Künstliche Intelligenz (KI) wie ChatGPT, Microsoft Copilot oder Midjourney ist aus dem Arbeitsalltag kaum noch wegzudenken. Sie schreibt E-Mails, programmiert Code oder fasst lange Berichte zusammen. Doch während die Effizienz steigt, wachsen auch die rechtlichen Anforderungen.
Viele Unternehmen stellen sich aktuell die Frage: Dürfen wir diese Tools einfach so nutzen, oder müssen wir vorher eine Datenschutz-Folgenabschätzung (DSFA) durchführen?
In diesem Artikel bringen wir Licht ins Dunkel und zeigen Ihnen, worauf es jetzt ankommt.
Was ist eine DSFA und warum ist sie bei KI so wichtig?
Eine Datenschutz-Folgenabschätzung (DSFA) ist laut Art. 35 Abs. 1 DSGVO immer dann Pflicht, wenn eine Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt.
Beim Einsatz von generativer KI ist dieses Risiko fast immer gegeben. Warum? KI-Systeme arbeiten oft als „Black Box“ – es ist schwer nachzuvollziehen, wie genau die Daten verarbeitet werden. Zudem besteht das Risiko, dass eingegebene Daten auf Servern außerhalb der EU (beispielsweise in den USA) landen oder ungefragt zum Training der KI-Modelle genutzt werden.
Die Faustregel: Wann ist die DSFA Pflicht?
Ob Sie eine DSFA durchführen müssen, hängt ganz entscheidend von zwei Faktoren ab: der Art der Daten und dem gewählten Vertragsmodell.
Fall 1: Ja, eine DSFA ist zwingend nötig
Sie nutzen KI-Tools systematisch im Unternehmen und füttern sie mit personenbezogenen Daten. Das gilt besonders, wenn:
- Daten von Kund*innen (Namen, E-Mails, Kaufhistorien) analysiert werden.
- Beschäftigtendaten im Spiel sind (z. B. Zusammenfassung von Mitarbeitergesprächen oder Bewerberprofilen im HR-Bereich).
- Sensible Daten nach Art. 9 Abs. 1 DSGVO verarbeitet werden (z. B. Gesundheitsdaten, politische Meinungen oder Gewerkschaftszugehörigkeiten).
Fall 2: Keine DSFA nötig (aber Vorsicht!)
Sie nutzen KI-Tools ausschließlich für anonyme, rein sachliche Aufgaben. Das ist der Fall, wenn:
- Programmierer*innen die KI nutzen, um allgemeine Code-Snippets zu schreiben.
- Marketing-Teams allgemeine Blogposts oder Produktbeschreibungen ohne Personenbezug formulieren.
Das größte Risiko: Die kostenlose „Consumer“-Falle
Viele Beschäftigte nutzen im Büro die kostenlosen Versionen von ChatGPT und Co. Aus Datenschutzsicht ist das hochgefährlich. Bei den Gratis-Diensten behalten sich die Anbieter meist das Recht vor, alle Eingaben („Prompts“) zum Trainieren der nächsten KI-Generation zu nutzen. Geben Beschäftigte dort einen Kundenvertrag ein, verlässt dieser das Unternehmen und wird Teil des globalen KI-Wissens.
Die Lösung: Unternehmen sollten zwingend auf Business- oder Enterprise-Lizenzen umstellen. Erst hier garantieren die Anbieter per Auftragsverarbeitungsvertrag (AVV), dass die Daten verschlüsselt bleiben, nicht zum Training genutzt werden und oft auch auf europäischen Servern verbleiben.
Nicht vergessen: Die europäische KI-Verordnung (AI Act)
Die Pflichten enden nicht bei der DSGVO. Seit dem Inkrafttreten der europäischen KI-Verordnung müssen Unternehmen zusätzlich prüfen, in welche Risikoklasse ihr KI-Einsatz fällt.
Wird eine KI beispielsweise im Personalwesen eingesetzt, um Bewerbungen vorzusortieren, gilt dies als Hochrisiko-KI. In diesem Fall fordert das Gesetz neben der DSFA auch eine umfassende Grundrechte-Folgenabschätzung.
Checkliste für Unternehmen: So gehen Sie richtig vor
Wenn Sie KI-Systeme rechtssicher einführen möchten, empfehlen wir folgende Schritte:
- Bestandsaufnahme: Welche KI-Tools werden bereits genutzt (Stichwort „Schatten-IT“)?
- KI-Richtlinie erstellen: Klare Regeln für Beschäftigte definieren (Was darf eingegeben werden, was nicht?).
- Professionelle Lizenzen nutzen: Verträge zur Auftragsverarbeitung (AVV) mit den Anbietern schließen.
- Schwellenwertanalyse: Prüfen, ob ein „hohes Risiko“ vorliegt. Wenn ja: DSFA gemeinsam mit dem*der Datenschutzbeauftragten durchführen.
Fazit
KI bietet großartige Chancen, verlangt aber einen verantwortungsvollen Umgang. Eine DSFA ist kein bürokratisches Monster, sondern ein wertvolles Werkzeug, um Ihr Unternehmen vor teuren Bußgeldern und Reputationsschäden zu schützen.
Sprechen Sie uns an, wir unterstützen Sie bei der Erstellung Ihrer DSFA.
_____________________________________
Die bITs GmbH berät Ihre Kunden zu allen Themen des Datenschutzes, stellt auf Wunsch den externen Datenschutzbeauftragten und unterstützt Sie beim Aufbau und Betrieb eines Compliance-Management-Systems.
Haben Sie weitere Fragen an uns? Gerne können Sie sich dazu an uns wenden. Hier finden Sie unsere Kontaktdaten. Unser Team stellt sich übrigens hier vor.