Das Thema KI ist in aller Munde und wird sowohl positiv als auch negativ bewertet. Als Datenschützer bewerten wir nicht, ob eine Entwicklung gut oder schlecht ist, wir betrachten das Thema wertneutral aus Sicht des Datenschutzes. In unserem Fokus liegen allein Anwendungen, die personenbezogene Daten verarbeiten.
Wichtig: Wir raten unseren Mandanten nicht von der KI-Nutzung ab. Wir weisen darauf hin, worauf sie achten müssen, um KI DSGVO-konform zu nutzen. Die Informationen sind im Übrigen nicht nur wichtig, um die Anforderungen des Datenschutzes zu erfüllen. Sie schützen damit Ihre Unternehmensdaten – und damit die Zukunft Ihres Unternehmens.
Rechtsgrundlage und Zweckbindung
Wie in allen Bereichen, in denen personenbezogene Daten verarbeitet werden, muss auch vor der Einführung von KI-Systemen geklärt werden, auf welcher Rechtsgrundlage personenbezogene Daten verarbeitet werden. Die DSGVO verlangt eine eindeutige Zuordnung. Dabei gilt das Prinzip der Zweckbindung. Das bedeutet, die Daten dürfen nur für den ursprünglich festgelegten Zweck genutzt werden. Eine nachträgliche Verwendung für das Training von KI-Modellen ist ohne zusätzliche Rechtsgrundlage unzulässig. Wir von HUBIT Datenschutz prüfen bei unseren Mandanten, ob die Verarbeitung zulässig ist, welche weiteren Maßnahmen erforderlich sind, und übernehmen die erforderliche Dokumentation.
Transparenz und Betroffenenrechte
Unternehmen sind verpflichtet, transparent zu kommunizieren, wenn KI-Systeme personenbezogene Daten verarbeiten. Betroffene müssen darüber informiert werden, welche Daten erfasst werden, zu welchem Zweck und wie die Verarbeitung erfolgt. Zudem haben betroffene Personen ein Auskunftsrecht und können Widerspruch zum Beispiel gegen automatisierte Entscheidungen im Bewerbungsprozess einlegen.
Datenminimierung und Speicherdauer
Ein zentraler Grundsatz der DSGVO ist die Datenminimierung. Es sollen nur Daten erhoben werden, die für den konkreten Zweck erforderlich sind. Beim Einsatz von KI-Anwendungen besteht die Gefahr, dass umfangreiche Datensätze verarbeitet werden, ohne dass alle Informationen tatsächlich benötigt werden. Zudem muss festgelegt werden, wie lange Daten gespeichert bleiben und wann sie gelöscht werden müssen.
Auftragsverarbeitung und Drittlandtransfer
Viele KI-Dienste werden von externen Anbietern bereitgestellt. In solchen Fällen ist ein Auftragsverarbeitungsvertrag (AVV) erforderlich. Besondere Vorsicht ist geboten, wenn Daten in Länder außerhalb der EU übermittelt werden. Hier müssen Standardvertragsklauseln oder ein Angemessenheitsbeschluss der EU-Kommission vorliegen, damit die Verarbeitung gemäß DSGVO zulässig ist.
Technische und organisatorische Maßnahmen
Unternehmen müssen geeignete technische und organisatorische Maßnahmen ergreifen, um die Sicherheit der verarbeiteten Daten zu gewährleisten. Dazu gehören Verschlüsselung, Zugriffskontrollen und regelmäßige Sicherheitsüberprüfungen. Bei sensiblen Daten oder einem erhöhten Risiko kann eine Datenschutz-Folgenabschätzung notwendig sein.
Nutzungsrichtlinie und Mitarbeiterschulungen
Aus unserer Praxis empfehlen wir Ihnen dringend, eine KI-Nutzungsrichtlinie für Ihre Mitarbeitenden zu erstellen. Dadurch wird klar geregelt, dass die KI ausschließlich im Sinne des Unternehmens genutzt werden darf. Diese Richtlinie ist Teil Ihres Datenschutz-Management-Systems. Regelmäßige Mitarbeiterschulungen sind ein weiterer wesentlicher Baustein, um das Verständnis zu verbessern. Diese sind verpflichtend für alle Mitarbeitenden, die mit personenbezogenen Daten arbeiten.
Sprechen Sie mit uns
Planen Sie, KI in Ihrem Unternehmen einzusetzen? Oder nutzen Sie bereits ein bestimmtes Tool und fragen sich, ob Sie damit rechtlich auf der sicheren Seite sind? Dann empfehlen wir Ihnen, einen Termin mit einem HUBIT Datenschutzbeauftragten zu vereinbaren. Gemeinsam finden wir einen Weg zur datenschutzkonformen KI-Nutzung für Ihr Unternehmen und reduzieren damit Ihr Bußgeldrisiko erheblich.