Checkliste: 10 Tipps für den datenschutz-konformen Einsatz von GenAI

Von Jens Werschmöller

Viele Unternehmen sind zurückhaltend bei der Implementierung von Generativer Künstlicher Intelligenz (engl. Generative Artificial Intelligence, kurz GenAI). Die Gründe reichen von fehlendem technischen Know-How bis zur Sorge vor rechtlichen Einschränkungen. Dabei bietet die Technologie spannende Möglichkeiten bei der Entwicklung innovativer Produkte und Dienstleistungen. 

Eines der größten Hemmnisse ist das Thema Datenschutz: Die mangelnde Übersicht über datenschutzrechtliche Anforderungen und die Angst vor Verstößen hindert viele Unternehmen, die Potenziale von Künstlicher Intelligenz zu nutzen. Unsere Checkliste bietet Hilfe beim datenschutzkonformen Umgang mit GenAI. 

Artificial Intelligence & Datenschutz: Schritt für Schritt zum datenschutzkonformen Einsatz

1. Verarbeitung personenbezogener Daten und DSGVO-Relevanz 

  • Identifizieren Sie zunächst, welchen Daten als personenbezogen gelten und somit dem Datenschutz unterliegen.  

  • Stellen Sie sicher, dass die Verarbeitung personenbezogener Daten im Einklang mit der Datenschutz-Grundverordnung (DSGVO) steht. Denn, die DSGVO stellt auch beim Einsatz von KI geltendes Recht dar und darf nicht ignoriert werden. 

2. Zulässigkeit und Zweckbindung

  • Verarbeiten Sie personenbezogene Daten nur für die Zwecke, für die sie erhoben wurden und stellen Sie sicher, dass die Verarbeitung rechtmäßig ist. 

  • Prüfen Sie, ob die Verarbeitung auf einer rechtlichen Grundlage beruht. In der Regel ist das die Einwilligung der entsprechenden Person. 

3. Informationspflichten 

  • Informieren Sie die betroffenen Personen über die Verarbeitung ihrer Daten und ihre Rechte im Zusammenhang mit der Verwendung von GenAI. 

  • Die Datenschutzerklärungen und damit zusammenhängende Informationen müssen klar und verständlich erklärt und dokumentiert sein. 

4. Datenschutz-Folgenabschätzung 

  • Führen Sie eine Datenschutz-Folgenabschätzung durch, um mögliche Risiken für die Privatsphäre der betroffenen Personen zu identifizieren und geeignete Maßnahmen zur Risikominderung zu ergreifen. 

  • Dokumentieren Sie die Ergebnisse der Datenschutz-Folgenabschätzung. 

5. Datensicherheit und IT-Sicherheit 

  • Implementieren Sie angemessene technische und organisatorische Maßnahmen, um die Sicherheit der verarbeiteten Daten zu gewährleisten. Beachten Sie dabei die Besonderheiten von LLM und prüfen Sie Content-Filter, Validierungsregeln und Prompt-Hacking. 

  • Aktualisieren Sie diese Maßnahmen regelmäßig, um den aktuellen Bedrohungen standzuhalten. 

6. Pseudonymisierung und Anonymisierung 

  • Nutzen Sie Techniken wie Pseudonymisierung und Anonymisierung, um den Datenschutz bei der Verarbeitung personenbezogener Daten zu verbessern. 

  • Vergessen Sie nicht, dass selbst pseudonymisierte Daten noch personenbezogen sein können. 

7. Transparenz und Nachvollziehbarkeit 

  • Stellen Sie sicher, dass die GenAI-Modelle transparent und nachvollziehbar sind, um den Anforderungen der DSGVO gerecht zu werden.  

  • Kennzeichnen Sie KI-generierte Inhalte so, dass dies für den Nutzer nachvollziehbar ist. 

  • Überwachen Sie die Funktionsweise der Modelle und stellen Sie sicher, dass über geeignetes Logging erzeugte Inhalte nachvollziehbar und erklärbar sind.  

8. Auftragsverarbeitung und Datenübermittlung 

  • Achten Sie auch bei der Zusammenarbeit mit externen Dienstleistern und der Übermittlung von Daten in Drittländer auf die Einhaltung der DSGVO. 

  • Schließen Sie geeignete Verträge zur Auftragsverarbeitung ab, wenn externe Dienstleister Zugriff auf personenbezogene Daten haben.

9. Dokumentation 

  • Dokumentieren Sie alle Aspekte der Datenverarbeitung im Zusammenhang mit GenAI, um die Einhaltung der DSGVO nachweisen zu können. 

  • Speichern Sie Aufzeichnungen über Datenverarbeitungsaktivitäten, Datenschutz-Folgenabschätzungen und Sicherheitsmaßnahmen an einem Ort. 

10. Betriebliche Datenschutzbeauftragte 

  • Stellen Sie Kapazitäten für betriebliche Datenschutzbeauftragte sicher, die für die Überwachung der Einhaltung der DSGVO und die Beratung des Unternehmens in Datenschutzfragen zuständig sind.  

  • Sorgen Sie dafür, dass der:die Datenschutzbeauftragte die erforderliche Expertise im Bereich (Gen-)AI und Datenschutz besitzt. 

     

Wie geht es weiter? Ein Ausblick. 

Wir hoffen, dass Ihnen unsere Checkliste einen Überblick über die notwendigen datenschutzrechtlichen Maßnahmen geben konnte. Nichtsdestotrotz muss erwähnt werden, dass die aktuelle Situation einen besonderen Stellenwert hat. Die klassischen Maßnahmen zum Datenschutz sind aufgrund der Besonderheiten der Technologie nicht immer 1 zu 1 umsetzbar.  

Beim Thema gesetzliche Regulierung hat sich inzwischen einiges getan: Der EU AI Act wurde am 13. März 2024 vom Europäischen Parlament verabschiedet und ist am 1. August 2024 in Kraft getreten. Erste Bestimmungen sind bereits seit Februar 2025 anwendbar, während die vollständige Anwendbarkeit ab August 2026 vorgesehen ist.

 

Haben Sie noch Fragen? Unsere Expert:innen für AI & Data sind für Sie da:

 

Tags: AI & Data Analytics

Zurück zur Übersicht

Verwandte Artikel

Prompt programmieren (nicht nur) für Kinder: Ein Jump & Run Spiel

Wie begeistert man Kinder für Programmieren? Wie schafft man es, Kreativität, Spielspaß und moderne Technologien wie KI...

Mehr erfahren

Tags: AI & Data Analytics, People & Company

KI-gestützte Prozessautomatisierung mit Spring AI, Azure OpenAI und MCP

Die Integration von LLMs (Large Language Models) wie ChatGPT in moderne Unternehmensanwendungen eröffnet neue Dimensionen für...

Mehr erfahren

Tags: AI & Data Analytics

KI-Agenten einfach erklärt: Was sie können und wie sie helfen

Künstliche Intelligenz ist längst Teil unseres Alltags – doch was genau steckt eigentlich hinter Begriffen wie „KI-Agent“? In...

Mehr erfahren

Tags: AI & Data Analytics