Haben Sie Fragen oder Interesse? +49 (511) 165 80 40 90
de

von

Die Nutzung von künstlicher Intelligenz (KI) im Unternehmen

Künstliche Intelligenz kann – richtig eingesetzt – für ein Unternehmen viele Vorteile mit sich bringen. Zum Beispiel können mit ihrer Hilfe Daten deutlich schneller gesammelt, zusammengefasst und ausgewertet werden, als es auf herkömmliche Art und Weise möglich wäre. Ihr Einsatz bedeutet für den Arbeitgeber aber auch regelmäßig datenschutzrechtliche Fallstricke. Diese betreffen nicht nur möglicherweise hochsensible Angestelltendaten, sondern auch die aus den eingegebenen Daten von den KI-Systemen generierten Outputs, da auch diese regelmäßig Personenbezug aufweisen. Deshalb gilt es für das Unternehmen einige wichtige Punkte zu beachten, bevor Künstliche Intelligenz sicher im Unternehmen eingesetzt werden kann.

1. Informationspflichten und Transparenzgebot

Wer Künstliche Intelligenz im Betrieb verwenden möchte, muss sich eingehend damit auseinandersetzen, welche Informationspflichten aus Art. 13 DS-GVO zu beachten sind. Gleiches gilt für den Grundsatz der Transparenz (vgl. ErwGr. 58 der DS-GVO). Daraus geht hervor, dass die Informationen über die verarbeiteten Daten für die Betroffenen präzise, leicht zugänglich und in klarer, verständlicher Sprache verfasst sein müssen. Die Betroffenen können nämlich nur dann wirksam in die Verarbeitung ihrer Daten einwilligen und ggf. Betroffenenrechte ausüben, wenn ihnen der Zweck der Verarbeitung und die Rechtsgrundlagen, auf denen die Verarbeitung fußt, auch bewusst sind (vgl. BeckOK DatenschutzR/Stemmer DS-GVO Art. 7 Rn. 55). Für das Unternehmen bedeutet das, genaue Aufzeichnungen darüber zu führen, welche Daten tatsächlich verarbeitet werden und an wen gegebenenfalls eine Weitergabe erfolgt.

Auch bei automatisierten Entscheidungsfindungen gem. Art. 22 DS-GVO muss der Arbeitgeber Informationspflichten beachten. Solche Fälle sind denkbar, wenn es um die Auswahl eines Mitarbeiters für Beförderungen geht, oder im Bewerbungsverfahren (Witteler/Moll  NZA 2023, 327 (330)). Die Betroffenen müssen dann sowohl über die Tragweite der Verarbeitung informiert werden als auch über die bei der Entscheidungsfindung involvierte Logik des Systems (Paal/Pauly/Paal/Hennemann DS-GVO Art. 13 Rn. 31a). Gerade das ist in der Praxis allerdings nicht immer hinreichend möglich, denn die Funktionsweise von Algorithmen ist nicht immer leicht verständlich darstellbar. Bei selbstlernenden Systemen kommt noch hinzu, dass ihre Entwicklung teilweise kaum bis gar nicht vorhersehbar, und damit erst recht nicht erklärbar ist. In diesen Fällen kann das Unternehmen den Informationspflichten nach Art. 13 Abs. 2 lit. f) DS-GVO nicht immer genügen (Paal/Pauly/Paal/Hennemann DS-GVO Art. 13 Rn. 31e).

2. Betroffenenrechte

Verarbeitet der Arbeitgeber personenbezogene Daten seiner Arbeitnehmer, muss er durch geeignete Prozesse sicherstellen, dass diese bei Bedarf ihre Betroffenenrechte gem. Art. 13 ff. DS-GVO durchsetzen können. Arbeitnehmer und sonstige Betroffene (z.B. Vertragspartner, Kundinnen und Kunden) müssen die Möglichkeit haben, Auskunft über ihre verarbeiteten, personenbezogenen Daten zu bekommen (Art. 15 DS-GVO), fehlerhaft eingegebene Daten zu berichtigen (Art. 16 DS-GVO) oder Daten löschen zu lassen (Art. 17 DS-GVO). Gerade bei Letzterem können sich im Zusammenhang mit KI im Unternehmen besondere Hürden ergeben. Wenn nämlich das Unternehmen generative KI-Systeme verwendet, nutzen diese Systeme die eingegebenen Daten in der Regel dazu, sich selbst zu optimieren. Das führt dazu, dass eingegebene Daten nicht gänzlich im System gelöscht werden können, da sie schon Teil des Systems geworden sind. Es ist dann nicht mehr möglich, die Daten vollumfänglich zu löschen, ohne das System selbst zu beeinträchtigen.

3. Verschiedenen Formen der Verantwortlichkeit

Je nach verwendetem System und Konstellation ändert sich auch die datenschutzrechtliche Verantwortlichkeit. Entscheidet das Unternehmen, welches die KI in die unternehmenseigene Infrastruktur integriert, selbst über Mittel und Zweck der Datenverarbeitung, handelt es sich bei dem Unternehmen um einen Verantwortlichen im Sinne des Art. 4 Nr. 7 DS-GVO. Das ist üblicherweise der Regelfall. Die Rolle des Anbieters des KI-Systems hingegen kann variieren. Häufig kommt es vor, dass der Anbieter des KI-Tools und das Unternehmen bei der Entwicklung eng zusammenarbeiten. Sie verfolgen dann einen gemeinsamen Zweck, und sind demnach auch Gemeinsame Verantwortliche gem. Art 26 Abs. 1I DS-GVO.

Das Gegenteil ist der Fall, wenn das Unternehmen allein und ausschließlich für die Eingabe der zu verarbeitenden Daten verantwortlich ist, und der Systemanbieter ausschließlich die Verantwortung für die interne Datenverarbeitung trägt. In diesem Fall haben Anbieter und Unternehmen eine Geteilte Verantwortung. In beiden Fällen darf der Anbieter die eingegebenen Daten auch für eigene Zwecke nutzen. Ist das nicht der Fall, und der Anbieter des KI-Systems führt lediglich die Anweisungen des Unternehmens aus, handelt er nicht als Verantwortlicher, sondern als Auftragsverarbeiter nach Art. 4 Nr. 8 DS-GVO. Liegt eine solche Konstellation vor, müssen der Anbieter des KI-Systems und das Unternehmen einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 Abs. 3 DS-GVO abschließen. Die Abgrenzung kann in der Praxis oftmals schwierig sein.

4. Weitere Anforderungen

Weitere datenschutzrechtliche Anforderungen ergeben sich aus Art. 5 DS-GVO. Besonders der Grundsatz der Richtigkeit der Daten kann hier relevant werden, da er sich nicht nur auf die eingegebenen Daten bezieht, sondern auch auf den von der KI generierten Output (Baumgartner/Brunnbauer/Cross MMR 2023, 543 (546)). Auch müssen zur Gewährleistung der Sicherheit und Vertraulichkeit notwendige technische und organisatorische Maßnahmen gewährleistet sein. Außerdem empfiehlt sich eine Datenschutz-Folgenabschätzung.

5. Fazit

Innerbetriebliche Abläufe können durch den Einsatz von Künstlicher Intelligenz erheblich beschleunigt und erleichtert werden. Vor ihrem Einsatz müssen Unternehmen jedoch mögliche Risiken abwägen und sicherstellen, dass die rechtlichen Rahmenbedingungen bestmöglich eingehalten werden können. Dabei können sich im Einzelnen durchaus komplexe Abgrenzungs- Abwägungs- und Bewertungsfragen ergeben, deren Beantwortung wiederum die Grundlage für eine informierte Entscheidung, ob und in welchem Umfang KI genutzt werden soll, erforderlich ist.

Zurück

lexICT...

... ist eine Datenschutz-Beratungsfirma mit Sitz in Hannover und Wien, die großen Wert auf eine individuelle Beratung und die Entwicklungen pragmatischer Lösungen setzt. Unser Team besteht ausschließlich aus Jurist*innen, die sich im Datenschutz spezialisiert haben und über den gewissen Nerd-Faktor verfügen, um die Nische zwischen Recht und Technik optimal ausfüllen zu können.

Kontaktieren Sie uns!

lexICT GmbH
Ostfeldstraße 49
30559 Hannover

+49 (511) 165 80 40 90

+49 (511) 165 80 40 99

Copyright 2024. All Rights Reserved.
Einstellungen gespeichert
Datenschutzeinstellungen

Weitere Informationen finden Sie in unserer Datenschutzerklärung.

You are using an outdated browser. The website may not be displayed correctly. Close