FUTTER FÜR DIE KI: UNTERNEHMENSDATEN UND DATENSCHUTZRECHT

6. November 2023

Für nahezu alle Unternehmen bietet der Einsatz künstlicher Intelligenz (KI) ungeahnte Möglichkeiten, Prozesse zu automatisieren und damit Effizienzgewinne zu sichern. Das Automatisierungspotenzial wird je nach Branche teilweise auf 30 % und mehr geschätzt, und die Euphorie ist entsprechend groß. Doch eine solche KI hat Hunger auf Daten. Unternehmen sollten sich deshalb mit den datenschutzrechtlichen Anforderungen auseinandersetzen.

Die KI ist nur so gut, wie ihr Zugang zu Daten

Die Qualität des „Outputs“ hängt ganz besonders davon ab, mit welchen Daten die KI trainiert worden ist. Das gilt vor allem für spezialisierte Anwendungen in Unternehmen. Doch in vielen Fällen ist es mittlerweile gar nicht mehr erforderlich, eine eigene KI zu trainieren und zu betreiben. Stattdessen können bestehende Lösungen mit einem entsprechenden Zugriff auf unternehmensinterne Daten ausgestattet werden, um hochgradig passgenaue Ergebnisse zu erzielen – gewissermaßen die „Maßkonfektion“ der KI-Anwendungen. Aus rechtlicher Sicht werfen beide Ansätze ähnliche Fragen auf.

Ein Beispiel: Ein Unternehmen möchte die Ablage und Archivierung von Kundenkorrespondenz im Dokumentenmanagement mit einer KI vereinfachen. Bislang werden Post und Mails mühsam händisch bearbeitet, abgelegt und verschlagwortet. Das KI-Produkt verspricht nicht nur, die Korrespondenz zu scannen und mit passenden Schlagworten zu versehen, sondern auch, für das Unternehmen wichtige Informationen zu extrahieren, zusammenzufassen und zu strukturieren. Klingt wie Zauberei und schafft für die Beschäftigten im Kundendienst mehr Zeit für ihre Kernaufgaben.

Für die Umsetzung benötigt die KI beispielsweise Zugriff auf Postfächer und Archivierungssysteme. Für das Lesen, Verstehen und die Bearbeitung der aktuellen Post wertet sie historische Daten aus, um zum Beispiel die Verschlagwortung stetig zu verbessern oder direkt und vollautomatisch weitere Prozesse im Haus anzustoßen.

Voraussetzungen der DS-GVO

Um ihre Wunder zu vollbringen, durchpflügt die KI also unter anderem sämtliche gespeicherte Korrespondenz und internen Vermerke einschließlich aller enthaltenen Namen, Adressen und weiteren personenbezogenen Daten. Unabhängig davon, ob eine eigene KI von Beginn an trainiert wird oder „nur“ eine bestehende Lösung mit entsprechenden Zugriffsrechten zum Einsatz kommt: Die neuartige Nutzung der Unternehmensdaten stellt eine eigene „Verarbeitung“ der enthaltenen Daten mit Personenbezug dar. Es sind daher die besonderen Anforderungen des Datenschutzrechts zu beachten – selbst, wenn die Daten den eigenen Unternehmensserver nie verlassen.

Das Unternehmen als „Verantwortlicher“ im datenschutzrechtlichen Sinne benötigt nach Art. 6 Abs. 1 DS-GVO eine Rechtsgrundlage für die Nutzung der Daten durch die KI. Da die Einholung einer Einwilligung aller Betroffenen (Art. 6 Abs. 1 Uabs. 1 lit. a) DS-GVO) aber praktisch so gut wie immer völlig unmöglich sein wird, ist im konkreten Einzelfall zu prüfen, ob einer der gesetzlichen Erlaubnistatbestände die Verarbeitung stützen kann. In Betracht kommt allen voran das „berechtigte Interesse“ im Sinne des Art. 6 Abs. 1 Uabs. 1 lit. f) DS-GVO. Hierfür ist eine umfassende und teilweise komplexe Interessenabwägung erforderlich. Handelt es sich um ein Unternehmen der öffentlichen Hand oder sogar eine Behörde, gelten spezielle Anforderungen.

Doch damit nicht genug: In aller Regel sind die zum Verbessern von KI-Outputs (oder gar zu deren Training) genutzten unternehmenseigenen Daten seinerzeit zu einem anderen Zweck erhoben wird, zum Beispiel zur Erbringung von Kundendiensten oder zur Abwicklung eines Vertragsverhältnisses. Somit liegt häufig eine Zweckänderung im Sinne des Art. 6 Abs. 4 DS-GVO vor, die gesondert gerechtfertigt werden muss.

Schließlich bestehen zumeist Informationspflichten gegenüber den Betroffenen nach den Art. 13 und 14 DS-GVO. Je nach KI-Anwendung kann auch eine Datenschutz-Folgenabschätzung erforderlich sein. Auch die Verträge mit dem Dienstleister, der die KI-Anwendung anbietet, wollen gut überlegt und rechtlich geprüft sein. Daneben können unter anderem arbeitsrechtliche Aspekte von Belang sein, da regelmäßig auch Beschäftigte unter den Betroffenen sind.

Gut vorbereitet in die Zukunft starten

Damit das KI-Projekt statt Effizienzgewinnen nicht Kopfschmerzen mit der Datenschutzaufsichtsbehörde bereitet, ist es erforderlich, sich bereits in der Vorbereitung mit den datenschutzrechtlichen Fragestellungen auseinanderzusetzen. Die deutschen Datenschutzbehörden haben schon Anfang 2023 eine eigene „Taskforce-KI“ gegründet, die gezielt die Einhaltung des Datenschutzrechts bei der Verwendung KI-gestützter Anwendungen in Unternehmen auf den Prüfstand stellen soll.

Ansprechpartner*innen: Nils Langeloh/Thomas Schmeding/Dr. Maximilian Festl-Wietek/Nicolas Höbel/Christopher Hahne

Share
Weiterlesen

22 April

Interviewreihe: Marcel Malcher, BBH-Partner und Vorstand BBH Consulting AG

Am 24.4.2024 findet die BBH-Jahreskonferenz in der Französischen Friedrichstadtkirche in Berlin statt. Im Mittelpunkt steht das Thema Energie in seiner Gesamtheit, seiner systemischen Verknüpfung und seiner Entwicklungsperspektive. „Energie heute & morgen“ ist daher auch der Titel der Veranstaltung. Zu den...

Weiterlesen

18 April

Missbrauchsverfahren nach den Energiepreisbremsengesetzen: Bundeskartellamt nimmt Energieversorger unter die Lupe

Die Energiepreisbremsengesetze sollten Letztverbraucher für das Jahr 2023 von den gestiegenen Strom-, Gas- und Wärmekosten entlasten. Um zu verhindern, dass Versorger aus der Krise auf Kosten des Staates Kapital schlagen, wurden in den dazu erlassenen Preisbremsengesetzen besondere Missbrauchsverbote implementiert, über...

Weiterlesen