Unternehmen nutzen und stellen zunehmend KI bereit. Da in KI-Modellen oft personenbezogene Daten verarbeitet werden, gelten in der EU strenge Vorschriften. Was Unternehmen, die KI nutzen oder bereitstellen, in diesem Zusammenhang mit dem Datenschutz beachten sollten, erfahren Sie in folgendem Artikel.
Das Wichtigste in Kürze
- Keine pauschale Konformität: KI-Systeme sind nicht von sich aus datenschutzkonform. Unternehmen müssen aktiv Maßnahmen ergreifen, um die Gesetze einzuhalten und das Risiko hoher Bußgelder zu vermeiden.
- Zusammenspiel der Gesetze: Die DSGVO gilt weiterhin uneingeschränkt und wird durch die neue KI-Verordnung ergänzt. Beide Gesetze müssen parallel eingehalten werden.
Gesetzliche Grundlage
- Die rechtliche Grundlage bildet ein komplexes Zusammenspiel aus der DSGVO und der KI-Verordnung (EU AI Act), die parallel gelten, ergänzt durch nationale Gesetze wie das BDSG und das UrhG. Für die Zusammenarbeit mit externen Anbietern ist der Auftragsverarbeitungsvertrag (AV-Vertrag) nach Artikel 28 DSGVO verpflichtend.
KI-Datenschutz: Was hat KI mit Datenschutz zu tun?
In Deutschland und in allen anderen EU-Ländern gilt seit dem 25. Mai 2018 die Datenschutz-Grundverordnung (DSGVO). Ihr Hauptzweck ist es, die personenbezogenen Daten der Menschen zu schützen. Zu diesen Daten gehören beispielsweise Name, Anschrift, Geburtsdatum oder auch die Telefonnummer. Die Grundlage dafür ist das Recht der Menschen auf Privatsphäre.
In diesem Zusammenhang legt die DSGVO strenge Regeln dafür fest, wie Unternehmen personenbezogene Daten behandeln und verarbeiten dürfen.
Zusammenfassend lassen sich die wichtigsten Punkte wie folgt festhalten:
- Zweckbindung: Daten dürfen nur für den spezifischen Zweck gesammelt werden, für den sie ursprünglich erhoben wurden. Eine spätere Nutzung für andere Zwecke ist nur mit neuer Einwilligung erlaubt.
- Einwilligung: Die Verarbeitung von Daten erfordert in vielen Fällen eine explizite Zustimmung.
- Betroffenenrechte: Personen haben das Recht auf Auskunft, Berichtigung, Einschränkung und Löschung ihrer Daten.
- Meldepflichten: Datenpannen müssen innerhalb von 72 Stunden der zuständigen Behörde gemeldet werden. In bestimmten Fällen muss auch ein Datenschutzbeauftragter benannt werden.
- Strenge Strafen: Bei Verstößen drohen Unternehmen hohe Bußgelder.
Ausführlichere Informationen zu diesem Gesetz finden Sie auch in unserem Artikel zum Thema DSGVO & personenbezogene Daten auf unserem Blog.
KI, DSGVO & BDSG: Die rechtliche Grundlage für den Datenschutz bei Einsatz, Nutzung und Training von KI
Die Datenschutz-Grundverordnung (DSGVO) bleibt auch mit der Einführung des neuen EU AI Act (der KI-Verordnung) voll gültig. Wenn eine KI-Anwendung personenbezogene Daten verarbeitet, müssen daher sowohl die strengen Regeln der DSGVO als auch die neuen Bestimmungen der KI-Verordnung eingehalten werden. Die Gesetze gelten also parallel zueinander.
Ergänzende Datenschutzgesetze in Deutschland
Neben der DSGVO, die als EU-Gesetz den grundlegenden Rahmen schafft, existieren in Deutschland weitere ergänzende Gesetze, die für den Einsatz von KI relevant sind:
- Bundesdatenschutzgesetz (BDSG): Das BDSG ergänzt die DSGVO auf nationaler Ebene. Es enthält spezielle Regelungen, die für die Verarbeitung von personenbezogenen Daten, auch im Kontext des Trainings von KI-Modellen, gelten.
- Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG): Das TDDDG befasst sich insbesondere mit der Speicherung und dem Zugriff auf Informationen, die auf den Endgeräten der Nutzer*innen liegen. Das ist vor allem für die Verwendung von Cookies relevant.
- Urheberrechtsgesetz (UrhG): Wenn urheberrechtlich geschützte Werke (wie Bilder oder Texte) für das Training und den Einsatz von KI-Modellen verwendet werden, müssen die Bestimmungen des Urheberrechtsgesetzes beachtet werden.
Spezialregelungen für bestimmte Sektoren
Je nach Anwendungsbereich der KI-Systeme gelten zusätzliche, oft sektorspezifische Regelungen:
- Medizin & Gesundheit: Im medizinischen Bereich müssen Anbieter von KI-Anwendungen die EU-weite Medical Device Regulation (MDR) (in verschiedenen Sprachen) und den zukünftigen European Health and Data Space (EHDS) einhalten, der sukzessive in Kraft tritt.
- Wettbewerbsrecht: Im Bereich der Werbung ist zudem das Gesetz gegen den unlauteren Wettbewerb (UWG) relevant, das unfaire Geschäftspraktiken untersagt.
KI-Datenschutz: Welche zusätzlichen Regelungen in Sachen Datenschutz gelten nun durch die KI-Verordnung für Unternehmen?
Die neue KI-Verordnung (KI-VO), auch als EU AI Act bekannt, ist bereits in Kraft getreten und schafft einen speziellen rechtlichen Rahmen für den Umgang mit und den Einsatz von KI-Modellen (KI-Datenschutz).
Die EU hat dafür ein risikobasiertes System für den Einsatz von Künstlicher Intelligenz eingeführt: Unternehmen, die KI-Tools bereitstellen, werden nach ihrem potenziellen Risiko eingestuft. Je nach Einstufung müssen sie unterschiedliche Pflichten erfüllen.
Hier sind die vier Risikostufen und ihre Regeln:
- Inakzeptables Risiko: Systeme, die ein inakzeptables Risiko für die Grundrechte darstellen, sind in der EU verboten. Dazu zählen beispielsweise bestimmte biometrische Fernidentifizierungssysteme.
- Hochrisiko-KI-Systeme: Für diese Systeme, die in sensiblen Bereichen wie der Medizin oder kritischen Infrastrukturen eingesetzt werden, gelten besondere Pflichten. Sie müssen über ihren ganzen Lebenszyklus hinweg hohe Anforderungen an Transparenz, Datenqualität und menschliche Aufsicht erfüllen.
- Begrenztes Risiko: Bei Systemen wie Chatbots müssen Unternehmen ihre Nutzer*innen informieren, dass sie mit einer KI interagieren.
- Minimales Risiko: Systeme mit minimalem Risiko, wie zum Beispiel eine Rechtschreibprüfung, unterliegen nahezu keinen zusätzlichen Pflichten.
Allgemeine Pflichten für alle Anbieter:
Anbieter von KI-Systemen müssen ihre Nutzer*innen über die Interaktion mit der KI informieren. Auch die Funktionsweise und das Training der KI müssen offengelegt werden. Zudem müssen die Daten, mit denen KI-Modelle trainiert werden, von hoher Qualität sein, um Verzerrungen (Bias) zu vermeiden.
Einen Fahrplan für Unternehmen, wann welche Pflichten in Kraft treten oder bereits in Kraft getreten sind, erhalten Sie in unserem Infoartikel zum EU AI Act auf unserem Blog.
Ist der Einsatz von KI DSGVO-konform?
Grundsätzlich gilt: KI-Modelle sind grundsätzlich immer DSGVO-konform. Obwohl KI-Anbieter in der EU die Gesetze einhalten müssen, ist die Durchsetzung oft schwierig, besonders bei Anbietern aus Drittstaaten. Deshalb müssen Unternehmen, die KI nutzen, selbst proaktive Maßnahmen ergreifen:
- Abschluss von Auftragsverarbeitungsverträgen (AV-Verträge): Ein AV-Vertrag ist eine gesetzliche Pflicht, wenn ein Unternehmen personenbezogene Daten an einen externen Dienstleister wie einen KI-Anbieter weitergibt. Die gesetzliche Grundlage dafür ist Artikel 28 DSGVO.
- Interne Schulung: Unternehmen sollten Beschäftigte über den korrekten und sicheren Umgang mit KI-Tools aufklären und klare Regeln vorgeben. Das ist in Artikel 4 der KI-VO festgelegt und gilt bereits seit Februar 2025.
- Datenschutz-Folgenabschätzung (DSFA): Nach Artikel 35 der DSGVO müssen Unternehmen die Risiken des KI-Einsatzes für die Grundrechte der Betroffenen bewerten. Nummer 11 der Liste der Verarbeitungstätigkeiten, für die eine DSFA durchzuführen ist (von der Datenschutzkonferenz DSK herausgegeben), besagt: Beim Einsatz von KI zur Verarbeitung personenbezogener Daten ist eine DSFA in vielen Fällen zwingend.
- Datenschutzkonfiguration: Es ist entscheidend, KI-Modelle so einzustellen, dass eingegebene Daten nicht zum Training des Modells verwendet werden, um den Kontrollverlust zu vermeiden (Art. 25 DSGVO).
Wichtig für die unternehmensinterne Compliance: Ein Unternehmen kann seine Rolle als Betreiber wechseln und zu einem Anbieter werden, wenn es wesentliche Änderungen an einem bestehenden Hochrisiko-KI-System vornimmt oder die Zweckbestimmung so ändert, dass es zum Hochrisiko-System wird (Art. 23 KI-VO).
Ist ChatGPT datenschutzkonform? – KI-Datenschutz bei WhatsApp-KI und ChatGPT
Weder die neue WhatsApp-KI noch ChatGPT sind per se datenschutzkonform. Beide Dienste verarbeiten Daten anders, als man es gewohnt ist.
- Datenschutz bei ChatGPT: Persönliche Daten, die Sie eingeben, werden an den US-Anbieter übermittelt und oft zum Training der KI genutzt.
- Datenschutz bei WhatsApp-KI: Im Gegensatz zu normalen Chats, die Ende-zu-Ende-verschlüsselt sind, werden Ihre Konversationen mit der neuen Meta-KI von Meta selbst verarbeitet. Dadurch sind die Daten nicht mehr privat und können zur Verbesserung der KI-Modelle genutzt werden.
Beide Systeme verlangen ein bewusstes Handeln von Nutzer*innen und Unternehmen, um die Datenschutzrisiken zu minimieren. Wenn Sie die oben genannten Maßnahmen in Ihrem Unternehmen aufgreifen, sind Sie auf der sicheren Seite.
Ist Factorial datenschutzkonform? – KI-Datenschutz bei Factorial
Wenn Sie in Ihrem Unternehmen eine digitale HR-Lösung wie die KI-Business-Software von Factorial nutzen, können Sie sich auf eine sichere Grundlage verlassen.
Factorial als Ihr Auftragsverarbeiter ist DSGVO-konform und die Factorial AI risikoarm in Ihrem Unternehmen einsetzbar: Alle KI-Funktionen von Factorial dienen primär der Unterstützung der Automatisierung und effizienteren Gestaltung Ihrer Aufgaben und Prozesse (z. B. automatische Schichtplanung) und werden selbstverständlich nicht weiterverarbeitet.
Für optimalen Schutz können Sie als Nutzerunternehmen proaktiv handeln und einen Auftragsverarbeitungsvertrag (AV-Vertrag) mit Factorial abzuschließen. Einen solchen können Sie einfach über den Link zum AVV auf unserer Landingpage ausfüllen!
