Künstliche Intelligenz bei Auftragsverarbeitern – Datenschutz richtig umsetzen

Auftragsverarbeitung liegt vor, wenn ein Unternehmen personenbezogene Daten an einen externen Dienstleister weitergibt. Der Dienstleister verarbeitet diese Daten nur nach den Vorgaben des Unternehmens. Das Unternehmen bleibt dabei verantwortlich für den Datenschutz.

Typische Beispiele für Auftragsverarbeiter sind:

• IT-Dienstleister
• Cloud-Anbieter
• Software-Anbieter
• Analyse- und Support-Dienstleister

Auch wenn der Dienstleister moderne KI-Systeme nutzt, bleibt die Verantwortung beim Auftraggeber.

KI-Systeme arbeiten oft automatisch und mit großen Datenmengen. Sie lernen aus Daten und können Inhalte analysieren, bewerten oder erzeugen. Dabei besteht das Risiko, dass:

• mehr Daten verarbeitet werden als notwendig
• Daten länger gespeichert werden
• sensible Informationen unbeabsichtigt genutzt werden
• Entscheidungen nicht nachvollziehbar sind

Wenn KI bei einem Auftragsverarbeiter eingesetzt wird, muss klar sein, welche Daten in die KI eingegeben werden und wie diese Daten geschützt sind.

Unternehmen dürfen sich nicht darauf verlassen, dass der Dienstleister den Datenschutz allein übernimmt. Sie müssen aktiv prüfen:

• welche KI-Systeme eingesetzt werden
• welche Daten verarbeitet werden
• zu welchem Zweck die Daten genutzt werden

Außerdem muss sichergestellt sein, dass der Dienstleister die Daten nicht für eigene Zwecke verwendet.

Zwischen Unternehmen und Auftragsverarbeiter muss ein klarer Vertrag bestehen. Dieser Vertrag muss regeln:

• welche Daten verarbeitet werden
• wie lange die Daten gespeichert werden
• welche Sicherheitsmaßnahmen gelten
• ob und wie KI eingesetzt wird

Besonders wichtig ist, dass der Einsatz von KI ausdrücklich beschrieben wird. So wird Transparenz geschaffen und Missbrauch verhindert.

Der Auftragsverarbeiter muss geeignete Maßnahmen ergreifen, um die Daten zu schützen. Dazu gehören:

• Zugriffsbeschränkungen
• Verschlüsselung von Daten
• sichere Speicherorte
• regelmäßige Sicherheitsprüfungen

Unternehmen sollten sich diese Maßnahmen erklären lassen und regelmäßig überprüfen.

Der Einsatz von KI bei Auftragsverarbeitern muss dokumentiert werden. Unternehmen sollten festhalten:

• warum KI eingesetzt wird
• welche Risiken bestehen
• wie diese Risiken reduziert werden
• 
  

Regelmäßige Kontrollen helfen, Probleme frühzeitig zu erkennen und zu beheben.

Auch Mitarbeitende müssen wissen, wie KI datenschutzkonform genutzt wird. Schulungen helfen dabei:

• Risiken zu verstehen
• korrekt mit Daten umzugehen
• Fehler zu vermeiden

Das gilt sowohl für Mitarbeitende des Unternehmens als auch beim Dienstleister.

Wer KI bei Auftragsverarbeitern nutzt, sollte:

• klare Verträge abschließen
• Transparenz schaffen
• Sicherheitsmaßnahmen prüfen
• regelmäßig kontrollieren

So kann KI sinnvoll eingesetzt werden, ohne die Rechte betroffener Personen zu gefährden.

Datenschutz und KI gehören zusammen – auch bei externen Dienstleistern. 

Sie haben Fragen zu diesem Artikel? Rufen Sie uns gern unter 09122 6937302 an und vereinbaren Sie einen Gesprächstermin. Oder senden Sie uns einfach eine Nachricht. Wir freuen uns, Sie kennenzulernen!

Ihr Team von Datenschutz Prinz