Was muss der Arbeitgeber beim Einsatz einer KI im Unternehmen beachten?
In diesem Newsartikel beleuchten wir die Herausforderungen und Möglichkeiten, die sich im Zusammenhang mit dem Datenschutz ergeben, wenn künstliche Intelligenz (KI) in Unternehmen eingesetzt wird.
Chancen und Risiken bei der Integration künstlicher Intelligenz
Der Einsatz von KI im Unternehmensumfeld bietet zahlreiche Vorteile, darunter die Automatisierung von Prozessen, die Vorhersage von Kundenverhalten und die Steigerung der Effizienz. Gleichzeitig wirft die Verwendung von KI jedoch auch Fragen zum Datenschutz auf. Durch die Verarbeitung großer Datenmengen können sensible Informationen über Mitarbeiter, Kunden und Geschäftspartner preisgegeben werden. Daher ist es unerlässlich, dass Unternehmen Maßnahmen zum Schutz der personenbezogenen Daten aller Beteiligten ergreifen und die Einhaltung der geltenden Datenschutzgesetze sicherstellen.
Was ist passiert?
Die technische Funktionsweise von KI ist komplex, da es keine einheitliche und rechtlich anerkannte Definition für KI gibt. KI bezieht sich auf Systeme, die menschliches Denken und Verhalten imitieren, aus Erfahrungen lernen und sich weiterentwickeln, um schließlich intelligente und automatische Aufgaben ausführen zu können.
Da die Datenschutz-Grundverordnung (DSGVO) keine expliziten Vorschriften für KI-Systeme enthält, erfolgt die Bestimmung des Personenbezugs gemäß der allgemeinen Definition in Art. 4 Nr. 1 der DSGVO. Zusätzlich sind der Data-Act, der erwartete AI-Act (KI-Regulierung), das Geschäftsgeheimnisgesetz sowie das Urheberrecht relevant.
Was Arbeitgeber beim Einsatz von KI beachten sollten!
Informationspflichten und Transparenzgebot:
Der Arbeitgeber muss beim Einsatz von KI im Unternehmen die umfassenden Informationspflichten gemäß Art. 13 der Datenschutz-Grundverordnung (DSGVO) beachten. Diese Informationen über die verarbeiteten Daten müssen für Betroffene präzise, leicht zugänglich und in klarer, verständlicher Sprache verfasst sein. Es ist entscheidend, genaue Aufzeichnungen darüber zu führen, welche Daten tatsächlich verarbeitet werden und ob gegebenenfalls eine Weitergabe an Dritte erfolgt.
Betroffenenrechte:
Der Arbeitgeber ist verpflichtet, geeignete Prozesse zu etablieren, damit betroffene Arbeitnehmer ihre Rechte gemäß Art. 13 ff. der DSGVO durchsetzen können. Dies beinhaltet das Recht auf Berichtigung fehlerhaft eingegebener Daten (Art. 16 DSGVO) sowie das Recht auf Auskunft über verarbeitete Daten (Art. 15 DSGVO). Besonders herausfordernd ist das Recht auf Löschung gemäß Art. 17 DSGVO, da generative KI-Systeme die eingegebenen Daten zur Optimierung nutzen. Eine vollständige Löschung ohne Beeinträchtigung des KI-Modells ist oft kaum möglich.
Verantwortlichkeit:
In der Regel liegt die Entscheidung über Mittel und Zweck der Datenverarbeitung bei dem Unternehmen, das das KI-System in seine interne Infrastruktur integriert. Es fungiert daher als Verantwortlicher gemäß Art. 4 Nr. 7 DSGVO. Die Rolle des Systemanbieters kann variieren. Wenn Unternehmen und Anbieter gemeinsam an der Entwicklung des Systems beteiligt sind, gelten sie als gemeinsame Verantwortliche gemäß Art. 26 Abs. 1 DSGVO. Bei geteilter Verantwortung ist es wichtig, klare Zuständigkeiten festzulegen.
Hambacher Erklärung zu KI:
Die unabhängigen Datenschutzbehörden des Bundes und der Länder haben in der Hambacher Erklärung zur Künstlichen Intelligenz folgende Anforderungen gestellt:
KI darf Menschen nicht zum Objekt machen
KI darf das Zweckbindungsgebot nicht aufheben
KI muss transparent, nachvollziehbar und erklärbar sein
KI muss Diskriminierungen vermeiden
Grundsatz der Datenminimierung
KI benötigt Verantwortlichkeit sowie technische und organisatorische Standards
Weitere Voraussetzungen:
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat einen praxisnahen Leitfaden veröffentlicht, um den datenschutzkonformen Einsatz von KI-Systemen zu unterstützen. Empfehlungen umfassen die Vermeidung von personenbezogenen Daten in Funktions-Accounts sowie das Ausschalten der Archivierung von Gesprächen und des KI-Trainings mit eingegebenen Daten.
Wer sollte sich mit dem Thema auseinandersetzen?
Alle Unternehmen, die ein KI- oder AI-System einsetzen oder nutzen wollen.
Was Sie tun können
Bevor ein KI-System in Betrieb genommen wird, sollte sorgfältig überlegt werden, wie die Informationspflichten erfüllt und sichergestellt werden können, damit die Betroffenen im Zweifelsfall ihre Rechte geltend machen können.
Es sollten Richtlinien für die Nutzung der KI sowie für die Einführung von KI im Unternehmen für die Beschäftigten erstellt werden.
Zudem müssen die Verantwortlichkeiten geregelt werden - wer kümmert sich im Unternehmen um das Thema?
Soll die KI nicht nur intern, sondern auch extern bei Kunden Anwendung finden, ist dies mit dem Kunden abzustimmen, z.B. durch einen AVV
Im Vorfeld ist zu überlegen, welche KI-Systeme eingesetzt werden sollen und welche Daten bei der Nutzung übertragen werden.
Wie wir Ihnen helfen können
Setzen Sie bereits künstliche Intelligenz wie ChatGPT oder Copilot in Ihrem Unternehmen ein? Gerne unterstützen wir Sie bei der Einführung von KI in Ihrem Unternehmen.
Sie haben weitere Fragen zum Einsatz von KI in Ihrem Unternehmen oder sehen Handlungsbedarf in einem anderen der genannten Bereiche? Dann kontaktieren Sie uns mit Ihrem Anliegen einfach per Mail oder wenden sich telefonisch an uns.
make Datenschutz simple
Ihr entplexit Team
E-Mail: datenschutz@entplexit.com
Telefon: 06196 973 44 00