DSGVO und KI im Unternehmen: 7 Fragen, die vor dem Einsatz von ChatGPT und Co. geklärt werden müssen – Teil 1

By DatenschutzDatenschutz-Grundlagen
Beitragsbild zur Kategorie "Datenschutz-Grundlagen"

Künstliche Intelligenz wie ChatGPT, Copilot oder andere KI Tools versprechen enorme Effizienzgewinne. Doch wer KI Tools im Unternehmen nutzt, ohne datenschutzrechtliche Fragen zu klären, riskiert DSGVO Verstöße und Bußgelder.

Frage 1: Werden personenbezogene Daten verarbeitet?

Sobald Namen, E Mail Adressen, Kundennummern oder andere identifizierbare Informationen in KI Tools eingegeben werden, greift die DSGVO vollumfänglich. Typische Szenarien: Mitarbeiter geben Kundendaten in ChatGPT ein, KI analysiert Bewerbungen oder E Mails, Chatbots verarbeiten Website Anfragen.
Wenn personenbezogene Daten im Spiel sind, müssen Rechtsgrundlage, Betroffenenrechte und technische Maßnahmen geprüft werden.

Frage 2: Welche Rechtsgrundlage liegt vor?

Ohne gültige Rechtsgrundlage nach Art. 6 DSGVO darf keine Datenverarbeitung stattfinden. In Frage kommen:

  • Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO): KI zur Bearbeitung von Kundenanfragen
  • Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): Interessenabwägung erforderlich und dokumentieren
  • Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): Ausdrücklich und freiwillig, bei Mitarbeitern problematisch

Bei Gesundheitsdaten oder anderen sensiblen Daten (Art. 9 DSGVO) gelten strengere Anforderungen.

Frage 3: Ist eine Datenschutz Folgenabschätzung erforderlich?

Bei KI Systemen ist in den meisten Fällen eine Datenschutz Folgenabschätzung (DSFA) nach Art. 35 DSGVO Pflicht, insbesondere wenn:

  • Ein hohes Risiko für Betroffene besteht
  • Besondere Kategorien von Daten umfangreich verarbeitet werden
  • Automatisierte Einzelentscheidungen getroffen werden

Die DSFA muss dokumentiert werden, der Datenschutzbeauftragte ist einzubinden.

Frage 4: Wo werden die Daten verarbeitet?

Viele KI Tools verarbeiten Daten außerhalb der EU, oft in den USA. Das erfordert geeignete Garantien wie Standardvertragsklauseln oder Angemessenheitsbeschlüsse (z.B. EU US Data Privacy Framework).

Lösungsansätze:

  • KI Dienste mit europäischen Rechenzentren nutzen
  • Vertraglich sicherstellen, dass Datenverarbeitung nur in der EU erfolgt
  • Bei US Anbietern: Datenschutzniveau prüfen

Hier geht es zum zweiten Teil.