KI und Datenschutz

/in ,

Der Hype um KI-Tools, insbesondere ChatGPT und dessen Ableger führt aktuell zu umfangreichen Experimenten von Firmen mit diesen Tools. Dabei gibt es (gefühlt) kaum noch Grenzen bzgl. der Daten, die einem KI-Tool anvertraut werden.

So gibt es immer mehr Anwendungen, die z.B. die Qualifikation von Bewerbungen automatisiert qualifizieren wollen, Personalabteilungen, die das Zeugnisschreiben auf eine KI auslagern oder Bewerber, die ihre Daten einer KI anvertrauen, um eine Bewerbung zu schreiben. Auch das Erstellen von Vertragsinhalten bis zum automatisierten Ausfüllen von Vertragsformularen mit Informationen von Unternehmen oder Personen in Unternehmen sind keine Seltenheit.  Und die Nutzung als Chatbot als Diskussionspartner für firmeninterne Fragestellungen ist mittlerweile keine Seltenheit.

Rechtgrundlage für personenbezogene Daten schaffen

Sofern Sie personenbezogene Daten in einem KI-Tool verarbeiten wollen, gilt auch für Nutzung dieser Tools nach der DSGVO die Notwendigkeit, hierfür eine Rechtsgrundlage zu schaffen. Sofern diese Rechtsgrundlage nicht z.B. durch einen Vertrag hergestellt wurde, brauchen Sie eine Zustimmungserklärung des Betroffenen. Ist diese nicht vorhanden, so sind Sie mehr als angreifbar und müssen neben Strafzahlungen u.U. sogar Schadenersatz (Artikel 82, DSGVO) leisten.

Wer personenbezogene Daten auf Basis einer Rechtsgrundlage mit KI-Tools von Dienstleistern verarbeiten möchte braucht darüber hinaus einen Auftragsverarbeitungsvertrag mit dem Dienstleister. Auch dies ist eine Pflichtanforderung der DSGVO, die bei Nichterfüllung erheblichen Ärger und Kosten verursachen kann.

Herausforderung: Dienstleister in den USA

Viele aktuell angebotenen Lösungen (z.B. Microsoft, OpenAI, Google, etc.) befinden sich nicht innerhalb des Geltungsbereiches der DSGVO.  Der Austausch von Informationen mit Dienstleistern in den USA ist allerdings im Rahmen des Data Privacy Frameworks möglich. Dabei müssen Sie als Unternehmen erst einmal prüfen, ob der Ihr Vertragspartner sich freiwillig diesem Abkommen angeschlossen hat (siehe DPF-Liste). Ist dies nicht der Fall, bleibt nur der Weg über Standardvertragsklauseln oder weitere rechtliche Vereinbarungen, die die DSGVO vorsieht. Dies ist aber ein sehr aufwendiger Weg mit weiter hohem Risiko für ein Unternehmen. OpenAI war bisher in der Liste noch nicht zu finden.

Darüber hinaus ist das aktuelle Abkommen mit den USA wackelig, denn schon werden die ersten Klagen gegen dieses Abkommen eingereicht und es besteht eine große Chance, dass dieses in absehbarer Zeit vom Europäischen Gerichtshof wieder gekippt wird.

Datenschutzhinweise aktualisieren

Sofern Sie diese Hürden genommen haben sollten Sie dringend die Datenschutzhinweise z.B. auf Webseiten aktualisieren und auf diese Verarbeitung und die beteiligten Parteien und Rechtsverhältnisse hinweisen.

Vorsicht! KI-Inputs werden zu Trainingsdaten

Es ist zu berücksichtigen, dass alle in ein KI-Tool eingegebene Daten (u.a. auch Prompts) aktuell als Trainingsdaten für die zugrundeliegenden Datenbanken und Netze verwendet werden. D.h. die Daten werden möglicherweise dauerhaft gespeichert und weitergenutzt. Das kann bei personenbezogenen Daten aufgrund der bestehenden Löschpflichten zu extremen Schwierigkeiten führen kann.

Profiling bleibt möglich

KI-System arbeiten auf der Basis von statistischen Modellen, um als Ergebnisse Muster zu erhalten. Insbesondere bei der Verwendung von personenbezogenen Daten ist diese Mustererkennung sehr schnell im Bereich der Profilbildung, die nach der DSGVO ohne Zustimmung verboten ist. Auch wenn einige KI-Dienste dies unterbinden, andere haben damit kein Problem.

Ebenso lassen sich mit einem KI-Tool auch alle Informationen zu einem Unternehmensprofil ausgeben. Sollten hieraus Informationen über Unternehmen an die Öffentlichkeit gelangen, die vertraulich sind, kann dies einem Unternehmen einen erheblichen Schaden zufügen.