Der Einsatz von Künstlicher Intelligenz (KI) bietet zahlreiche Vorteile für Unternehmen und Organisationen. Allerdings gibt es besondere datenschutzrechtliche Herausforderungen, wenn diese KI-Anwendungen von Anbietern außerhalb der Europäischen Union (EU) stammen und keinen gesetzlichen Vertreter in der EU benannt haben. Der Landesbeauftragte für Datenschutz Bremen hat hierzu spezifische Empfehlungen veröffentlicht, um Risiken zu minimieren und die Einhaltung der Datenschutz-Grundverordnung (DSGVO) sicherzustellen.
Empfehlungen für den sicheren Einsatz von KI-Anwendungen
- Transparenz und Dokumentation des Anbieters Bei der Auswahl einer KI-Anwendung sollte auf die Transparenz des Anbieters geachtet werden. Es ist wichtig, dass der Anbieter eine klare Dokumentation bereitstellt, die nachvollziehbar darlegt, wie die Einhaltung der DSGVO gewährleistet wird. Diese Dokumentation sollte Informationen über Datenverarbeitungsprozesse, Sicherheitsmaßnahmen und Datenschutzrichtlinien enthalten.
- Sicherstellung des Datenschutzes vor Installation Vor der Implementierung eines KI-Modells muss gewährleistet sein, dass keine personenbezogenen Daten unkontrolliert abfließen können. Dies kann durch den Einsatz einer separaten, gesicherten IT-Umgebung oder anderer geeigneter Maßnahmen erreicht werden. Eine gründliche Prüfung der technischen Infrastruktur ist hierbei unerlässlich.
- Vorsicht bei der Nutzung von Online-Schnittstellen Bei der Verwendung von Online-Schnittstellen sollte darauf geachtet werden, keine personenbezogenen oder vertraulichen Daten einzugeben, es sei denn, es sind wirksame Schutzmaßnahmen bekannt, die einen Missbrauch verhindern. Wenn solche Maßnahmen nicht bekannt sind, sollte davon ausgegangen werden, dass sie nicht vorhanden sind, und entsprechende Vorsicht walten gelassen werden.
- Sensibilisierung von Beschäftigten und Nutzern Es ist essenziell, sowohl Mitarbeiter als auch Nutzer für die mit der Nutzung von KI verbundenen Risiken zu sensibilisieren. Dies umfasst Schulungen und Informationsveranstaltungen, die das Bewusstsein für Datenschutzrisiken schärfen und den sicheren Umgang mit KI-Anwendungen fördern. Ab dem 2. Februar 2025 ist gemäß Artikel 4 der KI-Verordnung zudem sicherzustellen, dass eine entsprechende KI-Kompetenz vorhanden ist.
- Benennung eines Vertreters nach Artikel 27 DSGVO Hersteller von KI-Anwendungen, die ihren Sitz außerhalb der EU haben und als datenschutzrechtlich Verantwortliche gelten, sollten einen Vertreter gemäß Artikel 27 DSGVO in der EU benennen. Ohne einen solchen Vertreter kann die Durchsetzung der Rechte betroffener Personen erheblich erschwert werden. Die Benennung eines Vertreters erleichtert zudem die Kommunikation mit Aufsichtsbehörden und erhöht das Vertrauen der Nutzer in die Anwendung.
Berücksichtigung relevanter Dokumente und Leitlinien
Beim Einsatz von KI-Anwendungen sollten zudem folgende Dokumente und Leitlinien berücksichtigt werden:
- Opinion 28/2024 des Europäischen Datenschutzausschusses (EDSA) Dieses Dokument behandelt spezifische Datenschutzaspekte im Zusammenhang mit der Verarbeitung personenbezogener Daten in KI-Modellen und bietet wertvolle Hinweise für die Praxis.
- Orientierungshilfe "Künstliche Intelligenz und Datenschutz" der Datenschutzkonferenz Diese Orientierungshilfe liefert umfassende Informationen zur datenschutzkonformen Nutzung von KI und dient als Leitfaden für Verantwortliche.
- KI-Checkliste des Bayerischen Landesamts für Datenschutzaufsicht Die Checkliste unterstützt Unternehmen dabei, die Einhaltung datenschutzrechtlicher Anforderungen beim Einsatz von KI-Systemen systematisch zu überprüfen.
- Checkliste zum Einsatz LLM-basierter Chatbots des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit Diese Checkliste bietet spezifische Hinweise für den datenschutzkonformen Einsatz von Chatbots, die auf großen Sprachmodellen basieren.
- Diskussionspapier "Rechtsgrundlagen im Datenschutz beim Einsatz von Künstlicher Intelligenz" des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg Das Papier diskutiert die rechtlichen Grundlagen und bietet Orientierung für den datenschutzkonformen Einsatz von KI.
Der verantwortungsvolle Einsatz von KI-Anwendungen erfordert besondere Aufmerksamkeit, insbesondere wenn die Anbieter außerhalb der EU ansässig sind und keinen gesetzlichen Vertreter benannt haben. Durch die Beachtung der genannten Empfehlungen und die Berücksichtigung relevanter Leitlinien können Organisationen sicherstellen, dass sie die datenschutzrechtlichen Anforderungen erfüllen und das Vertrauen ihrer Nutzer bewahren.
Sie haben Fragen zu diesem Artikel? Rufen Sie uns gern unter 09122 6937302 an und vereinbaren Sie einen Gesprächstermin. Oder senden Sie uns einfach eine Nachricht. Wir freuen uns, Sie kennenzulernen!
Ihr Team von Datenschutz Prinz