Nutzen Sie in Ihrem Unternehmen bereits Künstliche Intelligenz (KI)? Die Einladung zum Teamtag mit ChatGPT geschrieben oder die KI das Angebot an den wichtigen potenziellen Kunden Korrektur lesen lassen?

Bisher war der Einsatz von KI innerhalb der Europäischen Union nicht durch KI-spezifische Vorschriften geregelt. Das hat sich geändert: Am 1. August 2024 ist die neue KI-Verordnung (Artificial Intelligence Act – AI-Act) der EU in Kraft getreten. In Hinblick auf den Datenschutz sind darüber hinaus auch die Vorgaben der Datenschutzgrundverordnung (DSGVO) zu beachten.

KI bietet enorme Chancen, Arbeitsprozesse zu optimieren und Innovationen voranzutreiben sowie ungeliebte Routinearbeiten an KI-Systeme zu übertragen. Doch neben diesen Vorteilen birgt der Einsatz von KI auch große Herausforderungen, insbesondere im Bereich Datenschutz und Sicherheit.

Da wir aktuell insbesondere zu ChatGPT immer wieder Fragen erhalten, haben wir für Sie eine Checkliste erstellt, was Sie beim Einsatz von ChatGPT beachten sollten. Diese Anforderungen sind natürlich gleichlautend auch für andere KI-Systeme zu beachten.

Die Nutzung von ChatGPT erfordert sorgfältige Planung und die Einhaltung klarer rechtlicher und ethischer Standards. Diese Checkliste hilft Ihnen, alle relevanten Punkte für eine DSGVO- und KI-VO-konforme Nutzung zu berücksichtigen.

Datenschutz: DSGVO-Anforderungen bei der Nutzung von ChatGPT

Grundsätzlich gilt: Die DSGVO findet immer dann Anwendung, wenn Sie personenbezogene Daten wie z.B. Namen oder auch Log-In-Informationen verarbeiten. Doch Vorsicht: Auch, wenn Sie z.B. über eine Arbeitsanweisung ausschließen, dass ChatGPT mit personenbezogenen Daten „gefüttert“ wird, so ist es fast unmöglich zu verhindern, dass nicht doch solche Daten verarbeitet werden, z.B. weil in den Antworten von ChatGPT personenbezogene Daten enthalten sind, oder auch, weil es für den Laien nicht immer einfach zu unterscheiden ist, was ein personenbezogenes Datum ist und was nicht. Daher ist es ratsam, die DSGVO immer zur berücksichtigen, auch wenn die Verarbeitung personenbezogener Daten die Ausnahme ist.

Rechtsgrundlage und Zweck der Datenverarbeitung: Keine Datenverarbeitung ohne Rechtsgrundlage und Zweckbestimmung. Klären und dokumentieren Sie, auf welcher rechtlichen Grundlage die Datenverarbeitung durch ChatGPT basiert, z.B. berechtigtes Interesse des Unternehmens oder die Einwilligung der Betroffenen. Die Zweckbestimmung, d.h., zu welchem Zwecke die Daten verarbeitet werden, ist detailliert und abschließend festzulegen.

Transparenz und Information der Betroffenen: Stellen Sie sicher, dass die betroffenen Personen wissen, dass ihre Daten durch ein KI-System verarbeitet werden könnten. Das erreichen Sie am einfachsten, in dem Sie Ihre Datenschutzerklärung entsprechend ergänzen.

Auftragsverarbeitungsverträge (AVV): Schließen Sie einen AV-Vertrag mit Open AI, dem Anbieter von ChatGPT, ab. Dieser regelt, dass der Anbieter die DSGVO-Anforderungen einhält und sorgt für eine rechtlich abgesicherte Nutzung.

Drittstaatentransfer:  OpenAI ist ein US-amerikanischer Anbieter. Daher bedarf es einer Garantie, dass die Daten in den USA nach dem gleichen Schutzniveau verarbeitet werden wie in der EU. Das ist aktuell dadurch gegeben, dass OpenAI als Anbieter nach dem EU-U.S. Data Privacy Framework (DPF) zertifiziert ist. Das sollten Sie jährlich prüfen.

Datenminimierung und Anonymisierung: Stellen Sie sicher, dass nur notwendige Daten an ChatGPT übermittelt werden. Unnötige oder übermäßige Datenverarbeitung verstößt gegen das Prinzip der Datenminimierung der DSGVO.

Wenn möglich, anonymisieren oder pseudonymisieren Sie Daten. Wenn Sie beispielsweise ChatGPT bitten, eine Laudation über einen verdienten Mitarbeiter zu schreiben, so nennen Sie nicht den konkreten Namen, sondern einen Fantasienamen oder eine willkürliche Zahl.

Erfassung im Verzeichnis von Verarbeitungstätigkeiten (VVT): Der Einsatz von KI ist im VVT zu dokumentieren. Hier dokumentieren Sie auch die Zweckbestimmung und die Rechtsgrundlage.

Durchführung einer Datenschutzfolgenabschätzung (DSFA): Die Nutzung von KI erfordert die Durchführung einer DSFA, um die Risiken für die betroffenen Personen zu minimieren.

EU-KI-Verordnung (AI Act)

Die KI-Verordnung richtet sich im Schwerpunkt an die Hersteller von KI-Systemen, aber für Betreiber – also Nutzer – von KI-Systemen sind relevante Vorgaben enthalten. Wesentlicher Punkt ist hier Ihre Verpflichtung, Ihre Beschäftigten vor dem ersten Einsatz und dann regelmäßig im Umgang mit KI und den rechtlichen Vorgaben zu schulen.

Was Sie sonst noch beachten sollten!

  • Nutzen Sie einen offiziellen Firmenaccount und nicht die privaten Accounts Ihrer Beschäftigten. Nur, wenn Sie einen Firmenaccount nutzen, können Sie den Account so einstellen, dass die Daten, mit denen Sie ChatGPT füttern, nicht für allgemeine Trainingszwecke genutzt werden. Und untersagen Sie, dass der Account zu privaten Zwecken beim Einsatz von Firmenaccounts genutzt wird.
  • KI ist ein Werkzeug, kein Entscheidungsträger, Beschäftigte sollten verstehen, dass KI unterstützend wirkt, aber die Verantwortung beim Menschen liegt. So kann es durchaus hilfreich sein, wenn z.B. die KI bei der Vorauswahl von Bewerbern unterstützt – die letzte Entscheidung muss aber der zuständige Beschäftigte in der Personalabteilung treffen.
  • Ergebnisse prüfen, Beschäftigte sollten Ergebnisse der KI stets kritisch hinterfragen. KI arbeitet mit Wahrscheinlichkeiten – und die sind nicht immer korrekt.
  • Ethik und Verantwortungsbewusstsein: Fördern Sie ein verantwortungsbewusstes Vorgehen bei der Nutzung von KI, um ethische und diskriminierende Risiken zu vermeiden. KI ist mit Daten gefüttert, die nicht frei von Vorurteilen sind. So kann es z.B. passieren, das von KI geschaffene Texte diskriminierend sein können.
  • Erstellen Sie eine KI-Richtlinie für Ihr Unternehmen, in der Sie genau festlegen, was beim Umgang mit KI zu beachten ist.

 

Klingt kompliziert? Wir unterstützen Sie gerne. Sprechen Sie uns an.