KI & Datenschutz: So nutzt du deine KI-Lösungen datenschutzkonform
User*innen sind Menschen mit Rechten, die es zu schützen gilt. Datenschutz ist daher elementar, wenn du KI-Tools einsetzt oder entwickelst. Unser FAQ beantwortet die wichtigsten Fragen und erklärt, wie du verantwortungsvoll mit KI & Datenschutz umgehst.
KI Datenschutz: Wichtige Fragen & Antworten
Warum ist das Thema relevant?
Die News zeigen ein klares Bild: Künstliche Intelligenz (KI) liegt im Trend – und zwar so richtig. Mittlerweile gibt es unzählige KI-Lösungen. Von Large Language Models wie ChatGPT über Bildgeneratoren wie Midjourney, Stable Diffusion und DALL-E bis hin zu KI-Videogeneratoren à la Sora AI. Nicht zu vergessen all die KI-Tools für Marketing, Content Creation, Kund*innen-Service oder Datenanalyse. Und jeden Tag kommen neue Tools dazu.
Unternehmen sind längst auf den KI-Zug aufgesprungen. Immer mehr führen KI-Lösungen ein. In den vergangenen sechs Jahren lag die Einführung von KI in den Unternehmen bei etwa 50 Prozent. In diesem Jahr ist sie laut McKinsey auf 72 Prozent gestiegen. Ein Blick nach Deutschland bestätigt das: In einer Studie des Bundesverbands Digitale Wirtschaft (BVDW) gaben 60 Prozent der befragten Entscheider*innen an, dass Generative KI zentral für ihre Gesamtstrategie ist. 40 Prozent geben an, dass Anwendungen mit Generativer KI in ihren jeweiligen Unternehmen mehrmals pro Woche zum Einsatz kommen.
Klingt toll! Wo liegt das Problem?
Mit der steigenden Verbreitung und Beliebtheit von KI rückt auch der Datenschutz stärker in den Fokus. Denn mit KI, die ihre Kraft aus riesigen Datenmengen schöpft, ergeben sich viele datenschutzrechtliche Probleme. Denn User*innen könnten ja personenbezogene Daten eingeben, die die KI auswertet – und wieder ausspuckt. Nicht immer ist Anwender*innen und Entscheider*innen bewusst, dass KI datenschutzrelevante Informationen bearbeitet. Datenschutz-Verstöße sind deshalb nicht auszuschließen. Bevor du KI einsetzt, solltest du sie datenschutzrechtlich prüfen. Wir liefern die wichtigsten Infos.
Wie sieht die derzeitige Rechtslage aus?
Die Datenschutz-Grundverordnung (DSGVO) enthält keine genauen Vorschriften für KI-Systeme – zumindest noch nicht. Begriffe wie “Künstliche Intelligenz” oder “KI” sucht man hier vergeblich. Das heißt aber nicht, dass sie KI nicht betrifft. Denn: Die Verordnung regelt, wie personenbezogene Daten genutzt und bearbeitet werden dürfen. Da ist es egal, ob die Daten von einer Website, App oder einer KI verarbeitet werden. Verarbeitet die KI personenbezogene Daten, gelten die DSGVO und das Bundesdatenschutzgesetz (BDSG).
Personenbezogene Daten sind laut der DSGVO “alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (...) beziehen”.2 Diese zu verarbeiten umfasst ganz schön viele Verben – erheben, erfassen, organisieren, ordnen, speichern, anpassen, verändern, auslesen, abfragen, verwenden, offenlegen, übermitteln, verbreiten oder anderweitig bereitstellen – aber auch einschränken, löschen oder vernichten.2 All das unterliegt der DSGVO, wenn personenbezogene Daten im Spiel sind.
Darf ich trotzdem ChatGPT und andere KI-Lösungen nutzen?
Bei diesem Artikel haben wir bewusst darauf verzichtet, ChatGPT nach seinen Datenschutz-Tipps zu fragen. Das erschien uns fragwürdig. Klar, solche KI-Tools helfen uns im Agenturalltag: bei Recherche, Brainstorming, Ideenfindung, Textstrukturen und vielem mehr. Natürlich alles, ohne personenbezogene Daten von Mitarbeitenden oder Kund*innen zu verwenden. Trotzdem bringen ChatGPT & Co. datenschutzrechtliche Probleme mit sich. Schließlich können all solche geschützten Daten eingegeben und über die generierten Antworten auch wieder ausgegeben werden.
Jetzt kommt’s: Für diese Datenverarbeitung liegt in der Regel keine Rechtsgrundlage vor. – Betroffene haben zuvor nicht eingewilligt. Außerdem stehen die Server, auf denen KIs wie ChatGPT laufen, in den USA. Daten fließen also in ein datenschutzrechtlich unsicheres Drittland. Willst du Tools dennoch verwenden, musst du mit dem anbietenden Unternehmen ggf. einen Auftragsverarbeitungsvertrag (AVV oder englisch DPA) mit festen Vertragsklauseln abschließen.
Wer ist verantwortlich für die Verarbeitung personenbezogener Daten?
Eine wichtige Frage, die pauschal nicht zu beantworten ist. Es kommt auf den Anwendungsfall an. Die Verantwortung kann bei der Herstellerfirma eines Tools liegen. Möglich ist aber auch, dass Herstellerin und Anwender*innen (gemeint sind Unternehmen, nicht Enduser*innen) gemeinsam verantwortlich sind. Das ist also von Fall zu Fall verschieden.
Wie sorge ich dafür, dass Betroffenenrechte bewahrt werden?
Solche Rechte umfassen das Recht auf Auskunft oder das Recht, seine eigenen Daten löschen zu lassen. Du ahnst es schon: Viele KI-Lösungen laufen über die USA oder andere Länder, die sich datenschutzrechtlich in einer Grauzone bewegen. Unternehmen, die diese Tools einsetzen, können meist nicht sagen, ob und wo personenbezogene Daten gespeichert werden. Vieles passiert im Hintergrund. Auskünfte zu erteilen oder Daten zu löschen ist schwierig.
Ich nutze KI im Unternehmen. Was muss ich beachten?
Gehe am besten strukturiert vor. Prüfe, welche Rechtsgrundlage für deine Tools verwendet werden kann. Die Grundlage für einen datenschutzkonformen Einsatz von KI kannst du schnell und unbürokratisch legen, indem du die Tools in dein Verarbeitungsverzeichnis einträgst. Pflicht ist für dich auch, eine Datenschutz-Folgenabschätzung durchzuführen. Sie ist laut DSGVO immer dann durchzuführen, wenn die Verarbeitung mit einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen einhergeht.
Willst du KI-Tools mit Servern in den USA dennoch verwenden, musst du mit dem anbietenden Unternehmen ggf. einen Auftragsverarbeitungsvertrag mit festen Vertragsklauseln abschließen. Falls du unsicher bist: Viele Datenschutzbeauftragte haben sich mittlerweile auf KI spezialisiert und können dich beraten, damit du KI wasserdicht und datenschutzkonform einsetzen kannst.
Was muss ich beachten, wenn ich selbst KI-Modelle entwickle?
Die Kurzfassung: Verarbeitet deine KI personenbezogene Daten, musst unbedingt die DSGVO beachten. Nur so kannst du die Grundrechte von betroffenen Personen schützen. Das bayerische Landesamt für Datenschutzaufsicht hat eine hilfreiche Checkliste mit Prüfkriterien nach DSGVO für die Entwicklung datenschutzkonformer KI-Modelle zusammengestellt. An ihr kannst du dich gut orientieren.
Nutzt du Trainingsdaten, um deine KI zu füttern, sollte klar sein, woher das Datenmaterial stammt. Wenn es personenbezogene Daten enthält, müssen dafür Einwilligungen der Betroffenen vorliegen. Es muss transparent bleiben, was nach der Verarbeitung geschieht und ob Anwender*innen etwa personenbezogene Daten ausgegeben werden.
Was ändert sich durch das europäische KI-Gesetz?
Der Einsatz künstlicher Intelligenz wird in der EU mit dem weltweit ersten, umfassenden KI-Gesetz geregelt, das das EU-Parlament im März 2024 verabschiedete. Ab 2026 wird das Gesetz, der “AI Act”, in vollem Umfang anwendbar sein. Darin geht es allerdings mehr um grundlegende und ethische Richtlinien rund um KI als um Datenschutz-Aspekte. Das Gesetz schreibt etwa vor, dass KI-Lösungen nicht missbraucht werden dürfen. Grundrechte müssen geschützt bleiben. Wissenschaft und Wirtschaft brauchen gleichzeitig genug Freiräume für Innovationen.
Relevant für die Content Creation mit KI ist insbesondere die Transparenzpflicht: Mit KI erzeugte oder bearbeitete Inhalte (Audios, Bilder, Videos usw.) müssen künftig eindeutig als solche gekennzeichnet werden.
Das Gesetz basiert dabei auf einem risikobasierten Ansatz: Je höher das Risiko einer KI-Lösung eingeschätzt wird, desto strenger sind auch die gesetzlichen Vorgaben. Aber auch hier gibt es Grenzen. Inakzeptabel und deshalb verboten sind etwa KI-Lösungen, die zur Manipulation von Personen eingesetzt werden sollen. Dasselbe gilt für KI-basiertes „Social Scoring“ – Personen nach erwünschtem Verhalten zu bewerten und Ergebnisse in ein “Ranking” zu überführen.
Unser Fazit: Verantwortung zeigen trotz Grauzonen & Unsicherheiten
Du merkst: KI und Datenschutz sind ein riesiges Thema. Teilweise bewegst du dich hier in einer Grauzone mit vielen Hürden, Stolperfallen und Sackgassen. Neben der DSGVO erschließen immer mehr rechtliche Leitplanken dieses Gebiet. Damit du deine KI-Lösungen vollständig datenschutzkonform einsetzt, braucht es Zeit und Geduld, aber auch verschiedene Perspektiven. Dich damit auseinanderzusetzen bietet aber große Chancen. Gehst du mit den personenbezogenen Daten deiner User*innen verantwortungsvoll um, baust du Vertrauen auf – nicht nur in dein Unternehmen, sondern in KI als Ganzes.
KI-Beratung nötig?
Gerne beraten wir dich, wie du KI in deinem Unternehmen ohne Datenschutzprobleme nutzen kannst. Schreib uns einfach oder mache mit Klara einen Termin aus.
