DSGVO und KI: Datenschutz bei KI-Systemen in Unternehmen

DSGVO und KI: Datenschutz bei KI-Systemen in Unternehmen

Die Datenschutz-Grundverordnung (DSGVO) und KI-Systeme geraten in Konflikt. Wie können Unternehmen KI-Systeme datenschutzgerecht einsetzen? Ein rechtlicher Überblick.

Das zentrale Problem: Datenverarbeitung bei KI

KI-Systeme wie ChatGPT verarbeiten Ihre Daten zum Training. Wenn Sie sensible Kundendaten in ChatGPT eingeben, können diese zum Training verwendet werden. Das ist problematisch unter der DSGVO.

Artikel 32 DSGVO: Datensicherheit

Unternehmen müssen “angemessene technische und organisatorische Maßnahmen” ergreifen, um Datensicherheit zu gewährleisten. Das bedeutet:

– Verschlüsselte Datenübertragung (HTTPS) ✓
– Minimale Datenverarbeitung (nicht mehr Daten als nötig)
– Datenlöschung nach Zweck (nicht unbegrenzte Speicherung)
– Zugriffskontrolle (wer darf die Daten sehen?)

Der vollständige DSGVO Text (Artikel 32).

Artikel 6: Rechtliche Grundlage

Bevor du personenbezogene Daten in KI-Systemen verarbeitest, brauchst du eine rechtliche Grundlage. Das kann sein:

– Einwilligung (Nutzer hat zugestimmt)
– Vertrag (Datenverarbeitung ist Teil des Service)
– Rechtliche Verpflichtung (z.B. Steuern)
– Berechtigtes Interesse (mit Abwägung)

Praktisch: Was bedeutet das für mein Unternehmen?

1. Keine rohen Kundendaten in ChatGPT eingeben
2. Wenn nötig, anonymisieren/pseudonymisieren
3. Mit Datenschutzverantwortlichen klären
4. Dokumentieren (Datenschutz-Folgeabschätzung)
5. Möglicherweise Datenverarbeitungsvertrag mit dem KI-Anbieter abschließen

Die Europäische Kommission zum Datenschutz.

Zusammenfassung

KI und DSGVO sind nicht unvereinbar. Mit den richtigen Vorkehrungen können Unternehmen KI-Systeme rechtssicher nutzen.