Der Einsatz von KI berührt fast immer auch das Datenschutzrecht. Denn KI-Systeme verarbeiten nicht nur große Mengen an Daten sondern häufig auch personenbezogene Daten.
Wichtig an der Stelle: Die europäische Datenschutz-Grundverordnung (DSGVO) ist technologieneutral und gilt somit uneingeschränkt auch für KI-Anwendungen. Unternehmen müssen also sämtliche Datenschutzgrundsätze einhalten, wenn sie KI-Systeme einsetzen, die Personendaten verwenden. Im Folgenden haben wir die wichtigsten Aspekte, die Geschäftsleitungen kennen sollten, zusammengetragen:
Zweckbindung: KI ist kein Selbstzweck
Das Prinzip der Zweckbindung (Art. 5 Abs.1 lit. b DSGVO) besagt, dass personenbezogene Daten nur „für festgelegte, eindeutige und legitime Zwecke erhoben werden“ dürfen und nicht ohne Weiteres für andere, damit unvereinbare Zwecke weiterverwendet werden dürfen.
Für KI-Projekte ist das eine besondere Herausforderung: Oft möchte man vorhandene Datenbestände (z.B. Kundendaten, Verhaltenstracking, Dokumente) nehmen und mittels KI neue Erkenntnisse gewinnen oder Modelle trainieren. Hier muss die Geschäftsleitung fragen: Dürfen wir diese Daten dafür überhaupt nutzen? Nur weil die Daten im Haus sind, heißt das nicht, dass man sie für beliebige KI-Trainings verwenden darf – KI-Nutzung ist kein Selbstzweck.
Ein Beispiel:
Sie haben Kundendaten ursprünglich zur Vertragserfüllung erhoben. Jetzt wollen Sie mit diesen Daten ein KI-Modell trainieren, das Vorlieben oder Kündigungswahrscheinlichkeiten prognostiziert. Ist das vom ursprünglichen Zweck gedeckt? Wahrscheinlich nicht ohne Weiteres. Man müsste prüfen, ob eine neue Rechtsgrundlage erforderlich ist (z.B. Einwilligung der Kunden oder berechtigte Interessen mit strenger Abwägung). Oft werden Sie feststellen, dass Sie entweder die Betroffenen um Erlaubnis bitten müssen oder zumindest in der Datenschutzerklärung sehr klar auf diese sekundäre Nutzung hingewiesen haben müssen, damit es noch als kompatibler Zweck durchgeht. Andernfalls verstoßen Sie gegen die Zweckbindung.
Zusätzlich sollten Sie beachten, dass Daten für KI meist in großen Mengen und kombiniert genutzt werden. Das Datensparsamkeitsgebot (Datenminimierung) verlangt aber, nicht mehr personenbezogene Daten zu verwenden als nötig. Hier kollidiert das Big-Data-Paradigma der KI („viel hilft viel“) mit dem Datenschutzprinzip. Eine Lösung kann sein, Daten zu anonymisieren oder zu synthetisieren, sodass keine Personenbezüge mehr vorliegen. Allerdings ist echte Anonymisierung bei komplexen Daten schwierig zu erreichen.
Praxis-Tipp
Bevor Sie ein KI-Projekt starten, immer datenschutzrechtlich prüfen: Wo kommen die Daten her? Wofür dürfen wir sie nutzen? Müssen wir Einwilligungen einholen oder Vereinbarungen anpassen? Datenschutzexperten sollten früh eingebunden werden, damit die KI nicht nachträglich zum Problem wird.
Wichtige Rechtsgrundlagen für KI-Datenverarbeitung
Wenn personenbezogene Daten in einem KI-System verwendet werden, braucht es eine Rechtsgrundlage nach Art. 6 DSGVO (bzw. Art. 9 bei sensiblen Daten). Im Unternehmenskontext kommen hauptsächlich in Betracht:
- Einwilligung (Art. 6(1)a DSGVO): Die betroffene Person hat zugestimmt, dass ihre Daten für die KI-Verarbeitung genutzt werden. Beispiel: Ein Bewerber willigt ein, dass sein Video-Interview von einer KI auf bestimmte Soft Skills analysiert wird. Die Einwilligung muss freiwillig, informiert und widerrufbar sein – in Arbeitsverhältnissen ist das schwierig, da oft keine echte Freiwilligkeit gegeben ist.
- Vertragliche Notwendigkeit (Art. 6(1)b) besteht, wenn die KI-Verarbeitung nötig ist, um einen Vertrag zu erfüllen, in dem die Person Partei ist. Das wird selten unmittelbar passen – allenfalls bei KI-Funktionen, die direkt Teil eines angebotenen Dienstes sind, den der Kunde angefordert hat (z.B. KI-basierte Übersetzung innerhalb einer Plattform, die der Kunde nutzt).
- Berechtigtes Interesse (Art. 6(1)f): Das Unternehmen hat ein legitimes Interesse an der KI-Entwicklung oder -Nutzung (z.B. Effizienzsteigerung, neue Erkenntnisse) und man prüft, ob die Interessen der Betroffenen überwiegen. Gerade bei KI, die Profiling beinhaltet, ist diese Abwägung heikel. Je intrusiver und undurchsichtiger die Verarbeitung, desto eher überwiegen die Datenschutzinteressen der Betroffenen. Eine transparente Information und ggf. Widerspruchsmöglichkeit sind hier Pflicht.
- Im Beschäftigtenkontext (Art. 88 DSGVO / §26 BDSG): Für Mitarbeiterdaten gibt es Sonderregeln. Eine KI-Verarbeitung von Mitarbeiterdaten ist erlaubt, wenn sie zur Durchführung des Arbeitsverhältnisses erforderlich ist. Beispiel: KI zur automatischen Schichtplanung könnte darunterfallen. Für andere Zwecke (z.B. Leistungsüberwachung) wäre eher eine Einwilligung nötig – die ist aber problematisch aufgrund des Abhängigkeitsverhältnisses.
Zusätzlich relevant: Wenn besondere Kategorien personenbezogener Daten (Gesundheit, biometrische Daten, ethnische Herkunft etc.) von KI verarbeitet werden, greift Art. 9 DSGVO. Dann braucht man einen Erlaubnistatbestand (z.B. ausdrückliche Einwilligung). Ein KI-System, das etwa Gesichtsaufnahmen analysiert, verarbeitet biometrische Daten – diese sind besonders sensibel.
Geschäftsleitungen müssen diese rechtlichen Grundlagen nicht im Detail selbst ausbuchstabieren, aber sie sollten sicherstellen, dass vor dem Einsatz einer KI eine Datenschutz-Prüfung erfolgt (z.B. mittels eines standardisierten Fragebogens oder einer Datenschutz-Folgenabschätzung). So stellt man fest, ob die Nutzung rechtlich zulässig ist oder was getan werden muss, um sie zulässig zu machen.
Fazit
Der Einsatz von KI berührt fast immer das Datenschutzrecht – insbesondere, wenn personenbezogene Daten im Spiel sind. Die DSGVO gilt dabei uneingeschränkt, auch für KI-Systeme.
Sie haben Fragen zum Einsatz von KI in Ihrem Unternehmen und der Vereinbarkeit mit dem Datenschutz? Wir helfen Ihnen gerne weiter.
Weitere Artikel aus unserer Reihe „Die neue KI-Verordnung“: