Unternehmen verwenden KI-Tools, um Arbeitsabläufe zu automatisieren, große Datenmengen zu analysieren und mit Mitarbeitenden und Kund:innen zu kommunizieren. Erfahren Sie von Franz Brandstetter, Datenschutzexperte und Trainer, welche 5 Punkte Sie bei der Verarbeitung von personenbezogenen Daten unter Einsatz von KI-Tools beachten müssen.

Sofern personenbezogene Daten verarbeitet werden, ist es wichtig, die bestehenden Datenschutzregeln einzuhalten, was in Zusammenhang mit KI oft gar nicht einfach ist. Diese 5 Punkte sind zu beachten:

1. Informationspflichten erfüllen

Die Informationspflichten sind hinsichtlich KI Tools und, falls angewandt, auch hinsichtlich automatisierter Entscheidungsfindung zu erfüllen. Die Informationspflicht muss in einer klaren einfachen und verständlichen Sprache erfüllt werden. Falls automatisierte Entscheidungsfindung unter Einsatz von KI-Tools angewandt wird, müssen den Betroffenen weiters aussagekräftige Informationen zum Zustandekommen der Entscheidung, der involvierten Logik und der Tragweite der Verarbeitung gegeben werden.

2. Betroffenenrechte erfüllen

Es muss z.B. möglich sein, Daten zu beauskunften, fehlerhafte Daten zu berichtigen oder Daten zu löschen.

3. Datenschutzrechtliche Rollen klären

Die datenschutzrechtlichen Rollen (gemeinsam) Verantwortlicher oder Auftragsverarbeiter sind zu klären.

4. Datenschutz-Folgenabschätzung durchführen

Eine Datenschutz-Folgenabschätzung ist bei voraussichtlich hohem Risiko für Betroffene durchzuführen und sowohl in den österreichischen als auch in den deutschen Sonderregelungen zur Datenschutz-Folgenabschätzung wird der Einsatz von KI ausdrücklich angesprochen.

  • Österreich: Eine Datenschutz-Folgenabschätzung ist durchzuführen bei Daten-Verarbeitungen unter Nutzung oder Anwendung neuer bzw. neuartiger Technologien oder organisatorischer Lösungen, welche die Abschätzung der Auswirkungen auf die betroffenen Personen und die gesellschaftlichen Folgen erschweren, insbesondere durch den Einsatz von künstlicher Intelligenz … (§ 3 (2) Z 4 DSFA-V)
  • Deutschland: In der deutschen Liste der Verarbeitungstätigkeiten, für die eine Datenschutz-Folgenabschätzung durchzuführen ist, sind KI-Anwendungen in Punkt 11 angeführt. „Einsatz von künstlicher Intelligenz zur Verarbeitung personenbezogener Daten zur Steuerung der Interaktion mit den Betroffenen oder zur Bewertung persönlicher Aspekte der betroffenen Person.“ Beispiele dafür sind: Ein Callcenter wertet automatisiert die Stimmungslage der Anrufer:innen aus. Oder: Ein Unternehmen setzt ein System ein, welches mit Kund:innen durch Konversation interagiert und für deren Beratung personenbezogene Daten durch eine künstliche Intelligenz verarbeitet werden.

5. Datenschutz-Folgenabschätzung – Risiko für Betroffene reduzieren

Bei der Datenschutz-Folgenabschätzung sind insbesondere auch die Notwendigkeit und Verhältnismäßigkeit abzuwägen sowie das Risiko für Betroffene zu bewerten und zu reduzieren. Bei hohem Risiko ist die Datenschutzbehörde zu konsultieren, die eine Verarbeitung auch untersagen kann.

Zusammengefasst bestehen schon jetzt umfassende Regelungen, wenn KI-Tools bei der Verarbeitung von z.B. Daten eingesetzt werden. Besonders kritisch ist es, wenn voraussichtlich ein hohes Risiko für die Betroffenen besteht.

Dr. Franz Brandstetter ist Unternehmensberater und Lehrbeauftragter für Datenschutz an der Westfälischen Hochschule Recklinghausen im Fachbereich Wirtschaftsrecht. Seine Schwerpunkte als Trainer, Auditor und Berater liegen im Bereich des Datenschutzes.

WIFI Management
Forum Seminar:
KI und Datenschutz – Herausforderungen

Bildcredits: © Jürgen Fälchle – stock.adobe.com