KI und Datenschutz

Was ist beim Einsatz von KI aus datenschutzrechtlicher Sicht zu beachten?

Künstliche Intelligenz (KI) verändert grundlegend, wie Daten verarbeitet, analysiert und genutzt werden. Der Einsatz von KI bietet viele Vorteile – von Effizienzsteigerung bis zur Automatisierung komplexer Prozesse. Doch gleichzeitig bringt er datenschutzrechtliche Herausforderungen mit sich, insbesondere im Hinblick auf die EU-Datenschutz-Grundverordnung (DSGVO).

1. Anwendungsbereich der DSGVO
Sobald eine KI personenbezogene Daten verarbeitet (Eingeben, Erfassen, Abfragen oder das Auslesen) – etwa Namen, E-Mail-Adressen oder IP-Adressen – greift die DSGVO. Der Schutz dieser Daten ist dann zwingend zu gewährleisten.
KI-Systeme können aber auch Entscheidungen treffen, die rechtliche Wirkungen entfalten oder betroffene Personen erheblich beeinträchtigen (z.B. bei Kreditvergaben oder Bewerbungsprozessen). Solche automatisierten Entscheidungen unterliegen besonderen Bestimmungen und Anforderungen (Art. 22 DSGVO).
Beispiel: Ein Unternehmen nutzt für eingehende Bewerbungen auf eine ausgeschriebene Stelle eine KI-Anwendung, die die Bewerbungen auswertet und selbständig Einladungen zu den Vorstellungsgesprächen verschickt – Verstoß gegen Art. 22 Abs. 1 DSGVO.

2. Geltende Datenschutzgrundsätze
Werden mit Hilfe einer KI-Anwendung personenbezogene Daten verarbeitet, müssen die zentralen Datenschutzprinzipien der DSGVO, etwa Rechtmäßigkeit, Datenminimierung oder Integrität und Vertraulichkeit beachtet werden.
  • Rechtmäßigkeit, Zweckbindung und Transparenz
Für die Verarbeitung ist eine datenschutzrechtliche Rechtsgrundlage erforderlich. Das kann beispielsweise eine Einwilligung, die Erfüllung eines Vertrags, die Erfüllung einer rechtlichen Verpflichtung oder ein berechtigtes Interesse sein, Art. 6 DSGVO. Auch der Zweck der Datenverarbeitung muss klar definiert und eingegrenzt sein. Im Rahmen der Informations- und Transparenzpflichten müssen die Betroffenen Personen verständlich über die Verarbeitung informiert werden. Gerade bei KI-Anwendungen, die vom Verantwortlichen nicht selbst entwickelt worden sind, müssen die Anbieter bzw. die Hersteller die Informationen zur Verfügung stellen, die für die Erfüllung der Informationspflichten des Verantwortlichen gem. Art. 13 und 14 DSGVO notwendig sind. Das sind z. B. bei Einsatz automatisierter Entscheidungen Angaben über die involvierte Logik sowie die Tragweite und die möglichen Auswirkungen für die betroffenen Personen.
Hinweis: Prüfen Sie vorab regelmäßig, wo der KI-Anbieter seinen Sitz hat, in der EU oder in einem Drittland? Soweit der KI-Dienstleister in einem Drittland sitzt, stellt sich neben der Frage der Anwendbarkeit der DSGVO auch die Frage nach der Durchsetzbarkeit der Betroffenenrechte.
  • Datenminimierung und Speicherbegrenzung
Auch bei der Verwendung von KI-Anwendungen gilt der Grundsatz der Datensparsamkeit. Es dürfen grundsätzlich nur die Daten erhoben werden, die für den Zweck tatsächlich notwendig sind.
Im Hinblick auf die Speicherdauer gilt: Die Daten dürfen nur so lange gespeichert werden, als es für den Zweck, für den sie erhoben wurden, erforderlich ist.
  • Richtigkeit der Daten
Unternehmen müssen sicherstellen, dass die personenbezogenen Daten sachlich richtig und auf dem neuesten Stand bzgl. der Zwecke sind, für die sie verarbeitet werden.
  • Integrität und Vertraulichkeit
Die Unternehmen müssen geeignete technische und organisatorische Maßnahmen zur Datensicherheit treffen, die auch vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder Schädigung schützen.

3. Auftragsverarbeitungsvertrag (AVV)
Mit dem KI-Betreiber ist immer dann ein Auftragsverarbeitungsvertrag gem. Art. 28 DSGVO abzuschließen, wenn dieser im Auftrag der Verantwortlichen, also des Unternehmens, tätig wird. In dem AVV vereinbaren die Parteien etwa Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, aber auch die Datenarten und die Datenkategorien. Ein Muster für einen solchen AVV finden Sie hier: Auftragsverarbeitung - Muster - IHK Frankfurt am Main oder auf den Seiten des Hessischen Beauftragten für Datenschutz und Informationsfreiheit: Hinweise und Muster | datenschutz.hessen.de

4. Datenschutz-Folgenabschätzung
Soweit der Einsatz der KI mit einem hohen Risiko für die Rechte und Freiheiten von Personen verbunden ist, muss der Verantwortliche eine Datenschutz-Folgenabschätzung (DSFA) gem. Art. 35 DSGVO durchführen. Bei der Verwendung von KI ist diese häufig zwingend, z. B. beim Einsatz von KI zur Verarbeitung personenbezogener Daten oder zur Bewertung persönlicher Aspekte betroffener Personen. Als Orientierung, bei welchen Verarbeitungstätigkeiten eine Datenschutz-Folgenabschätzung durchzuführen ist, können Unternehmen sich an der Liste der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) orientieren.
Offizielles Kurzpapier der DSK

Weiterführende Informationen zum Thema KI und Datenschutz finden Sie auf den Seiten des Hessischen Beauftragten für Datenschutz und Informationsfreiheit. Dort können auch eine Orientierungshilfe der DSK, eine KI-Checkliste des Bayerischen Landesamts für Datenschutzaufsicht und eine Checkliste zum Einsatz LLM-basierter Chatbots des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit heruntergeladen werden. Empfehlungen zum Einsatz von KI-Anwendungen von Anbietern außerhalb der EU | datenschutz.hessen.de