Betroffenenrechte und KI

Der Einsatz von generativer Künstlicher Intelligenz (KI) in Unternehmen eröffnet neue Möglichkeiten, geht jedoch mit erheblichen datenschutzrechtlichen Verpflichtungen einher. Insbesondere die Eingabe personenbezogener Daten und der Umgang mit den generierten Outputs, die ebenfalls personenbezogene Daten enthalten können, erfordern eine sorgfältige Beachtung der Datenschutzvorschriften.

Relevanz der DS-GVO im Zusammenhang mit Künstlicher Intelligenz

Die Möglichkeit, Informationen und Daten zu sammeln sowie sie effizient zu verarbeiten, stellt einen der wesentlichen Vorzüge dar, die KI-Tools bieten. Insbesondere um Zeit zu sparen, erscheint es verlockend, als Unternehmen von dieser Funktionalität Gebrauch zu machen.

In Unternehmen wird eine beträchtliche Menge an personenbezogenen Daten der Mitarbeitenden verarbeitet, darunter viele äußerst sensible Informationen. Wenn nun die Möglichkeiten der künstlichen Intelligenz genutzt werden soll, sei es für die Analyse von Gesundheitsdaten, die Zusammenstellung von Finanzberichten oder die Auswertung von Kundenprofilen, ist äußerste Vorsicht geboten.

Sobald in die KI personenbezogenen Daten eingegeben werden, unterliegt die Verarbeitung der DS-GVO. Daher ist das Thema der Sicherstellung der Betroffenenrechte von entscheidender Bedeutung.

Betroffenenrechte

Die Betroffenenrechte spielen eine zentrale Rolle im Schutz personenbezogener Daten und im Recht auf informationelle Selbstbestimmung. Jede Person hat das Recht zu bestimmen, wer Zugriff auf ihre Daten hat und wie sie verarbeitet werden. In den Artikeln 12 ff. DS-GVO werden konkrete Betroffenenrechte definiert, die als Kontrollmechanismen für die Datenverarbeitung dienen. Ziel ist es, eine Balance zwischen Datenschutz und anderen Interessen, wie der unternehmerischen Freiheit, herzustellen. Die DS-GVO gewährt den Betroffenen transparente Informationen und die Möglichkeit zur Kommunikation mit den datenverarbeitenden Stellen.

Zu den Betroffenenrechten gehören:

  • Recht auf Auskunft (Art. 15 DS-GVO)
  • Recht auf Berichtigung (Art. 16 DS-GVO)
  • Recht auf Löschung (Art. 17 DS-GVO)
  • Recht auf Einschränkung (Art. 18 DS-GVO)
  • Recht auf Datenübertragbarkeit (Art. 20 DS-GVO)
  • Recht auf Widerspruch (Art. 21 DS-GVO)
  • Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DS-GVO)
  • Recht keiner automatisierten Entscheidung unterworfen zu werden (Art. 22 DS-GVO)
  • Beschwerderecht bei der Aufsichtsbehörde (Art. 77 DS-GVO i. V. m. § 19 BDSG)

Auftragsverarbeitung

Die Datenverarbeitung erfolgt in der Regel auf den Servern des Anbieters des KI-Systems. Da der KI-Anbieter die Daten im Auftrag und auf Weisung des Unternehmens verarbeitet, ist es naheliegend, dass der Anbieter ein Auftragsverarbeiter sein sollte. In dem Fall wäre ein Auftragsverarbeitungsvertrag abzuschließen.

Es ist davor allerdings zu prüfen, ob der Anbieter den, in der DS-GVO enthaltenen Mindestkatalog an Verpflichtungen, überhaupt einhalten kann. Dies stellt keine einfache Aufgabe dar, da sogar der Anbieter selbst gewisse Aspekte des KI-Modells nicht beeinflussen kann (daher werden KI-Modelle oft als Black Box bezeichnet). Darüber hinaus ist es erforderlich, sicherzustellen, dass die im Auftrag durchzuführende Datenverarbeitung vertraglich in ausreichender Klarheit definiert ist.

Da zahlreiche Anbieter die von KI-Systemen erfassten Daten zur Verbesserung von KI-Systemen verwenden, stellt sich die Frage auf, ob dies mit ihrer Rolle als Auftragsverarbeiter in Einklang steht. Gemäß den Richtlinien der französischen Aufsichtsbehörde (CNIL) ist dies nur mit der ausdrücklichen Zustimmung des Auftraggebers möglich, wobei der Anbieter in diesem Fall als Verantwortlicher für die Verarbeitung angesehen wird.

Sicherstellung von Betroffenenrechten

Unternehmen müssen auch beim Einsatz von KI sicherstellen, dass Betroffene ihre Rechte ausüben können. Als Verantwortliche im Sinne der DS-GVO tragen sie die Verpflichtung, die Rechte der betroffenen Personen gemäß Kapitel 3 der DS-GVO zu wahren. Insbesondere das Recht auf Löschung gemäß Art. 17 DS-GVO kann für Unternehmen eine herausfordernde Aufgabe darstellen.

Unternehmen sind verpflichtet, personenbezogene Daten auf Anfrage zu löschen, sofern die Verarbeitung dieser Daten ausschließlich auf der Grundlage einer erteilten Einwilligung erfolgte.

In Situationen, in denen ein Unternehmen personenbezogene Daten in die Eingabeaufforderung an eine KI übertragen hat und eine Person einen Antrag auf Löschung stellt, muss das Unternehmen ihre Aufzeichnungen in der KI überprüfen und die Informationen löschen. Dies ist erforderlich, wenn folgende Bedingungen erfüllt sind:

  • Aufbewahrung von Aufzeichnungen

Wenn die Organisation Aufzeichnungen über die an die KI übermittelten Daten führt, ist sie verpflichtet, diese sorgfältig zu überprüfen und zu löschen.

  • Fehlen zusätzlicher zulässiger Zwecke

Wenn die Organisation keine zusätzlichen rechtmäßigen Zwecke hat, um diese Aufzeichnungen der Eingabeaufforderungen zu führen, müssen die Daten gemäß den geltenden Datenschutzbestimmungen gelöscht werden.

Die Herausforderung besteht darin, dass viele generative KI-Systeme möglicherweise nicht in der Lage sind, Daten vollständig zu „vergessen". Stattdessen nutzen sie diese Daten, um ihre eigenen Fähigkeiten zu verbessern. Das bedeutet, dass personenbezogene Daten unwiderruflich in das Daten- und Verhaltensmuster der KI integriert sein können. Dieses Problem kann umgangen werden, indem man die „Nicht-Anlernen“ Funktion aktiviert, um zu verhindern, dass KI Systeme Daten aufnehmen, es sei denn sie sind erforderlich.

Aufgrund ihrer komplexen Struktur ergibt sich bei KI-Systemen das Problem der sogenannten „Black-Box". Selbst für Hersteller von KI-Systemen ist es nicht möglich, vollständig zu offenbaren und nachzuvollziehen, wie die eingegebenen Daten gespeichert und verarbeitet werden. Daher ist es ihnen auch technisch unmöglich, einzelne Daten zu entfernen oder gezielt zu verändern.

Transparenzgebot und Informationspflichten

Wenn ein Arbeitgeber beabsichtigt, KI in seinem Unternehmen zu nutzen, um beispielsweise Berichte zu erstellen, Zusammenfassungen anzufertigen oder Datensätze mit personenbezogenen Daten auszuwerten, ist Transparenz von entscheidender Bedeutung. Hier sind einige wesentliche Aspekte zu beachten:

  • Transparente Information der Angestellten

Der Arbeitgeber muss seine Angestellten transparent darüber informieren, wie KI-Technologien in den Arbeitsprozessen eingesetzt werden. Dies umfasst nicht nur die Absicht, KI-Tools zu verwenden, sondern auch die Art und Weise, wie diese Daten verarbeiten.

  • Detaillierte Datenaufschlüsselung

Der Arbeitgeber muss genau angeben, welche Arten von Daten für KI-Verarbeitungszwecke genutzt werden. Dies beinhaltet sowohl die Art der Daten als auch deren Herkunft. Eine genaue Aufschlüsselung ermöglicht es den Mitarbeitenden, den Umfang der Datennutzung zu verstehen.

  • Offenlegung von Rechtsgrundlagen und Zwecken

Es ist wichtig, die rechtlichen Grundlagen für die Datenverarbeitung zu definieren. Dies kann auf bestehenden Verträgen oder Einwilligungen basieren. Ebenso müssen die konkreten Zwecke der Datenverarbeitung deutlich dargelegt werden, sei es zur Verbesserung von Prozessen oder zur Erstellung von Berichten. Hierzu lohnt sich ein Blick in das Diskussionspapier Version 1.0 vom 07.11.2023 “Rechtsgrundlagen im Datenschutz beim Einsatz von Künstlicher Intelligenz” des LDI Baden-Württemberg.

  • Verständliche Kommunikation

Alle Informationen sollten den Mitarbeitenden in einer leicht verständlichen Form zur Verfügung gestellt werden. Dies erleichtert es den Angestellten, die Auswirkungen der KI-Nutzung auf ihre Daten und Privatsphäre zu erfassen.

Handlungsempfehlung

Unternehmen, die KI in ihren Betriebsabläufen nutzen möchten, stehen vor einer Vielzahl von datenschutzrechtlichen Herausforderungen. Es sollte vor der Eingabe personenbezogener Daten immer geprüft werden, ob dies notwendig ist und wenn möglich die Daten pseudonymisiert werden. Falls die Eingabe von personenbezogenen Daten nicht umgangen werden kann, ist es wichtig geeignete Maßnahmen zu ergreifen:

  • Überprüfen, ob Durchführung einer Datenschutzfolgenabschätzung (DSFA) notwendig ist
  • Richtlinie zum Einsatz von KI im Unternehmen einführen und Einhaltung kontrollieren
  • Vertragliche Regelungen, in Form von Auftragsverarbeitungsverträgen (DPA) mit KI-Anbietern abschließen.
  • Datenschutzeinstellungen in KI-Systemen überprüfen und aktivieren, um Daten von Anfang an zu schützen.
  • „Nicht-Anlernen“-Optionen nutzen, um zu verhindern, dass KI-Systeme Daten aufnehmen, es sein denn, es ist erforderlich. Dies erleichtert die spätere Datenlöschung.

(AG) Die neue EU-Verordnung DORA ist da und stellt einen wichtigen Schritt in Richtung einer erhöhten digitalen operationalen Resilienz bzw.…

Combined Shape

27.03.2024 Blog | Cybersecurity, Informationssicherheit

Die Netz- und Informationssicherheitsrichtlinie 2 (NIS-2) ist eine neue Sicherheitsrichtlinie der EU, die die Cyber- und Informationssicherheit in der…

Combined Shape

27.12.2023 Blog | Update-News, Datenschutz, Informationssicherheit

Der Einsatz von generativer Künstlicher Intelligenz (KI) in Unternehmen eröffnet neue Möglichkeiten, geht jedoch mit erheblichen…

Combined Shape

13.11.2023 Blog | Cybersecurity, Informationssicherheit

(MB) Bei einem Hackerangriff auf die deutsche Hotelkette Motel One ist es Angreifern gelungen, Daten in einem großen Umfang zu erbeuten.

Combined Shape

18.10.2023 Blog | Update-News, Datenschutz, Informationssicherheit

(AG) In Deutschland nutzen ca. 80% der Bevölkerung ab 14 Jahren Kommunikationsdienste wie WhatsApp. Doch was ist, wenn wir in einem privaten Chat…

Combined Shape

17.10.2023 Blog | Update-News, Datenschutz, Informationssicherheit

(AR) In einer zunehmend vernetzten Welt sind öffentliche WLAN-Netzwerke zu einem festen Bestandteil unseres Alltags geworden. Ob in Cafes, Flughäfen…

Combined Shape

14.12.2022 Blog | Informationssicherheit

Die Online-Dienste von Microsoft sind sowohl aus dem privatunternehmerischen als auch aus dem öffentlichen (u.a. Schulen und Behörden) Alltag nicht…

Combined Shape

08.06.2022 Blog | Update-News, Datenschutz, Informationssicherheit

Wie das Nachrichtenportal „heise online“ berichtete (Zero Day Lücke in Microsoft Office erlaubt Codeschmuggel), haben Sicherheitsforscher eine…

Combined Shape

01.02.2022 Blog | Cybersecurity, Informationssicherheit

Für ziemlich alle angebotenen Dienste im Internet wird heutzutage ein persönliches Benutzerkonto inklusive Passwort benötigt. Passwörter sind damit…

Combined Shape

15.06.2021 Blog | Cybersecurity, Informationssicherheit

Wie schlimm die möglichen Folgen der sog. FragAttacks (Fragmentation and Aggregation Attacks) in WLAN-Netzwerken wirklich sind und welche…

Combined Shape

Podcasts

Ein IT-Sicherheitsvorfall kann für Unternehmen schwerwiegende Folgen haben.

Combined Shape

Der Digital Operational Resilience Act (DORA) soll in der EU einen einheitlichen Rahmen für ein effektives und umfassendes Management von…

Combined Shape

21.05.2024 Podcast | Update-News, Datenschutz, Informationssicherheit

Begleite uns in die Welt der Künstlichen Intelligenz (KI) und ihrer neuen Regulierung!

Combined Shape

In diesem Podcast nehmen wir dich mit auf eine Reise durch die Vorbereitung auf NIS-2.

Combined Shape

In dieser Folge geht es um die Chancen und Risiken des Einsatzes von KI in Unternehmen. Es geht um Anforderungen, rechtliche Unsicherheiten und…

Combined Shape

In dieser Folge geht es um den Wert der Priavtsphäre und warum Datenschutzmanagement wichtig ist.

Combined Shape

Gute Nachrichten! Die Ära der Passwörter ist vorbei!

Combined Shape

In diesem Podcast geht es um das Thema ISO-Zertifizierungen im digitalen Zeitalter.

Combined Shape

28.02.2023 Podcast | Cybersecurity, Informationssicherheit

In diesem Podcast befassen wir uns mit potenziellen IT-Sicherheitsrisiken, denen öffentliche Einrichtungen beim Betrieb von Open-Source-Software im…

Combined Shape

In unserer neusten Folge geht es um das wichtige Thema Business Continuity Management.

Combined Shape

In der neuen Folge „audatis DIALOG – Datenschutz und Informationssicherheit praxisnah“ geht es um das Zusammenspiel von physischer Sicherheit und…

Combined Shape

In der neuen Folge „audatis DIALOG – Datenschutz und Informationssicherheit praxisnah“ geht es um die technische Anwendung von Datenschutz auf…

Combined Shape

In der neuen Folge „audatis DIALOG – Datenschutz und Informationssicherheit praxisnah“ geht es um Business Continuity Management.

Combined Shape

22.03.2022 Podcast | Informationssicherheit

In der neuen Folge geht es um die anlasslose Prüfung durch das BayLDA.

Combined Shape

22.02.2022 Podcast | Cybersecurity, Informationssicherheit

In der neuen Folge „audatis DIALOG – Datenschutz und Informationssicherheit praxisnah“ geht es um das Zero Trust Sicherheitsmodell.

Combined Shape

02.11.2021 Podcast | Informationssicherheit

In der neuen Folge "audatis DIALOG - Datenschutz und Informationssicherheit praxisnah" geht es um Videoüberwachung.

Combined Shape

19.10.2021 Podcast | Update-News, Datenschutz, Informationssicherheit

In der neuen Folge "audatis DIALOG - Datenschutz und Informationssicherheit praxisnah" geht es um Datenpannen.

Combined Shape

In der neuen Folge geht es um Sicherheit in Lieferketten und welche Rolle die Dienstleister dabei spielen.

Combined Shape

13.04.2021 Podcast | Update-News, Datenschutz, Informationssicherheit

Die neue Folge behandelt den Drittstaatentransfer mit aktuellem Bezug zum US-Anbieter Mailchimp, nachdem eine Beschwerde gegen ein Unternehmen…

Combined Shape

30.03.2021 Podcast | Informationssicherheit

Im aktuellen Podcast geht es um den aktuellen Vorfall und die Sicherheitslücken bei Microsoft Exchange.

Combined Shape

02.03.2021 Podcast | Update-News, Datenschutz, Informationssicherheit

In der neuen Folge geht es um KI und wie diese mit datenschutzrechtlichen Anforderungen zusammenzubringen ist.

Combined Shape

02.02.2021 Podcast | Update-News, Datenschutz, Informationssicherheit

In der neuen Folge geht es um den Hype um die neue, exklusive Social Media Plattform Clubhouse und ihren Datenschutz.

Combined Shape

In der neuen Folge geht es um Incident Management und IT-Sicherheitsvorfälle.

Combined Shape

10.11.2020 Podcast | Informationssicherheit

In der neuen Folge geht es um die Sicherheit von Passwörtern, die Auswirkungen von unsicherer Passwortverwaltung und dem Einsatz von Passwortmanagern.

Combined Shape

27.10.2020 Podcast | Informationssicherheit

Im aktuellen "audatis DIALOG - Datenschutz und Informationssicherheit praxisnah" geht es um Datensammelflut bei Alltagsgegenständen.

Combined Shape

29.09.2020 Podcast | Informationssicherheit

Im aktuellen "audatis DIALOG - Datenschutz und Informationssicherheit praxisnah" geht es um den TISAX® Standard zur Informationssicherheit.

Combined Shape

01.09.2020 Podcast | Informationssicherheit

Im aktuellen "audatis DIALOG - Datenschutz und Informationssicherheit praxisnah" geht es um die sichere Softwareentwicklung.

Combined Shape

Im aktuellen "audatis DIALOG - Datenschutz und Informationssicherheit praxisnah" geht es um Sprachassistenten und Kameras im Gesundheitswesen.

Combined Shape

Im aktuellen "audatis DIALOG - Datenschutz und Informationssicherheit praxisnah" geht es um Security Awareness und Social Engineering im Zusammenhang…

Combined Shape

Im aktuellen "audatis DIALOG - Datenschutz und Informationssicherheit praxisnah" geht es um die aktuelle IT-Security Bedrohungslage für Unternehmen.

Combined Shape

26.05.2020 Podcast | Update-News, Datenschutz, Informationssicherheit

In dieser Folge geht es um Startups und Unternehmensgründung und die pragmatische Umsetzung vom Datenschutz und der Informationssicherheit sowie das…

Combined Shape

Im aktuellen "audatis DIALOG - Datenschutz und Informationssicherheit praxisnah" geht es um die Arbeitszeiterfassung per App oder in der Cloud.

Combined Shape

28.04.2020 Podcast | Update-News, Datenschutz, Informationssicherheit

In der Folge geht es um die Einführung von Microsoft 365 (vormals bekannt als Office 365) sowie die Risiken aus Sicht eines Unternehmens.

Combined Shape