KI im Unternehmen: Wann ist eine Datenschutz-Folgenabschätzung (DSFA) durchzuführen?
Künstliche Intelligenz (KI) wie ChatGPT, Microsoft Copilot oder Midjourney ist aus dem Arbeitsalltag kaum noch wegzudenken. Sie schreibt E-Mails, programmiert Code oder fasst lange Berichte zusammen. Doch während die Effizienz steigt, wachsen auch die rechtlichen Anforderungen.
Viele Unternehmen stellen sich aktuell die Frage: Dürfen wir diese Tools einfach so nutzen oder müssen wir vorher eine Datenschutz-Folgenabschätzung (DSFA) durchführen?
In diesem Artikel bringen wir Licht ins Dunkel und zeigen euch, worauf es jetzt ankommt.
Was ist eine DSFA und warum ist sie bei KI so wichtig?
Eine Datenschutz-Folgenabschätzung (DSFA) ist laut Art. 35 Abs. 1 DSGVO immer dann Pflicht, wenn eine Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt.
Beim Einsatz von generativer KI kann dieses Risiko schnell gegeben sein. Warum? KI-Systeme arbeiten häufig als „Black Box“ – es ist schwer nachzuvollziehen, wie genau die Daten verarbeitet werden. Zudem besteht das Risiko, dass eingegebene Daten auf Servern außerhalb der EU, beispielsweise in den USA, landen oder ungefragt zum Training der KI-Modelle genutzt werden.
Die Faustregel: Wann ist die DSFA Pflicht?
Ob ihr eine DSFA durchführen müsst, hängt ganz entscheidend von zwei Faktoren ab: der Art der Daten und dem gewählten Vertragsmodell.
Fall 1: Ja, eine DSFA ist zwingend nötig
Ihr nutzt KI-Tools systematisch in eurem Unternehmen und verarbeitet dabei personenbezogene Daten. Das gilt besonders, wenn:
- Daten von Kunden wie Namen, E-Mail-Adressen oder Kaufhistorien analysiert werden.
- Beschäftigtendaten im Spiel sind, beispielsweise bei der Zusammenfassung von Mitarbeitergesprächen oder der Verarbeitung von Bewerberprofilen im HR-Bereich.
- Sensible Daten nach Art. 9 Abs. 1 DSGVO verarbeitet werden, etwa Gesundheitsdaten, politische Meinungen oder Gewerkschaftszugehörigkeiten.
Fall 2: Keine DSFA nötig – aber Vorsicht!
Ihr nutzt KI-Tools ausschließlich für anonyme, rein sachliche Aufgaben. Das ist beispielsweise der Fall, wenn:
- Programmierer die KI nutzen, um allgemeine Code-Snippets zu schreiben.
- Marketing-Teams allgemeine Blogbeiträge oder Produktbeschreibungen ohne Personenbezug formulieren.
Das größte Risiko: Die kostenlose „Consumer“-Falle
Viele Beschäftigte nutzen im Büro die kostenlosen Versionen von ChatGPT und Co. Aus Datenschutzsicht kann das problematisch sein. Bei kostenlosen Diensten behalten sich Anbieter teilweise das Recht vor, Eingaben, sogenannte Prompts, zum Training ihrer Modelle zu verwenden.
Geben Beschäftigte dort beispielsweise einen Kundenvertrag ein, verlassen die darin enthaltenen Daten möglicherweise den kontrollierten Bereich eures Unternehmens.
Die Lösung: Unternehmen sollten prüfen, ob Business- oder Enterprise-Lizenzen erforderlich sind. Wichtig ist, vertraglich festzuhalten, wie die eingegebenen Daten verarbeitet werden, ob sie für Trainingszwecke genutzt werden und wo die Daten gespeichert werden. Auch ein Auftragsverarbeitungsvertrag kann erforderlich sein.
Nicht vergessen: Die europäische KI-Verordnung (AI Act)
Die Pflichten enden nicht bei der DSGVO. Unternehmen müssen zusätzlich prüfen, in welche Risikoklasse ihr KI-Einsatz nach der europäischen KI-Verordnung fällt.
Wird eine KI beispielsweise im Personalwesen eingesetzt, um Bewerbungen vorzusortieren, kann es sich um ein Hochrisiko-KI-System handeln. In diesem Fall können neben der DSFA weitere Prüf- und Dokumentationspflichten erforderlich sein.
Checkliste für Unternehmen: So geht ihr richtig vor
Wenn ihr KI-Systeme rechtssicher einführen möchtet, empfehlen wir euch folgende Schritte:
Bestandsaufnahme: Welche KI-Tools werden in eurem Unternehmen bereits genutzt? Berücksichtigt dabei auch mögliche Schatten-IT.
KI-Richtlinie erstellen: Definiert klare Regeln für eure Beschäftigten. Welche Tools dürfen genutzt werden und welche Daten dürfen nicht eingegeben werden?
Professionelle Lizenzen nutzen: Prüft die Vertragsbedingungen der Anbieter und schließt gegebenenfalls einen Auftragsverarbeitungsvertrag.
Schwellenwertanalyse durchführen: Prüft, ob ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen besteht.
DSFA durchführen: Liegt ein hohes Risiko vor, solltet ihr gemeinsam mit eurem Datenschutzbeauftragten eine DSFA durchführen.
Fazit
KI bietet große Chancen, verlangt aber einen verantwortungsvollen Umgang. Eine DSFA ist kein bürokratisches Monster, sondern ein wertvolles Werkzeug, um euer Unternehmen vor Bußgeldern, Datenpannen und Reputationsschäden zu schützen.
Sprecht uns an. Wir unterstützen euch bei der Prüfung und Erstellung eurer DSFA.
Lasst uns über eure Anforderungen sprechen.
Avallon ist euer zentraler Ansprechpartner für Datenschutz, Informationssicherheit und Compliance. Die Umsetzung erfolgt durch spezialisierte Unternehmen innerhalb unserer Gruppe. Jedes mit klarem fachlichem Fokus und operativer Expertise.