Künstliche Intelligenz (KI) ist längst keine Zukunftsmusik mehr – sie unterstützt Unternehmen bei der Texterstellung, Datenanalyse, Kundenkommunikation und vielem mehr. Doch wie verträgt sich der Einsatz von KI-Systemen mit den Anforderungen der Datenschutz-Grundverordnung (DSGVO)?
1. Personenbezogene Daten – der Knackpunkt
Viele KI-Anwendungen verarbeiten personenbezogene Daten, ob in Chatbots, bei der automatisierten Auswertung von Bewerbungen oder durch Sprachassistenten. Sobald das der Fall ist, gilt die DSGVO – und stellt konkrete Anforderungen an Unternehmen:
- Rechtsgrundlage für die Verarbeitung
Es braucht eine klare Rechtsgrundlage, z. B. Einwilligung oder berechtigtes Interesse. Wichtig: Transparenz ist dabei Pflicht! - Transparenz und Informationspflichten
Nutzer:innen müssen darüber informiert werden, dass und wie eine KI personenbezogene Daten verarbeitet – und das in verständlicher Sprache. - Automatisierte Entscheidungen nach Art. 22 DSGVO
Werden Entscheidungen vollautomatisiert getroffen (z. B. Kreditwürdigkeit, Bewerbung), gelten zusätzliche Pflichten: Betroffene haben ein Recht auf menschliches Eingreifen und Widerspruch.
2. Datenminimierung und Zweckbindung
KI lebt von Daten – aber die DSGVO fordert Datenminimierung und Zweckbindung. Das bedeutet:
KI-Systeme dürfen nicht auf Vorrat mit beliebigen personenbezogenen Daten gefüttert werden. Unternehmen müssen genau wissen, wofür welche Daten verwendet werden.
3. Datenschutz-Folgenabschätzung (DSFA)
Beim Einsatz risikobehafteter KI-Anwendungen ist eine Datenschutz-Folgenabschätzung Pflicht. Gerade bei neuen oder selbst entwickelten Systemen sollte frühzeitig geprüft werden, ob eine DSFA notwendig ist.
4. KI-Systeme von Drittanbietern – Verträge und Kontrolle
Wer KI-Systeme nutzt, die von Dritten bereitgestellt werden, muss prüfen:
- Wird eine Auftragsverarbeitung vorliegen?
- Ist der Anbieter DSGVO-konform?
- Gibt es eine Verlagerung in Drittländer? (Stichwort: USA, Transfer Impact Assessment)
5. Ausblick: EU AI Act
Im Juni 2024 verabschiedete die Europäische Union die weltweit ersten verbindlichen Regelungen zur künstlichen Intelligenz. Das Gesetz tritt schrittweise in Kraft und wird 24 Monate nach Inkrafttreten (ab 1. August 2026) vollständig anwendbar sein.
Fazit
KI kann enorme Vorteile bringen – aber nicht um jeden Preis. Wer datenschutzkonform arbeiten will, braucht klare Prozesse, transparente Informationen und eine gute Kontrolle über eingesetzte Systeme. Gerne unterstützen wir Sie bei der Bewertung und Einführung datenschutzkonformer KI-Lösungen!