KI und Datenschutz: Umsetzung der DSGVO-Anforderungen

Der Hype um Künstliche Intelligenz lässt viele Unternehmen nachziehen – oft, ohne zu wissen, wozu eigentlich. Wer Daten einfach „an die KI gibt“, ohne Zweck und Rechtsgrundlage zu definieren, steht schnell vor datenschutzrechtlichen Problemen.

Damit eine Datenverarbeitung nach der DSGVO rechtmäßig ist, müssen die Grundsätze der Datenverarbeitung nach Art 5 DSGVO eingehalten werden.

Diese Verarbeitungsgrundsätze umfassen neben den Grundsätzen der Rechtmäßigkeit, der Verarbeitung nach Treu und Glauben und Transparenz auch den Grundsatz der Zweckbindung. Der Grundsatz der Zweckbindung ist in der datenschutzrechtlichen Prüfung zentral. An den genau definierten Zweck knüpfen die Fragen der zu prüfenden Rechtfertigungsgründe zur Datenverarbeitung, der Speicherdauer etc. an.

KI und Datenschutz: Herausforderungen in der Praxis

Daraus ergibt sich aber oft ein Problem in der Praxis, denn die Prüfung der Verarbeitungsgrundsätze wird häufig an die Rechtsabteilung oder Datenschutzbeauftrage ausgelagert. Diese versuchen dann, bestehende oder neu zu implementierende KI-Anwendungen mit den Grundsätzen der Datenverarbeitung in Einklang zu bringen. Während Rechtfertigungen (auch oft aufgrund der Einordnung unter die von der DSGVO abschließend aufgezählten Rechtsgrundlagen für die Verarbeitung) und auch Löschfristen (aufgrund von definierten gesetzlichen Aufbewahrungs- oder Verjährungsfristen (z.B. § 132 BAO und die lange Verjährungsfrist in § 1478 ABGB)) noch generisch ableitbar sind, ist die Definition des Zwecks einer Datenverarbeitung mitunter eine Herausforderung. Dies deshalb, weil die im Unternehmen mit der Umsetzung der DSGVO-Anforderungen beauftragten Stellen meist zu weit vom eigentlichen Geschäft entfernt sind und die Frage des „Warum“ oder nach dem „Sinn“ einer Datenverarbeitung oft nur bedingt nachvollziehen können.

Häufig kommt erschwerend hinzu, dass die zu beurteilende Information ausschließlich von der Führungsebene an die umsetzende Stelle übermittelt wird und Datenschutz-Compliance mit unvollständigen Informationen, mangelnden Rückfragemöglichkeiten und Zeitdruck hergestellt werden muss. Das Ergebnis ist häufig, dass der Zweck für die Nutzung einer KI-Anwendung wie folgt lautet: „Wir wollen KI nutzen, weil das alle machen und wir nicht den Anschluss verlieren wollen etc.“ Auf einen derart definierten Zweck können keine weiteren sinnvollen Ableitungen erfolgen, weder kann daraus eine konkrete Löschfrist abgeleitet werden noch kann eine Rechtfertigung der Datenverarbeitung tatsächlich geprüft und nicht nur generisch abgeleitet werden.

Unter Zugrundelegung solcher Begründungen für den Einsatz von Künstlicher Intelligenz besteht für ein Unternehmen das Risiko, KI ausschließlich zum Selbstzweck zu verwenden und sich der Gefahr regulatorischer Strafen auszusetzen bzw. auch keinen Mehrwert aus der eigentlichen KI-Nutzung zu generieren.

KI und Datenschutz: So gelingt der rechtssichere und erfolgreiche Einsatz von Künstlicher Intelligenz

Daraus ergeben sich unter anderem folgende Prüfschritte, um KI-Projekte in Unternehmen datenschutzkonform umzusetzen:

Einhaltung der datenschutzrechtlichen Grundsätze, insbesondere Definition eines genauen Verarbeitungszwecks (Art 5 DSGVO)
Definition von Rechtfertigungsgründen für die Verarbeitung (Art 6 DSGVO)
Überlegung, wo im Verzeichnis der Verarbeitungstätigkeiten eine KI-Lösung dargestellt werden kann (Art 30 DSGVO)
Falls notwendig die Durchführung einer Datenschutzfolgenabschätzung (Art 35 DSGVO)

Die präzise Definition eines Verarbeitungszwecks kann auch dazu beitragen, den Einsatz von KI vergleichbar und messbar zu machen.

Beispiel:

Lautet der Zweck etwa „Verarbeitung personenbezogener Daten zur KI-gestützten Erstellung von Stellenanzeigen im Rahmen von Stellenausschreibungen“, lässt sich diese Tätigkeit direkt mit der nicht KI-gestützten Erstellung von Stellenausschreibungen vergleichen.

Benötigte ein:e Mitarbeiter:in in der Personalabteilung zuvor etwa zwei Stunden für die Tätigkeit, während dieselbe Aufgabe mit einem KI-Tool nur noch zehn Minuten dauert, ergibt sich eine Zeitersparnis von rund 90 %.

Dieses Beispiel zeigt, dass Überlegungen aus dem Bereich des Datenschutzes, wie etwa eine klare Zweckdefinition, nicht nur zur Einhaltung der DSGVO beitragen – sondern auch betriebswirtschaftliche Erkenntnisse ermöglichen und dabei helfen können, den „Sinn und Zweck“ einzelner Prozesse besser zu reflektieren.

Fazit

In der klaren Definition von Verarbeitungszwecken liegt nicht nur der Schlüssel zu rechtssicherem KI-Einsatz – sondern auch zu betrieblicher Effizienz. So wird Datenschutz nicht zur Bremse, sondern zur Grundlage effizienter und reflektierter Digitalisierung.

Autor: Mag. Christian Kracher

Seminartipp! ChatGPT, Microsoft 365 Copilot und Datenschutz

Generative KI-Systeme und der Datenschutz oder die Suche nach dem Sinn und Zweck

Generative KI-Systeme und der Datenschutz oder die Suche nach dem Sinn und Zweck

KI und Datenschutz: Herausforderungen in der Praxis

KI und Datenschutz: So gelingt der rechtssichere und erfolgreiche Einsatz von Künstlicher Intelligenz

Beispiel:

Fazit

Bitte füllen Sie für alle Teilnehmer die nötigen Daten aus, um zur Kasse fortfahren zu können.