Künstliche Intelligenz, kurz KI, wird in Unternehmen immer häufiger eingesetzt. Sie hilft bei der Auswertung von Daten, im Kundenservice oder bei automatisierten Abläufen. Viele Unternehmen nutzen dafür externe Dienstleister. Diese Dienstleister verarbeiten personenbezogene Daten im Auftrag und werden Auftragsverarbeiter genannt. Wenn Auftragsverarbeiter KI einsetzen, entstehen besondere Anforderungen an den Datenschutz.
Dieser Beitrag erklärt verständlich, worauf Unternehmen achten müssen, wenn KI bei Auftragsverarbeitern genutzt wird.
Was bedeutet Auftragsverarbeitung?Auftragsverarbeitung liegt vor, wenn ein Unternehmen personenbezogene Daten an einen externen Dienstleister weitergibt. Der Dienstleister verarbeitet diese Daten nur nach den Vorgaben des Unternehmens. Das Unternehmen bleibt dabei verantwortlich für den Datenschutz.
Typische Beispiele für Auftragsverarbeiter sind:
- IT-Dienstleister
- Cloud-Anbieter
- Software-Anbieter
- Analyse- und Support-Dienstleister
Auch wenn der Dienstleister moderne KI-Systeme nutzt, bleibt die Verantwortung beim Auftraggeber.
Warum ist KI bei Auftragsverarbeitern besonders sensibel?KI-Systeme arbeiten oft automatisch und mit großen Datenmengen. Sie lernen aus Daten und können Inhalte analysieren, bewerten oder erzeugen. Dabei besteht das Risiko, dass:
- mehr Daten verarbeitet werden als notwendig
- Daten länger gespeichert werden
- sensible Informationen unbeabsichtigt genutzt werden
- Entscheidungen nicht nachvollziehbar sind
Wenn KI bei einem Auftragsverarbeiter eingesetzt wird, muss klar sein, welche Daten in die KI eingegeben werden und wie diese Daten geschützt sind.
Verantwortung des UnternehmensUnternehmen dürfen sich nicht darauf verlassen, dass der Dienstleister den Datenschutz allein übernimmt. Sie müssen aktiv prüfen:
- welche KI-Systeme eingesetzt werden
- welche Daten verarbeitet werden
- zu welchem Zweck die Daten genutzt werden
Außerdem muss sichergestellt sein, dass der Dienstleister die Daten nicht für eigene Zwecke verwendet.
Vertragliche Regelungen sind PflichtZwischen Unternehmen und Auftragsverarbeiter muss ein klarer Vertrag bestehen. Dieser Vertrag muss regeln:
- welche Daten verarbeitet werden
- wie lange die Daten gespeichert werden
- welche Sicherheitsmaßnahmen gelten
- ob und wie KI eingesetzt wird
Besonders wichtig ist, dass der Einsatz von KI ausdrücklich beschrieben wird. So wird Transparenz geschaffen und Missbrauch verhindert.
Technische und organisatorische MaßnahmenDer Auftragsverarbeiter muss geeignete Maßnahmen ergreifen, um die Daten zu schützen. Dazu gehören:
- Zugriffsbeschränkungen
- Verschlüsselung von Daten
- sichere Speicherorte
- regelmäßige Sicherheitsprüfungen
Unternehmen sollten sich diese Maßnahmen erklären lassen und regelmäßig überprüfen.
Dokumentation und KontrolleDer Einsatz von KI bei Auftragsverarbeitern muss dokumentiert werden. Unternehmen sollten festhalten:
- warum KI eingesetzt wird
- welche Risiken bestehen
- wie diese Risiken reduziert werden
Regelmäßige Kontrollen helfen, Probleme frühzeitig zu erkennen und zu beheben.
Schulung der MitarbeitendenAuch Mitarbeitende müssen wissen, wie KI datenschutzkonform genutzt wird. Schulungen helfen dabei:
- Risiken zu verstehen
- korrekt mit Daten umzugehen
- Fehler zu vermeiden
Das gilt sowohl für Mitarbeitende des Unternehmens als auch beim Dienstleister.
Wer KI bei Auftragsverarbeitern nutzt, sollte:
- klare Verträge abschließen
- Transparenz schaffen
- Sicherheitsmaßnahmen prüfen
- regelmäßig kontrollieren
So kann KI sinnvoll eingesetzt werden, ohne die Rechte betroffener Personen zu gefährden.
Datenschutz und KI gehören zusammen – auch bei externen Dienstleistern.
Sie haben Fragen zu diesem Artikel? Rufen Sie uns gern unter 09122 6937302 an und vereinbaren Sie einen Gesprächstermin. Oder senden Sie uns einfach eine Nachricht. Wir freuen uns, Sie kennenzulernen!
Ihr Team von Datenschutz Prinz