Unternehmen setzen bei unterschiedlichsten Geschäftsprozessen vermehrt auf künstliche Intelligenz (KI). Sobald die KI-Lösungen personenbezogene Daten verarbeiten, sind DSGVO und BDSG zu berücksichtigen. Doch manchmal ist Anwendern und Entscheidern gar nicht bewusst, dass datenschutzrelevante Verarbeitungen stattfinden und einige womöglich gegen die Datenschutzvorschriften verstoßen. Deshalb ist der Einsatz von KI im Vorfeld zu prüfen und vorzubereiten.

Datenschutzrechtliche Risiken und Stolpersteine beim Einsatz von KI-Lösungen

Der Einsatz von KI-Systemen birgt datenschutzrechtliche Risiken und Hürden, deren Spektrum breit gefächert ist.

  • Unzulässige Verarbeitungen
    KI-Tools verfügen über beeindruckende Fähigkeiten. Doch nicht alle Fähigkeiten dürfen in der Praxis uneingeschränkt eingesetzt werden, da sie personenbezogene Daten auf unzulässige Weise verarbeiten. Ein Beispiel hierfür sind Tools, die den Gefühlszustand von Kunden oder Mitarbeitern feststellen.
  • Unbemerkte / versteckte Verarbeitungen
    Für Anwender sind die meisten KI-Systeme eine Blackbox. Sie erhalten ein Ergebnis ohne sagen zu können, wie es vom System erzeugt wurde. Bei der Erarbeitung der Ergebnisse besteht das Risiko, dass unbemerkt personenbezogene Daten verarbeitet werden.
  • Datenübermittlung in das Ausland
    Manche KI-Software führt ihre Berechnungen nicht lokal, sondern auf Servern des Anbieters aus. Hier droht die Übermittlung personenbezogener Daten auf fremde Systeme, die sich womöglich außerhalb des Landes oder gar außerhalb der EU befinden.
  • Unzulässiges Profiling
    Beim Profiling werden Daten (oft aus verschiedenen Quellen) zusammengeführt, um Personenprofile zu erstellen. Diese Profile können z.B. Auskunft über Interessen und Vorlieben der Betroffenen geben. Je nach Situation kann dieser Zweck der Verarbeitung jedoch unzulässig sein.

Beispiele für den Datenschutz beim Einsatz künstlicher Intelligenz

KI-Lösungen sind für den Einsatz in unterschiedlichsten Unternehmensbereichen erhältlich. Nachfolgend stellen wir einige Einsatzfelder und Berührungspunkte mit dem Datenschutz vor.

Chatbots

Die meist auf Large Language Modellen (LLMs) basierenden Chatbots, wie z.B. ChatGPT, sind vielseitig einsetzbar. Sie können nicht nur Text erzeugen, sondern beispielsweise Recherchen beschleunigen, Unterstützung bei der Entwicklung von Software leisten oder sogar Aufgaben im Kundensupport übernehmen.

Datenschutzrechtliche Risiken gehen vor allem mit dem verwendeten Trainingsmaterial einher. Large Language Modelle werden mit solch umfassenden Datenmengen trainiert, sodass personenbezogene Daten darin so gut wie immer enthalten sind. Entsprechend besteht die Gefahr, dass solche Daten ausgegeben und auf unzulässige Weise verarbeitet werden.

Generative KI

KI-Systeme können nicht nur Text erzeugen, sondern ebenso Bilder, Videos und Toninhalte. Auch hier besteht das Risiko, dass sich personenbezogene Daten im Trainingsmaterial befinden und diese im finalen Ergebnis wiederfinden. Die Verwendung von Bildern oder Stimmen real existierender Personen kann einen erheblichen Eingriff in deren Persönlichkeitsrechte darstellen.

Emotionserkennung

Einige Callcenter setzen KI zur Auswertung von Kundengesprächen ein. Moderne Systeme können in Echtzeit analysieren, wie es um die Emotionen der Anrufer und der Callcenter-Agents steht. Auch diese Methode greift in die Privatsphäre der Betroffenen ein, was einen datenschutzkonformen Einsatz zur großen Herausforderung machen kann.

Profiling

Durch die Zusammenführung von Daten (z.B. aus der Einkaufshistorien) ist es möglich, Kundenprofile zu erstellen, die beispielsweise Auskunft über Interessen und Vorlieben geben. Der Einsatz solcher KI-Lösungen will gut begründet bzw. auf valide Zwecke gestützt sein, da andernfalls Datenschutzvorfälle drohen.

Medizinische Analyse

Moderne KI-Lösungen heben die Auswertung von Gesundheitsdaten auf ein ganz neues Niveau. Bei der Auswertung von Röntgenbildern oder MRT-Daten können darartige Systeme dem Auge eines Facharztes überlegen sein und damit Menschenleben retten. Doch gerade beim Umgang mit Gesundheitsdaten sollte größte Vorsicht angebracht sein, um nicht gegen die DSGVO zu verstoßen.

Gesichtserkennung / Erfassung und Auswertung biometrischer Daten

KI-Systeme werten biometrische Zugangskontrollen zu Geräten und Räumlichkeiten spürbar auf. Personen werden besser erkannt, was Komfort und Sicherheit gleichermaßen erhöht. Allerdings wissen Nutzer solcher Systeme häufig nicht, wie häufig, wo und wie lange die erfassten Daten (z.B. Portraits, Fingerabdrücke oder Sprachaufnahmen) gespeichert werden.

Interessante Fragestellungen

Aus Sicht des Datenschutzes können einzelne KI-Anwendungen verschiedene Fragen aufwerfen. Exemplarisch stellen wir nachfolgend drei Fragen vor.

Bei wem liegt die Verantwortlichkeit?

Essentiell ist die Frage, wer für die Verarbeitung der personenbezogenen Daten verantwortlich ist. Leider ist sie gar nicht immer so leicht zu klären. Je nach Anwendungsfall kann sie beim Anbieter des Tools liegen, ebenso ist es möglich, dass eine gemeinsame Verantwortlichkeit von Anbieter und Nutzer (im Sinne des Unternehmens) vorliegt oder schlichtweg eine Auftragsverarbeitung festzustellen ist. Pauschal lässt sich dies in den wenigsten Fällen sagen, was fast immer eine genaue Einzelfallprüfung notwendig macht.

Wie lassen sich Betroffenenrechte wahren?

Im Hinblick auf die DSGVO ist es entscheidend, die Betroffenenrechte (z.B. Recht auf Auskunft oder Recht auf Löschung der Daten) zu wahren. Doch wie bereits erwähnt, ist künstliche Intelligenz in manchen Fällen eine Blackbox. Unternehmen können womöglich nicht immer sagen, ob und wo personenbezogene Daten gespeichert werden. In solchen Fällen ist es schwierig, Auskunft zu geben oder Daten zu löschen.

Worauf ist beim Umgang mit Trainingsdaten zu achten?

Trainingsdaten helfen bei der Verbesserung von KI-Algorithmen. Der datenschutzkonforme Umgang mit Datensätzen für das KI-Training ist jedoch ein äußerst umfassendes und komplexes Thema. Insbesondere sollte geklärt sein, woher das Datenmaterial stammt und - sofern es personenbezogene Daten enthält - dafür Einwilligungen vorliegen. Ebenso ist zu klären, was nach der Verarbeitung geschieht und beispielsweise personenbezogene Daten dem Anwender bereitgestellt werden.

Fazit

Mit dem Einsatz von KI-gestützten Systemen gehen erhebliche datenschutzrechtliche Herausforderungen einher. Welche Fragestellungen zu klären sind, wird vom Anwendungsszenario beeinflusst. Die Praxis zeigt, dass für die Erarbeitung einer vollständigen Datenschutzlösung verschiedene Perspektiven einzunehmen sind. Die Unterstützung durch einen Datenschutzexperten ist hierbei von großer Hilfe.

Wenn auch Sie KI-Lösungen einsetzen möchten und Rat zu den datenschutzrechtlichen Fragestellungen benötigen, sind Sie bei uns genau richtig. Gerne erarbeiten wir gemeinsam mit Ihnen eine Lösung. Nutzen Sie unsere kostenlose Erstberatung, um mehr zu erfahren.