sie vor dem Einsatz externer KI-Dienste sorgfältig die Verträge. Achten Sie insbesondere auf:

  • Vollständige Auftragsverarbeitungsvereinbarungen 
  • Transparente Informationen über Speicherorte der Daten
  • Garantien für die Einhaltung der DSGVO
  • Vereinbarungen über Drittlandtransfers und Standardvertragsklauseln
  • Regelungen zur Löschung von Daten nach Vertragsende

Interne Richtlinien und Schulungen

Entwickeln Sie klare interne Richtlinien für den KI-Einsatz. Diese sollten regeln:

  • Welche KI-Tools im Unternehmen zugelassen sind
  • Welche Daten in KI-Systeme eingegeben werden dürfen
  • Wie mit automatisierten Entscheidungen umzugehen ist
  • Wer für die Überwachung der KI-Systeme zuständig ist

Schulen Sie Ihre Mitarbeiter regelmäßig über datenschutzkonforme KI-Nutzung. Viele Datenschutzverstöße entstehen nicht aus böser Absicht, sondern aus Unkenntnis.

Technische und organisatorische Maßnahmen

Implementieren Sie angemessene Schutzmaßnahmen:

  • Pseudonymisierung oder Anonymisierung wo möglich
  • Verschlüsselung bei Übertragung und Speicherung
  • Zugriffskontrollen und Berechtigungskonzepte
  • Regelmäßige Überprüfung und Aktualisierung der KI-Systeme
  • Protokollierung zur Nachvollziehbarkeit von Entscheidungen

Wenn Sie mit meiner Unterstützung die rechtlichen Rahmenbedingungen für Ihre KI-Projekte klären möchten, stehe ich Ihnen gerne zur Verfügung. Vereinbaren Sie ein Erstgespräch, in dem ich Ihre individuelle Situation bewerte.

Checkliste: Datenschutzkonforme KI-Implementierung

Nutzen Sie diese Checkliste zur Überprüfung Ihrer KI-Projekte:

Vor der Implementierung:

  • Wurde eine Datenschutz-Folgenabschätzung durchgeführt?
  • Ist die Rechtsgrundlage für die Datenverarbeitung klar definiert?
  • Wurden Betroffene über die KI-Nutzung informiert?
  • Liegt bei externen Diensten ein Auftragsverarbeitungsvertrag vor?
  • Wurden technische und organisatorische Maßnahmen definiert?

Bei automatisierten Entscheidungen:

  • Erfolgt eine menschliche Überprüfung bedeutsamer Entscheidungen?
  • Können Betroffene ihren Standpunkt darlegen?
  • Ist die Logik der Entscheidungsfindung dokumentiert?
  • Besteht die Möglichkeit zur Anfechtung?

Im laufenden Betrieb:

  • Werden KI-Entscheidungen protokolliert?
  • Erfolgt eine regelmäßige Überprüfung der Datenqualität?
  • Sind Löschfristen definiert und werden sie eingehalten?
  • Werden Mitarbeiter regelmäßig geschult?
  • Ist ein Prozess für Betroffenenanfragen etabliert?

Dokumentation:

  • Ist die KI-Verarbeitung im Verzeichnis der Verarbeitungstätigkeiten erfasst?
  • Wurde die Interessenabwägung dokumentiert?
  • Liegen alle relevanten Verträge vor?
  • Sind die Informationspflichten erfüllt?

KI und Datenschutz im Einklang

Der Einsatz künstlicher Intelligenz ist datenschutzrechtlich anspruchsvoll, aber keineswegs unmöglich. Die zentrale Herausforderung besteht darin, Innovation und Compliance in Einklang zu bringen. Unternehmen, die von Anfang an datenschutzrechtliche Anforderungen berücksichtigen, schaffen nicht nur Rechtssicherheit, sondern auch Vertrauen bei Kunden und Geschäftspartnern.

Die rechtlichen Rahmenbedingungen sind komplex und entwickeln sich dynamisch weiter. Die DSGVO bietet das grundlegende Regelwerk, wird aber durch den EU AI Act ergänzt und konkretisiert. Beide Regelwerke müssen zusammen betrachtet werden, um vollständige Compliance zu erreichen.

Drei zentrale Erfolgsfaktoren für datenschutzkonforme KI sind:

  • Sorgfältige Auswahl der Rechtsgrundlage und deren Dokumentation
  • Umfassende Transparenz gegenüber Betroffenen
  • Implementierung wirksamer technischer und organisatorischer Maßnahmen

Unternehmen sollten KI-Projekte nicht scheuen, aber sie müssen diese rechtlich fundiert aufsetzen. Eine frühzeitige juristische Beratung spart oft erhebliche Kosten und Aufwand in späteren Projektphasen.

Häufig gestellte Fragen 

Brauche ich für den Einsatz von ChatGPT im Unternehmen eine Einwilligung meiner Mitarbeiter?

Nicht zwingend, wenn die Nutzung für betriebliche Zwecke erforderlich ist und auf einer anderen Rechtsgrundlage basiert. Problematisch ist jedoch die Eingabe personenbezogener Daten in öffentliche KI-Tools. Hier sollten Sie klare Nutzungsrichtlinien aufstellen und wenn möglich auf europäische oder On-Premise-Lösungen setzen. Eine pauschale Einwilligung ersetzt nicht die Prüfung der konkreten Rechtsgrundlage.

Was ist eine automatisierte Einzelfallentscheidung und wann liegt sie vor?

Eine automatisierte Einzelfallentscheidung liegt vor, wenn eine Entscheidung ausschließlich auf einer automatisierten Verarbeitung beruht und rechtliche Wirkung entfaltet oder die Person erheblich beeinträchtigt. Beispiele sind die automatische Ablehnung eines Kredits oder einer Bewerbung. Entscheidend ist, dass keine menschliche Überprüfung stattfindet. Selbst ein formales Abhaken durch einen Menschen reicht nicht aus – es muss eine substantielle Prüfung erfolgen.

Wie kann ich die Anforderungen an Transparenz bei komplexen KI-Systemen erfüllen?

Sie müssen nicht die mathematischen Details Ihres KI-Modells offenlegen. Erforderlich ist vielmehr eine verständliche Erklärung in einfacher Sprache: Welche Daten werden verarbeitet? Welche Entscheidungen werden getroffen? Nach welchen Kriterien? Welche Folgen hat die Entscheidung? Nutzen Sie konkrete Beispiele und visualisieren Sie den Prozess wenn möglich. Die Information muss es Betroffenen ermöglichen, ihre Rechte wahrzunehmen.

Muss ich für jedes KI-System eine Datenschutz-Folgenabschätzung durchführen?

Nein, nur wenn die Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Dies ist typischerweise bei automatisierten Entscheidungen mit Rechtswirkung, systematischer Überwachung oder Verarbeitung besonderer Kategorien von Daten der Fall. Bei Unsicherheit sollten Sie lieber eine DSFA durchführen – sie bietet auch rechtliche Absicherung und zeigt, dass Sie Ihre Sorgfaltspflichten erfüllt haben.

Wie lange darf ich Daten speichern, die für das Training von KI-Modellen verwendet wurden?

Es gilt der Grundsatz der Speicherbegrenzung. Trainingsdaten sollten gelöscht werden, sobald sie für den Trainingszweck nicht mehr erforderlich sind. In der Praxis kann dies bedeuten, dass Sie nach Abschluss des Trainings und einer angemessenen Validierungsphase die Rohdaten löschen, während das trainierte Modell weiter genutzt wird. Definieren Sie klare Löschfristen und dokumentieren Sie diese. Bei berechtigtem Interesse müssen Sie regelmäßig prüfen, ob die Speicherung noch gerechtfertigt ist.

Muss ich Nutzer darüber informieren, wenn ein Chatbot auf meiner Website KI-gesteuert ist?

Ja, die Transparenzpflicht verlangt eine Information über KI-Nutzung. Dies gilt insbesondere, wenn personenbezogene Daten verarbeitet werden. Idealerweise erfolgt die Information vor der ersten Interaktion, etwa durch einen deutlichen Hinweis am Chatbot-Fenster. In Ihrer Datenschutzerklärung sollten Sie zusätzlich detaillierte Informationen über die KI-Verarbeitung bereitstellen.

Was bedeutet der EU AI Act für meine bestehenden KI-Systeme?

Bestehende KI-Systeme müssen an die neuen Anforderungen angepasst werden. Für Hochrisiko-KI gelten Übergangsfristen. Sie sollten jetzt analysieren, welche Ihrer KI-Systeme unter die Hochrisiko-Kategorie fallen und einen Umsetzungsplan entwickeln. Selbst für Systeme mit minimalem Risiko gelten Transparenzpflichten. Ignorieren ist keine Option – der AI Act sieht empfindliche Bußgelder vor.

Kontakt aufnehmen
Nach oben scrollen