Checkliste: 10 Tipps für den datenschutz-konformen Einsatz von Generativer Künstlicher Intelligenz

Viele Unternehmen sind zurückhaltend bei der Implementierung von Generativer Künstlicher Intelligenz (engl. Generative Artificial Intelligence, kurz GenAI). Die Gründe reichen von fehlendem technischen Know-How bis zur Sorge vor rechtlichen Einschränkungen. Dabei bietet die Technologie spannende Möglichkeiten bei der Entwicklung innovativer Produkte und Dienstleistungen. 

Eines der größten Hemmnisse ist das Thema Datenschutz: Die mangelnde Übersicht über datenschutzrechtliche Anforderungen und die Angst vor Verstößen hindert viele Unternehmen, die Potenziale von Künstlicher Intelligenz zu nutzen. Unsere Checkliste bietet Hilfe beim datenschutzkonformen Umgang mit GenAI. 

Artificial Intelligence & Datenschutz: Schritt für Schritt zum datenschutzkonformen Einsatz

1. Verarbeitung personenbezogener Daten und DSGVO-Relevanz 

• Identifizieren Sie zunächst, welchen Daten als personenbezogen gelten und somit dem Datenschutz unterliegen.  

• Stellen Sie sicher, dass die Verarbeitung personenbezogener Daten im Einklang mit der Datenschutz-Grundverordnung (DSGVO) steht. Denn, die DSGVO stellt auch beim Einsatz von KI geltendes Recht dar und darf nicht ignoriert werden. 

2. Zulässigkeit und Zweckbindung

• Verarbeiten Sie personenbezogene Daten nur für die Zwecke, für die sie erhoben wurden und stellen Sie sicher, dass die Verarbeitung rechtmäßig ist. 

• Prüfen Sie, ob die Verarbeitung auf einer rechtlichen Grundlage beruht. In der Regel ist das die Einwilligung der entsprechenden Person. 

3. Informationspflichten 

• Informieren Sie die betroffenen Personen über die Verarbeitung ihrer Daten und ihre Rechte im Zusammenhang mit der Verwendung von GenAI. 

• Die Datenschutzerklärungen und damit zusammenhängende Informationen müssen klar und verständlich erklärt und dokumentiert sein. 

4. Datenschutz-Folgenabschätzung 

• Führen Sie eine Datenschutz-Folgenabschätzung durch, um mögliche Risiken für die Privatsphäre der betroffenen Personen zu identifizieren und geeignete Maßnahmen zur Risikominderung zu ergreifen. 

• Dokumentieren Sie die Ergebnisse der Datenschutz-Folgenabschätzung. 

5. Datensicherheit und IT-Sicherheit 

• Implementieren Sie angemessene technische und organisatorische Maßnahmen, um die Sicherheit der verarbeiteten Daten zu gewährleisten. Beachten Sie dabei die Besonderheiten von LLM und prüfen Sie Content-Filter, Validierungsregeln und Prompt-Hacking. 

• Aktualisieren Sie diese Maßnahmen regelmäßig, um den aktuellen Bedrohungen standzuhalten. 

6. Pseudonymisierung und Anonymisierung 

• Nutzen Sie Techniken wie Pseudonymisierung und Anonymisierung, um den Datenschutz bei der Verarbeitung personenbezogener Daten zu verbessern. 

• Vergessen Sie nicht, dass selbst pseudonymisierte Daten noch personenbezogen sein können. 

7. Transparenz und Nachvollziehbarkeit 

• Stellen Sie sicher, dass die GenAI-Modelle transparent und nachvollziehbar sind, um den Anforderungen der DSGVO gerecht zu werden.  

• Kennzeichnen Sie KI-generierte Inhalte so, dass dies für den Nutzer nachvollziehbar ist. 

• Überwachen Sie die Funktionsweise der Modelle und stellen Sie sicher, dass über geeignetes Logging erzeugte Inhalte nachvollziehbar und erklärbar sind.  

8. Auftragsverarbeitung und Datenübermittlung 

• Achten Sie auch bei der Zusammenarbeit mit externen Dienstleistern und der Übermittlung von Daten in Drittländer auf die Einhaltung der DSGVO. 

• Schließen Sie geeignete Verträge zur Auftragsverarbeitung ab, wenn externe Dienstleister Zugriff auf personenbezogene Daten haben.

9. Dokumentation 

• Dokumentieren Sie alle Aspekte der Datenverarbeitung im Zusammenhang mit GenAI, um die Einhaltung der DSGVO nachweisen zu können. 

• Speichern Sie Aufzeichnungen über Datenverarbeitungsaktivitäten, Datenschutz-Folgenabschätzungen und Sicherheitsmaßnahmen an einem Ort. 

10. Betriebliche Datenschutzbeauftragte 

• Stellen Sie Kapazitäten für betriebliche Datenschutzbeauftragte sicher, die für die Überwachung der Einhaltung der DSGVO und die Beratung des Unternehmens in Datenschutzfragen zuständig sind.  

• Sorgen Sie dafür, dass der:die Datenschutzbeauftragte die erforderliche Expertise im Bereich (Gen-)AI und Datenschutz besitzt. 

   

Wie geht es weiter? Ein Ausblick. 

Wir hoffen, dass Ihnen unsere Checkliste einen Überblick über die notwendigen datenschutzrechtlichen Maßnahmen geben konnte. Nichtsdestotrotz muss erwähnt werden, dass die aktuelle Situation einen besonderen Stellenwert hat. Die klassischen Maßnahmen zum Datenschutz sind aufgrund der Besonderheiten der Technologie nicht immer 1 zu 1 umsetzbar.  

Auch lässt eine verbindliche Gesetzgebung noch auf sich warten: Der Entwurf des EU AI Acts ist Stand November 2023 in den Trilog-Verhandlungen und muss anschließend, sofern es keine Änderungen mehr gibt, verabschiedet werden. Expert:innen erwarten einen finalen Beschluss bis Anfang 2026. Bis dahin gibt es keine verbindliche gesetzliche Grundlage für den Einsatz von KI. Die DSGVO ist aber in jedem Fall anzuwenden. 

Haben Sie noch Fragen? Unsere Expert:innen für AI & Data sind für Sie da: