Viele Unternehmen sind zurückhaltend bei der Implementierung von Generativer Künstlicher Intelligenz (engl. Generative Artificial Intelligence, kurz GenAI). Die Gründe reichen von fehlendem technischen Know-How bis zur Sorge vor rechtlichen Einschränkungen. Dabei bietet die Technologie spannende Möglichkeiten bei der Entwicklung innovativer Produkte und Dienstleistungen.
Eines der größten Hemmnisse ist das Thema Datenschutz: Die mangelnde Übersicht über datenschutzrechtliche Anforderungen und die Angst vor Verstößen hindert viele Unternehmen, die Potenziale von Künstlicher Intelligenz zu nutzen.Unsere Checkliste bietet Hilfe beim datenschutzkonformen Umgang mit GenAI.
Artificial Intelligence & Datenschutz: Schritt für Schritt zum datenschutzkonformen Einsatz
1. Verarbeitung personenbezogener Daten und DSGVO-Relevanz
Identifizieren Sie zunächst, welchen Daten als personenbezogen gelten und somit dem Datenschutz unterliegen.
Stellen Sie sicher, dass die Verarbeitung personenbezogener Daten im Einklang mit der Datenschutz-Grundverordnung (DSGVO) steht. Denn, die DSGVO stellt auch beim Einsatz von KI geltendes Recht dar und darf nicht ignoriert werden.
2. Zulässigkeit und Zweckbindung
Verarbeiten Sie personenbezogene Daten nur für die Zwecke, für die sie erhoben wurden und stellen Sie sicher, dass die Verarbeitung rechtmäßig ist.
Prüfen Sie, ob die Verarbeitung auf einer rechtlichen Grundlage beruht. In der Regel ist das die Einwilligung der entsprechenden Person.
3. Informationspflichten
Informieren Sie die betroffenen Personen über die Verarbeitung ihrer Daten und ihre Rechte im Zusammenhang mit der Verwendung von GenAI.
Die Datenschutzerklärungen und damit zusammenhängende Informationen müssen klar und verständlich erklärt und dokumentiert sein.
4. Datenschutz-Folgenabschätzung
Führen Sie eine Datenschutz-Folgenabschätzung durch, um mögliche Risiken für die Privatsphäre der betroffenen Personen zu identifizieren und geeignete Maßnahmen zur Risikominderung zu ergreifen.
Dokumentieren Sie die Ergebnisse der Datenschutz-Folgenabschätzung.
5. Datensicherheit und IT-Sicherheit
Implementieren Sie angemessene technische und organisatorische Maßnahmen, um die Sicherheit der verarbeiteten Daten zu gewährleisten. Beachten Sie dabei die Besonderheiten von LLM und prüfen Sie Content-Filter, Validierungsregeln und Prompt-Hacking.
Aktualisieren Sie diese Maßnahmen regelmäßig, um den aktuellen Bedrohungen standzuhalten.
6. Pseudonymisierung und Anonymisierung
Nutzen Sie Techniken wie Pseudonymisierung und Anonymisierung, um den Datenschutz bei der Verarbeitung personenbezogener Daten zu verbessern.
Vergessen Sie nicht, dass selbst pseudonymisierte Daten noch personenbezogen sein können.
7. Transparenz und Nachvollziehbarkeit
Stellen Sie sicher, dass die GenAI-Modelle transparent und nachvollziehbar sind, um den Anforderungen der DSGVO gerecht zu werden.
Kennzeichnen Sie KI-generierte Inhalte so, dass dies für den Nutzer nachvollziehbar ist.
Überwachen Sie die Funktionsweise der Modelle und stellen Sie sicher, dass über geeignetes Logging erzeugte Inhalte nachvollziehbar und erklärbar sind.
8. Auftragsverarbeitung und Datenübermittlung
Achten Sie auch bei der Zusammenarbeit mit externen Dienstleistern und der Übermittlung von Daten in Drittländer auf die Einhaltung der DSGVO.
Schließen Sie geeignete Verträge zur Auftragsverarbeitung ab, wenn externe Dienstleister Zugriff auf personenbezogene Daten haben.
9. Dokumentation
Dokumentieren Sie alle Aspekte der Datenverarbeitung im Zusammenhang mit GenAI, um die Einhaltung der DSGVO nachweisen zu können.
Speichern Sie Aufzeichnungen über Datenverarbeitungsaktivitäten, Datenschutz-Folgenabschätzungen und Sicherheitsmaßnahmen an einem Ort.
10. Betriebliche Datenschutzbeauftragte
Stellen Sie Kapazitäten für betriebliche Datenschutzbeauftragte sicher, die für die Überwachung der Einhaltung der DSGVO und die Beratung des Unternehmens in Datenschutzfragen zuständig sind.
Sorgen Sie dafür, dass der:die Datenschutzbeauftragte die erforderliche Expertise im Bereich (Gen-)AI und Datenschutz besitzt.
Wie geht es weiter? Ein Ausblick.
Wir hoffen, dass Ihnen unsere Checkliste einen Überblick über die notwendigen datenschutzrechtlichen Maßnahmen geben konnte. Nichtsdestotrotz muss erwähnt werden, dass die aktuelle Situation einen besonderen Stellenwert hat. Die klassischen Maßnahmen zum Datenschutz sind aufgrund der Besonderheiten der Technologie nicht immer 1 zu 1 umsetzbar.
Beim Thema gesetzliche Regulierung hat sich inzwischen einiges getan: Der EU AI Act wurde am 13. März 2024 vom Europäischen Parlament verabschiedet und ist am 1. August 2024 in Kraft getreten. Erste Bestimmungen sind bereits seit Februar 2025 anwendbar, während die vollständige Anwendbarkeit ab August 2026 vorgesehen ist.
Haben Sie noch Fragen? Unsere Expert:innen für AI & Data sind für Sie da:
iteratec ist der Partner für alle, die zu den Gewinner:innen der digitalen Transformation gehören wollen. Mit individuellen, überlegenen Lösungen eröffnen wir unseren Kunden technologische wie unternehmerische Potenziale. Denn: Wenn Scheitern keine Option ist, sind wir der Partner, der den Unterschied macht. So haben wir seit 1996 mehr als 1.000 Projekte zum Erfolg geführt und eine Kundenzufriedenheit von 97%.
