KI und Datenschutz in Unternehmen

Beim zunehmenden Einsatz von Künstlicher Intelligenz (KI), einer bedeutenden Technologie, kommt es in Unternehmen oft zur Verarbeitung und Bewertung personenbezogener Daten. Ist dies der Fall, haben Unternehmen die Vorgaben des Datenschutzrechts der Europäischen Union zu beachten.

So gilt bereits seit dem 27.04.2016 innerhalb der Europäischen Union die Datenschutz-Grund-verordnung (DS-GVO). Dies führte in Deutschland dazu, dass der Gesetzgeber im Mai 2017 das Datenschutz-Anpassungs- und Umsetzungsgesetz-EU (DSAnpUG-EU) beschlossen hat. Dieses trat am 25.05.2018 in Kraft und löste das bisherige Bundesdatenschutzgesetz (BDSG) ab.

Mit der DS-GVO haben Unternehmen (im Verhältnis zum BDSG) verschärfte Datenschutzan-forderungen zu erfüllen und deren Umsetzung in einer dem Art. 24 Abs. 1 DS-GVO ent-sprechenden Weise zu dokumentieren. Dabei sind die in Art. 5 DS-GVO genannten Rechts-grundsätze für die Verarbeitung personenbezogener Daten, wie

  • Rechtmäßigkeit,
  • Verarbeitung nach Treu und Glauben,
  • Transparenz,
  • Zweckbindung,
  • Datenminimierung,
  • Richtigkeit,
  • Speicherbegrenzung,
  • Integrität,
  • Vertraulichkeit und
  • Rechenschaftspflicht

zu gewährleisten.

Mit dem am 01.08.2024 in Kraft getretenen AI ACT der Europäischen Union, der den Einsatz von Künstlicher Intelligenz (KI) in der EU regelt, haben sich die Anforderungen an den Datenschutz nochmals entsprechend erhöht.

Wenden Unternehmen zunehmend KI-Systeme an, haben sie beim Einsatz von Künstlicher Intelligenz nunmehr insofern die Vorgaben aus der DS-GVO und des AI ACT der EU zum Schutz personenbezogener Daten zu beachten.

Der AI Act gilt für

  • Anbieter (auch aus Drittländern), welche ihre KI-Systeme in der EU in Verkehr bringen
  • Importeure
  • Betreiber
  • Distributoren
  • Nutzer von KI-Systemen, die sich in der EU befinden
  • in einem Drittland ansässige Anbieter u. Nutzer, die ihr System in der EU verwenden

Wesentlicher Inhalt des AI ACT:

1. Kategorisierung von KI-Systemen: 

Der AI ACT klassifiziert KI-Systeme in verschiedene Risikokategorien:

  • inakzeptables Risiko (verbotene KI-Praktiken):

Systeme, die als gefährlich erachtet werden

  • hohes Risiko (Hochrisiko-KI-Systeme): Systeme, die in kritischen Bereichen wie Gesundheit, Verkehr oder Bildung eingesetzt werden, unterliegen strengen Anforderungen an Transparenz, Sicherheit und Nachvollziehbarkeit
  • begrenztes Risiko: KI-Systeme, die mit Menschen interagieren, worüber Anbieter die natürlichen Personen informieren müssen
  • geringes Risiko: diese Systeme haben weniger strenge Anforderungen, müssen

jedoch bestimmte Transparenzpflichten (technische Dokumentation, Risikobewertung) erfüllen.

Bei der Kategorisierung gilt insofern, dass die Auflagen und Pflichten für die Betreiber umso höher sind, je höher das Risikopotential eines KI-Systems ist. Demgemäß ist im Weiteren Inhalt des AI ACT:

2. Transparenz und Nachvollziehbarkeit: 

Unternehmen müssen sicherstellen, dass ihre KI-Systeme transparent sind. Nutzer sollen darüber informiert werden, wenn sie mit einem KI-System interagieren; es muss klar sein, wie Entscheidungen getroffen werden.

3. Sicherheitsanforderungen

Hohe Risikosysteme müssen strengen Sicherheitsanforderungen genügen, einschließlich der Durchführung von Risikobewertungen und der Implementierung von Sicherheitsmaß-nahmen.

4. Überwachung und Compliance

Unternehmen müssen Mechanismen zur Überwachung der KI-Systeme einrichten, um sicherzustellen, dass diese den gesetzlichen Anforderungen entsprechen. Dies kann eine

regelmäßige Überprüfung und Berichterstattung umfassen.

5. Haftung

Der AI ACT legt auch fest, wie Haftungsfragen im Zusammenhang mit KI-Systemen geregelt werden. Unternehmen müssen sich der rechtlichen Implikationen bewusst sein, die sich aus der Nutzung von KI ergeben können.

Maßnahmen zur Umsetzung des AI ACT in Ihrem Unternehmen

Um den Anforderungen des AI ACT gerecht zu werden, empfehlen wir Ihnen folgende Schritte:

1. Bestandsaufnahme

Überprüfen Sie alle bestehenden KI-Systeme in Ihrem Unternehmen und kategorisieren Sie diese gemäß den Risikokategorien des AI ACT.

2. Risikobewertung

Führen Sie eine umfassende Risikobewertung für alle hochriskanten KI-Systeme durch, erstellen Sie eine Gap-Analyse. Dokumentieren Sie die Ergebnisse und die getroffenen Maßnahmen zur Risikominderung (welcher Risikokategorie ist die KI-Anwendung zuzuordnen?).

3. Transparenzmaßnahmen

Entwickeln Sie Richtlinien zur Transparenz, die sicherstellen, dass Nutzer über die Nutzung

von KI-Systemen informiert werden. Dies könnte die Erstellung von Benutzerhandbüchern oder Informationsmaterialien umfassen.

4. Schulung und Sensibilisierung

Schulen Sie Ihre Mitarbeiter im Umgang mit KI-Systemen und den neuen gesetzlichen Anforderungen. Sensibilisieren Sie sie für die Bedeutung von Compliance und ethischen

Standards.

5. Compliance-Management:

Richten Sie ein Compliance-Management-System ein, um die Einhaltung des AI ACT zu überwachen. Dies könnte die Ernennung eines Datenschutzbeauftragten oder eines KI-Compliance-Beauftragten umfassen.

6. Dokumentation

Halten Sie alle Prozesse, Bewertungen und Maßnahmen gut dokumentiert, um im Falle von

Prüfungen oder rechtlichen Fragen nachweisen zu können, dass Sie den Anforderungen des AI ACT nachgekommen sind.

Wir hoffen, dieser kurze Überblick hilft Ihnen, Kenntnis vom wesentlichen Inhalt des AI ACT zu nehmen und die notwendigen Schritte zur Umsetzung in Ihrem Unternehmen zu planen.