2024-08 ki und datenschutz teaser

KI und Datenschutz

Worauf Sie beim Einsatz künstlicher Intelligenz achten sollten

KI-Tools wie ChatGPT oder Microsoft-Copilot sind derzeit in aller Munde. Aber auch Tools zur Arbeitnehmerüberwachung oder zur Bewertung von Kunden sind auf dem Vormarsch. In diesem Beitrag erfahren Sie, was Sie beim Einsatz von KI-Tools in Ihrem Unternehmen aus Sicht des Datenschutzes beachten müssen, um hohe Bußgelder zu vermeiden.

Datenschutz von Anfang an mitdenken

Bereits vor der Implementierung einer künstlichen Intelligenz in Ihrem Unternehmen sollten Sie sich über die Datenschutzaspekte dieser Technologie Gedanken machen. Zunächst ist dabei zu unterscheiden, ob Sie mit dieser künstlichen Intelligenz personenbezogene Daten verarbeiten möchten. Personenbezogene Daten sind alle Informationen, die einer identifizierten oder identifizierbaren Person zugeordnet werden können.

2024-08 ki und datenschutz rechtsgrundlage

Wenn Sie mittels der KI personenbezogene Daten verarbeiten (bspw. von Kunden), benötigen Sie hierfür zunächst eine Rechtsgrundlage. Sofern der Einsatz der KI Teil Ihrer vertraglichen Leistung gegenüber dem Kunden ist, besteht in dem Vertrag gleichzeitig auch die Rechtsgrundlage.

Andernfalls benötigen sie die Einwilligung der betroffenen Person. Da diese Einwilligung dokumentiert eingeholt werden muss, empfiehlt sich die Verwendung eines speziell für diese Verarbeitung angepassten Einwilligungsformulars.

Datenschutzfolgenabschätzung

Für besonderes risikoreiche Datenverarbeitungen ordnet die DSGVO die Durchführung einer so genannten Datenschutzfolgenabschätzung (DSFA) an. In dieser Abschätzung müssen schriftlich u.a. die Erforderlichkeit der Verarbeitung, die Risiken, sowie Maßnahmen zur Risikominimierung eruiert werden. Ob eine solche DSFA erforderlich ist, muss im Einzelfall entschieden werden.

Informationspflichten und Betroffenenrechte beachten

Wenn Sie mittels KI-Tools personenbezogene Daten verarbeiten, müssen Sie die in der DSGVO aufgeführten Rechte der betroffenen Personen wahren. Besonders wichtig ist die Informationspflicht gem. Art. 12-14 DSGVO. Aus dieser folgt, dass der betroffenen Person u.a. Informationen zur Verantwortlichen Stelle, zur Datenverarbeitung selbst, zu ihren Rechten und zur Übermittlung der Daten an Dritte zu Kenntnis gebracht werden müssen.

2024-08 ki und datenschutz datenschutzhinweise

In der Regel kommunizieren Sie diese Informationen über die Datenschutzhinweise. Diese sollten Sie bei der Einführung einer KI-gestützten Datenverarbeitung unbedingt anpassen. Besondere Vorsicht sollte man vor Mustern aus dem Netz walten lassen: Diese sind rechtlich oft untauglich. Wir beraten Sie hier gerne und erarbeiten mit Ihnen angepasste Dokumente.

Betroffenenrechte

Zudem haben die betroffenen Personen einen Anspruch auf Auskunft, Einschränkung der Verarbeitung, Löschung, Berichtigung oder Datenübertragbarkeit, sofern die gesetzlichen Voraussetzungen dafür vorliegen. Daher sollten Sie Ansprechpartner benennen und feste Abläufe zur Beantwortung und Bearbeitung dieser Anfragen etablieren. Die verantwortlichen Mitarbeiter sollten für die Thematik sensibilisiert werden.

2024-08 ki und datenschutz betroffene

Auftragsverarbeitung und Verzeichnis der Verarbeitungstätigkeiten

In den meisten Fällen setzen Unternehmen nicht eigens entwickelte KI ein, sondern greifen auf die Tools von Dienstleistern zurück. In diesem Fall liegt bei der Verarbeitung von personenbezogenen Daten durch diese Tools meist eine so genannte Auftragsverarbeitung des Dienstleistes vor. Vergessen Sie daher nicht, mit dem Dienstleister neben dem Leistungsvertrag auch einen Auftragsverarbeitungsvertrag abzuschließen, der die Rechte und Pflichten des Auftragsverarbeiters regelt.

Zudem stellt die Anwendung von KI häufig eine besondere Verarbeitungstätigkeit da, die im Verzeichnis der Verarbeitungstätigkeiten aufgenommen werden muss.

KI, Arbeitnehmerrechte und Betriebsrat

Besonderen Schutz genießen auch die Daten der eigenen Mitarbeiter. Daher ist es nicht ohne weiteres möglich, Mitarbeiterdaten durch die KI verarbeiten zu lassen, um Aussagen über ihre Leistungen oder Effektivität zu gewinnen. Zwar ist nach DSGVO und BDSG eine Verarbeitung der Mitarbeiterdaten legitim, solange sie zur Durchführung des Beschäftigungsverhältnisses erforderlich ist. Die Bewertung der Leistung oder Effektivität des Mitarbeiters gehen allerdings über eine solche Erforderlichkeit hinaus.

2024-08 ki und datenschutz leistungsbewertung

Als Rechtsgrundlage für einen derartigen KI-Einsatz kann daher die Einwilligung des Mitarbeiters dienen. Diese muss allerdings freiwillig erfolgen, und eine Nichtabgabe darf auch keine negativen Folgen für den Mitarbeiter haben. Der Mitarbeiter kann diese Einwilligung auch jederzeit mit der Wirkung für die Zukunft widerrufen, sodass die Einwilligung zumindest keine dauerhafte Lösung darstellt.

Eine sicherere und verlässlichere Lösung kann eine Betriebsvereinbarung zum Einsatz von KI bieten. Diese ist allerdings von der Zustimmung der Arbeitnehmervertretung, also des Betriebsrates, abhängig.

Einsatz von Predictive AI

2024-08 ki und datenschutz vorhersagen

Durch KI-Tools lassen sich mittlerweile persönliche Aspekte einer Person einem Zahlenwert zuordnen und so das zukünftige Verhalten dieser Person vorhersagen. Die durch das EU-Parlament kürzlich beschlossene KI-Verordnung verbietet den Einsatz von einer solchen KI.

Hohe Bußgelder drohen

Die Datenschutzgrundverordnung sieht für Verstöße hohe Bußgelder vor, die bis zu 20 Millionen Euro oder 4 % des Jahresumsatzes betragen. Bei Verstößen gegen die europäische KI-Verordnung – etwa durch den oben genannten Einsatz zur Vorhersage von Mitarbeiterverhalten – drohen sogar Bußgelder bis zu 30 Millionen Euro oder 6 % des Jahresumsatzes.

2024-08 ki und datenschutz bussgelder

Datenschutz mit Expertise

Beim Einsatz von künstlicher Intelligenz ist eine Vielzahl von gesetzlichen Anforderungen zu beachten. Unsere erfahrenen Datenschutz-Experten helfen Ihnen, diese Anforderungen umzusetzen und KI-Tools rechtssicher einzusetzen. Wenn Sie die DSGVO-Compliance in Ihrem Unternehmen umsetzen wollen, kontaktieren Sie uns noch heute unter:

E-MAIL

datenschutz@kelobit.de

RUFEN SIE UNS AN

+49 345 132553-60

No Comments

Sorry, the comment form is closed at this time.