Eines der größten Hemmnisse ist das Thema Datenschutz: Die mangelnde Übersicht über datenschutzrechtliche Anforderungen und die Angst vor Verstößen hindert viele Unternehmen, die Potenziale von Künstlicher Intelligenz zu nutzen. Unsere Checkliste bietet Hilfe beim datenschutzkonformen Umgang mit GenAI.
Identifizieren Sie zunächst, welchen Daten als personenbezogen gelten und somit dem Datenschutz unterliegen.
Stellen Sie sicher, dass die Verarbeitung personenbezogener Daten im Einklang mit der Datenschutz-Grundverordnung (DSGVO) steht. Denn, die DSGVO stellt auch beim Einsatz von KI geltendes Recht dar und darf nicht ignoriert werden.
Verarbeiten Sie personenbezogene Daten nur für die Zwecke, für die sie erhoben wurden und stellen Sie sicher, dass die Verarbeitung rechtmäßig ist.
Prüfen Sie, ob die Verarbeitung auf einer rechtlichen Grundlage beruht. In der Regel ist das die Einwilligung der entsprechenden Person.
Informieren Sie die betroffenen Personen über die Verarbeitung ihrer Daten und ihre Rechte im Zusammenhang mit der Verwendung von GenAI.
Die Datenschutzerklärungen und damit zusammenhängende Informationen müssen klar und verständlich erklärt und dokumentiert sein.
Führen Sie eine Datenschutz-Folgenabschätzung durch, um mögliche Risiken für die Privatsphäre der betroffenen Personen zu identifizieren und geeignete Maßnahmen zur Risikominderung zu ergreifen.
Dokumentieren Sie die Ergebnisse der Datenschutz-Folgenabschätzung.
Implementieren Sie angemessene technische und organisatorische Maßnahmen, um die Sicherheit der verarbeiteten Daten zu gewährleisten. Beachten Sie dabei die Besonderheiten von LLM und prüfen Sie Content-Filter, Validierungsregeln und Prompt-Hacking.
Aktualisieren Sie diese Maßnahmen regelmäßig, um den aktuellen Bedrohungen standzuhalten.
Nutzen Sie Techniken wie Pseudonymisierung und Anonymisierung, um den Datenschutz bei der Verarbeitung personenbezogener Daten zu verbessern.
Vergessen Sie nicht, dass selbst pseudonymisierte Daten noch personenbezogen sein können.
Stellen Sie sicher, dass die GenAI-Modelle transparent und nachvollziehbar sind, um den Anforderungen der DSGVO gerecht zu werden.
Kennzeichnen Sie KI-generierte Inhalte so, dass dies für den Nutzer nachvollziehbar ist.
Überwachen Sie die Funktionsweise der Modelle und stellen Sie sicher, dass über geeignetes Logging erzeugte Inhalte nachvollziehbar und erklärbar sind.
Achten Sie auch bei der Zusammenarbeit mit externen Dienstleistern und der Übermittlung von Daten in Drittländer auf die Einhaltung der DSGVO.
Schließen Sie geeignete Verträge zur Auftragsverarbeitung ab, wenn externe Dienstleister Zugriff auf personenbezogene Daten haben.
9. Dokumentation
Dokumentieren Sie alle Aspekte der Datenverarbeitung im Zusammenhang mit GenAI, um die Einhaltung der DSGVO nachweisen zu können.
Speichern Sie Aufzeichnungen über Datenverarbeitungsaktivitäten, Datenschutz-Folgenabschätzungen und Sicherheitsmaßnahmen an einem Ort.
Stellen Sie Kapazitäten für betriebliche Datenschutzbeauftragte sicher, die für die Überwachung der Einhaltung der DSGVO und die Beratung des Unternehmens in Datenschutzfragen zuständig sind.
Sorgen Sie dafür, dass der:die Datenschutzbeauftragte die erforderliche Expertise im Bereich (Gen-)AI und Datenschutz besitzt.
Wir hoffen, dass Ihnen unsere Checkliste einen Überblick über die notwendigen datenschutzrechtlichen Maßnahmen geben konnte. Nichtsdestotrotz muss erwähnt werden, dass die aktuelle Situation einen besonderen Stellenwert hat. Die klassischen Maßnahmen zum Datenschutz sind aufgrund der Besonderheiten der Technologie nicht immer 1 zu 1 umsetzbar.
Auch lässt eine verbindliche Gesetzgebung noch auf sich warten: Der Entwurf des EU AI Acts ist Stand November 2023 in den Trilog-Verhandlungen und muss anschließend, sofern es keine Änderungen mehr gibt, verabschiedet werden. Expert:innen erwarten einen finalen Beschluss bis Anfang 2026. Bis dahin gibt es keine verbindliche gesetzliche Grundlage für den Einsatz von KI. Die DSGVO ist aber in jedem Fall anzuwenden.