DSGVO und KI im Unternehmen: 7 Fragen, die vor dem Einsatz von ChatGPT und Co. geklärt werden müssen – Teil 2

By DatenschutzDatenschutz-Grundlagen
Beitragsbild zur Kategorie "Datenschutz-Grundlagen"

Künstliche Intelligenz wie ChatGPT, Copilot oder andere KI Tools versprechen enorme Effizienzgewinne. Doch wer KI Tools im Unternehmen nutzt, ohne datenschutzrechtliche Fragen zu klären, riskiert DSGVO Verstöße und Bußgelder.
Hier geht’s zum 1 Teil.

Frage 5: Werden Eingabedaten für Training verwendet?

Viele KI Anbieter nutzen Eingabedaten standardmäßig für das Training ihrer Modelle. Das bedeutet: Kundendaten oder interne Informationen könnten dauerhaft gespeichert und später in Antworten an andere Nutzer auftauchen.

Prüfen:

  • Nutzt der Anbieter Eingabedaten für eigene Zwecke?
  • Kann Datentraining deaktiviert werden?
  • Gibt es Unternehmensversionen mit garantierter Datentrennung?

Empfehlung: Vertraglich oder technisch ausschließen, dass Eingabedaten für andere Zwecke genutzt werden.

Frage 6: Welche internen Regeln und Schulungen sind erforderlich?

Selbst DSGVO konforme Tools können durch falsche Nutzung zu Verstößen führen.

Notwendige Maßnahmen:

  • Nutzungsrichtlinie: Welche Daten dürfen eingegeben werden, welche sind tabu?
  • Mitarbeiterschulungen: Sensibilisierung für Risiken, konkrete Beispiele, Umgang mit KI Ausgaben
  • Berechtigungskonzept: Nicht alle Mitarbeiter brauchen Zugang zu allen Tools
  • Protokollierung: Dokumentation der Nutzung unter Zweckbindung

Ziel: Verhinderung von Shadow AI, also unkontrollierter Nutzung privater KI Accounts.

Frage 7: Wie werden Betroffenenrechte sichergestellt?

Betroffene haben umfassende Rechte, die auch bei KI Einsatz gewährleistet werden müssen:

  • Auskunftsrecht: Wie wurden meine Daten in KI Systemen verarbeitet?
  • Recht auf Berichtigung: Falsche Daten müssen korrigiert werden
  • Recht auf Löschung: Unter bestimmten Voraussetzungen müssen Daten gelöscht werden
  • Widerspruchsrecht: Betroffene können Verarbeitung widersprechen

Herausforderung: Technisches Löschen aus KI Modellen ist komplex. Lösung: Nachtraining, Depersonalisierung oder vertragliche Klärung mit dem KI Anbieter.

Vorbereiten: Verfahren zur Bearbeitung von Betroffenenanfragen dokumentieren, Rückmeldefristen einhalten (einen Monat).

Keine KI ohne Datenschutzprüfung