Von Sascha Dionisius, unabhängiger Datenschutzbeauftragter
Der Hype verdeckt die Risiken
Künstliche Intelligenz ist überall. Unternehmen nutzen ChatGPT, Co-Pilot und andere KI-Tools, um Prozesse zu automatisieren, Kunden zu unterstützen und Entscheidungen zu treffen.
Doch der Hype verdeckt ein ernstes Problem: Viele dieser Lösungen können datenschutzrechtliche Risiken mit sich bringen, insbesondere wenn personenbezogene Daten ohne klare Governance verarbeitet werden.
Die rechtliche Lage
Die DSGVO gilt für alle Unternehmen, die personenbezogene Daten von Personen in der Europäischen Union verarbeiten. Das schließt auch die Nutzung von KI-Diensten ein.
Das Problem: Bei vielen bekannten KI-Systemen werden Daten zumindest teilweise außerhalb der Europäischen Union verarbeitet, häufig auch auf Servern in den USA.
Gleichzeitig ist die konkrete Verarbeitung der Daten für Unternehmen nicht immer vollständig transparent. Genau hier setzt die DSGVO an: Sie verlangt sowohl Transparenz über die Datenverarbeitung als auch klare Informationen gegenüber Betroffenen (Art. 5 und Art. 13–15 DSGVO). Zusätzlich ist die Übermittlung personenbezogener Daten in Drittstaaten nach Art. 44 DSGVO nur unter engen Voraussetzungen zulässig.
Das Ergebnis: Unternehmen, die solche KI-Dienste nutzen, riskieren Bußgelder bis zu 20 Mio. Euro oder 4% des weltweiten Jahresumsatzes.
Der EU AI Act kommt
Noch strenger wird es mit dem EU AI Act. Der EU AI Act unterscheidet zwischen verschiedenen Risikokategorien von KI-Systemen. Für bestimmte Anwendungen – etwa in sensiblen Bereichen wie Personalentscheidungen oder kritischer Infrastruktur – gelten besonders strenge Anforderungen.
Das bedeutet:
- Konformitätsbewertung vor Inbetriebnahme
- Registrierung in einer EU-Datenbank
- Strenge Anforderungen an Überwachung und Dokumentation
- Bußgelder bis zu 35 Mio. Euro oder 7% des weltweiten Jahresumsatzes
Die Alternativen
Es gibt Alternativen, die datenschutzkonform sind. Eine davon ist z.B. incoreon.
incoreon ist eine KI-Plattform mit Sitz in Deutschland, deren Infrastruktur ebenfalls in Deutschland betrieben wird.
Das bedeutet:
- Keine Datenübermittlung in Drittstaaten
- Unterstützt Unternehmen bei der DSGVO-konformen Nutzung von KI
- Volle Transparenz und Nachvollziehbarkeit
- ISO 27001 & ISO 42001 zertifiziert
- Ausgelegt auf die Anforderungen des EU AI Act
Meine Empfehlung
Aus meiner Sicht als Datenschutzbeauftragter sollten Unternehmen daher:
- Prüfen, welche KI-Dienste Sie nutzen. Viele Mitarbeitende nutzen KI-Tools ohne Wissen der Unternehmensleitung.
- Die Risiken verstehen. Datenschutzverletzungen können teuer werden – sowohl finanziell als auch reputationsmäßig.
- Datenschutzkonforme Alternativen wählen. incoreon ist ein Beispiel für eine KI-Plattform, die die Anforderungen erfüllt.
- Eine Datenschutz-Folgenabschätzung durchführen. Bevor Sie KI einführen, prüfen Sie die Auswirkungen auf den Datenschutz.
- Ihre Mitarbeitenden schulen. Sensibilisierung ist der beste Schutz gegen Datenschutzverletzungen.
Fazit
KI ist eine mächtige Technologie. Aber sie muss verantwortungsvoll eingesetzt werden. Unternehmen, die KI-Dienste nutzen, bewegen sich schnell auf dünnem Eis.
Die gute Nachricht: Es gibt Alternativen. incoreon zeigt, dass KI und Datenschutz kein Widerspruch sein müssen.
Der Autor ist unabhängiger Datenschutzbeauftragter und berät Unternehmen zu Fragen des Datenschutzes und der KI-Regulierung.
Weitere Informationen erhalten Sie gerne direkt über info@diomiko.com