Datenschutz-Richtlinie: Einsatz von KI in Unternehmen
19.01.2024
Zusammenfassung
Die Datenschutzrichtlinie für Künstliche Intelligenz (KI) im Unternehmen gewährleistet den sicheren und ethischen Einsatz von KI-Technologien. Sie umfasst Vorgaben zum Schutz personenbezogener Daten, zur Einhaltung gesetzlicher Vorschriften, zur Transparenz der Datenverarbeitung und zur Verantwortlichkeit für Entscheidungen, die von KI-Systemen getroffen werden. Ziel ist ein verantwortungsvoller Umgang mit KI. – Aber benötigen wir eine solche überhaupt und wie kann sie aussehen?
5 Minuten Lesezeit
Die Integration von Künstlicher Intelligenz (KI) in Unternehmensprozesse verspricht Effizienzsteigerung und Innovation. Ohne klare Regeln und Vorgaben kann sie aber gleichzeitig Risiken bergen. Unternehmensinterne Richtlinien für KI-Anwendungen sind daher entscheidend. Sie sorgen für Klarheit im Umgang mit Daten, verhindern unfaire Entscheidungsfindungen und stellen sicher, dass KI-Systeme rechtlichen Standards entsprechen. Solche Maßnahmen schaffen Vertrauen bei Kunden und Mitarbeitern und schützen das Unternehmen vor möglichen rechtlichen Konsequenzen und Reputationsverlusten.
Nachweisfähige Datenschutzkonformität
Bekannterweise reicht es für Unternehmen nicht aus, lediglich datenschutzkonform zu agieren, man muss dies auch jederzeit dokumentiert nachweisen können, so Artikel 5 DSGVO:
„1. Personenbezogene Daten müssen
- auf rechtmäßige Weise, nach Treu und Glauben in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben Transparenz“)
- für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden […] („Zweckbindung“)
[…]
- in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“)
2. Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).“
Ein solcher Nachweis kann durchaus durch entsprechende Richtlinien erbracht werden. Dadurch zeigt das Unternehmen, dass es organisatorisch Prozesse und Rahmenbedingungen geschaffen hat, die eingehalten zu Datenschutzkonformität führen sollten.
Inhalt: Ein balanciertes Maß an Flexibilität und Kontrolle
Viele Unternehmen wählen – egal ob aus Unsicherheit oder Bequemlichkeit – den Weg des generellen Einsatzverbots von Systemen künstlicher Intelligenz. Dies kann allerdings aus verschiedenen Gründen kontraproduktiv sein:
- Wettbewerbsnachteile: KI-Technologien bieten die Möglichkeit der Prozessoptimierung, der Beschleunigung von Entscheidungen und personalisierte Lösungsfindung. Unternehmen, die darauf verzichten, könnten gegenüber Konkurrenten ins Hintertreffen geraten.
- Innovationshemmung: KI ist ein treibender Faktor für Innovation in vielen Bereichen. Unternehmen, die KI-Technologien nicht erforschen oder integrieren, könnten wichtige Innovationen verpassen, die neue Märkte erschließen oder bestehende Produkte und Dienstleistungen verbessern könnten.
- Wissensdefizite: Unternehmen, die sich nicht aktiv mit künstlicher Intelligenz beschäftigen, werden mit Blick auf ihren Kenntnisstand schnell Rückstand geraten, der immer schwieriger aufzuholen sein wird, da wichtige Erfahrungswerte fehlen, um Vorteile und Risiken überhaupt einschätzen zu können.
Da ein generelles Verbot aus diesen Gründen zumindest überdacht werden sollte, stellt sich die Frage der Rahmenbedingungen. Diese orientieren sich an üblichen Entscheidungsprozessen innerhalb von Unternehmen und sollten in ihrer Komplexität die Ressourcen eines solchen keinesfalls übersteigen.
Grundsätzlich kann jedoch festgehalten werden, dass wie bei jedweder Einführung von Software eine neue KI-Anwendung zunächst unternehmensintern beantragt werden sollte und auf gewisse Merkmale überprüft:
- Was ist der genaue Verwendungszweck? Wofür benötigen wir dieses Tool tatsächlich oder ist es gegebenenfalls reine Spielerei?
- Gibt es rechtliche Rahmenbedingungen, beispielsweise eine Datenschutzvereinbarung, die festhält, wie mit den Daten, die eingegeben werden, umgegangen wird? Werden diese gegebenenfalls standardmäßig zu Trainingszwecken weiterverwendet, so sollten beispielsweise keine Geschäftsgeheimnisse und personenbezogenen Daten eingegeben werden.
- Haben wir genügend Information, um einerseits unseren Mitarbeitern klare Vorgaben zu machen, als andererseits die von der Verarbeitung Betroffenen transparent zu informieren?
Um es den Mitarbeitern gegenüber so einfach und effizient zu gestalten wie möglich, empfehlen sich außerdem „White- und Blacklisten“, die aufzählen, welche KI-Anwendungen bereits beurteilt wurden und als einsetzbar bzw. nicht einsetzbar klassifiziert wurden. Diese Anwendungen sollten in einer gewissen Regelmäßigkeit erneut einer solchen Prüfung unterzogen werden, da sich die Rahmenbedingungen sehr schnell ändern können, ins Positive wie auch ins Negative.
Fazit: „Ja, aber…“
Ein Einsatz von Anwendungen künstlicher Intelligenz darf und soll durchaus Bestandteil des heutigen Unternehmensalltags sein, jedoch benötigt es klare Rahmenbedingungen. Ein erster – organisatorischer – Schritt wird sein, diese als unternehmensinterne Richtlinien den Mitarbeitern mitzugeben und so für die notwendige Sicherheit, Fl