IT-Recht & Datenschutz

Datenschutzrechtliche Herausforderungen beim Einsatz von KI-Diensten

Veröffentlicht am 6th Feb 2024

Unternehmen müssen rechtliche Herausforderungen, etwa bezüglich Datenschutz, berücksichtigen, die durch KI-Dienste wie Microsoft Copilot entstehen.

KI-Dienste wie Microsoft 365 Copilot („Copilot“), eine generative KI-gestützte Technologie, sollen Nutzern bei einer Vielzahl von Aufgaben z. B. bei der Erstellung von Dokumenten oder beim Zusammenfassen von Gesprächsnotizen unterstützen. Nachdem Microsoft die Copilot-Dienste nach der Early Access Phase für alle Unternehmen zugänglich gemacht hat, stehen Unternehmen jetzt vor einer Prüfung der Anwendungsfälle von KI-Diensten. 

Bei der Entscheidung, Mitarbeitern (oder nur bestimmten Mitarbeitergruppen) die Nutzung von Copilot zu eröffnen, müssen Unternehmen auch rechtliche Anforderungen – einschließlich datenschutzrechtlicher Herausforderungen – im Zusammenhang mit der Nutzung solcher KI-Dienste prüfen. Nur wenn sie sich mit diesen rechtlichen Herausforderungen im erforderlichen Ausmaß auseinandersetzen, können Unternehmen die umfangreichen Vorteile dieser KI-Dienste optimal nutzen.

Analyse der Dienstleistungen und Verständnis der Aufgaben

Während Unternehmen die Auswirkungen zukünftiger Rechtsakte wie dem AI Act bereits mit in diese Risikoanalyse einbeziehen können, erfordern bereits geltende Gesetze wie die DSGVO sowie IP-rechtliche Anforderungen bereits eine solche Risikoanalyse. Wie bei allen rechtlichen Herausforderungen variieren diese aus datenschutzrechtlicher Sicht je nach spezifischem KI-Dienst und Anwendungsfall. Daher sollten Unternehmen zunächst die folgenden Punkte bewerten:

  • Welche KI-Dienste will das Unternehmen nutzen? Möchte das Unternehmen die Nutzung allgemein verfügbarer kostenloser KI-Dienste ermöglichen, spezielle KI-Dienste einsetzen, die auf bereits im Unternehmen genutzter Software aufsetzt, oder einen eigenen unternehmensinternen KI-Dienst entwickeln?
  • Welche Geschäftsbedingungen gelten für die Nutzung des KI-Dienstes?
  • Decken datenschutzrechtliche vertragliche Bestimmungen den Einsatz des KI-Dienstes ab (z. B. das Microsoft Products and Services Data Protection Addendum (DPA))? Wie werden datenschutzrechtliche Herausforderungen in diesen vertraglichen Bestimmungen adressiert?
  • Wie transparent sind die verfügbaren Informationen über die KI-Dienste (z. B. welche Auswirkungen hat die Nutzung von Bing, wenn dieser Dienst innerhalb von Copilot aktiviert ist; hat Microsoft datenschutzrechtliche Grundsätze in Bezug auf das Training und die Nutzung von Copilot umgesetzt; bietet Microsoft ausreichende Missbrauchskontrollen, um datenschutzrechtliche Verstöße zu verhindern, und wie können Unternehmen die Überwachung ihrer Mitarbeiter im Zusammenhang mit Copilot-Berichtsfunktionen vermeiden)?
  • Inwieweit analysiert das Unternehmen die sich verändernde Art der ausgewählten KI-Dienste (vgl. einen Überblick über künftige Copilot-Updates)?

Die Einhaltung von Transparenzanforderungen und der Rechenschaftspflicht sind Grundprinzipien des Datenschutzrechts. Die Funktionalitäten von KI-Diensten wie Copilot sind jedoch oft komplex und nicht vollständig transparent. Dies kann es schwierig machen, zu verstehen, wie die Dienste personenbezogene Daten verarbeiten, und die Unternehmen datenschutzrechtliche Pflichten einhalten können. Hier kann ein Dialog mit dem jeweiligen KI-Dienstanbieter helfen, um noch offene Fragen zu klären.

To-dos

Das Datenschutzrecht verlangt, dass Organisationen, die KI-Dienste wie Copilot nutzen, den Umgang mit datenschutzrechtlichen Herausforderungen dokumentieren. Der große Vorteil dieser Dokumentation liegt in der damit einhergehenden Sachverhaltsanalyse. Diese Dokumentation im Rahmen einer Datenschutz-Folgenabschätzung ist daher kein Selbstzweck, sondern zeigt dem Unternehmen auf, ob der jeweilige KI-Dienst vollständig erfasst wurde und ausreichende risikomindernde Maßnahmen getroffen wurden. Diese risikomindernden Maßnahmen kommen letztendlich den Mitarbeitern und anderen Personen zugute, die von der Nutzung des KI-Dienstes betroffen sind. Je nach gewähltem KI-Dienst könnten die erforderlichen Maßnahmen Folgendes umfassen: 

  • Sicherstellung durch KI-Richtlinien und Mitarbeiterschulungen, dass Mitarbeiter den Copilot-Output nur als Grundlage für ihre Arbeit verwenden. Aus datenschutzrechtlicher Sicht sollten Unternehmen den KI-Output gerade nicht als alleinige Grundlage für Entscheidungen nutzen, die ihre Mitarbeiter oder Kunden betreffen könnten (andernfalls könnte eine unrechtmäßige automatisierte Entscheidung nach Art. 22 DSGVO vorliegen). Idealerweise decken diese KI-Richtlinien auch weitere datenschutzrechtlichen Grundsätze ab (wie z. B. den Grundsatz der Datenminimierung) und weisen die Mitarbeiter an, die Verwendung sensibler Daten im Rahmen der KI-Dienste zu vermeiden;
  • Überprüfung des Rechte- und Rollenkonzepts innerhalb der Microsoft 365 Umgebung. Hintergrund ist, dass der Copilot-Dienst auf alle Daten zugreift, auf die der jeweilige Mitarbeiter über die Microsoft 365 Umgebung zugreifen kann. Unsere Erfahrung zeigt, dass bei der Einführung von KI-Diensten die Überprüfung des Rechte- und Rollenkonzepts entscheidend ist. Oftmals deckt die Analyse dieser Konzepte während des Implementierungsprozesses Lücken auf, da das Rechte- und Rollenkonzept innerhalb der Microsoft 365-Anwendungen bereits etabliert sein sollte;
  • Nutzung der Bewertung der KI-Dienste, um Mitarbeiter und andere Betroffene (z.B. Kunden) bspw. durch Datenschutzhinweise darüber zu informieren, wie der jeweilige KI-Dienst personenbezogene Daten verarbeitet;
  • Schulung der Mitarbeiter im Umgang mit KI-Diensten (z. B. um zu verstehen, welche Auswirkungen die Eingabe falscher Daten in Copilot hat und dass die von Copilot gelieferten Ergebnisse überprüft werden müssen, da sie nicht unbedingt sachlich richtig sind);
  • Überwachung der rechtlichen Anforderungen: Aufgrund der Relevanz für viele Unternehmen veröffentlichen die Datenschutzaufsichtsbehörden derzeit Leitlinien zur Nutzung von KI-Diensten. Für Unternehmen bietet es sich an, die dortigen Ausführungen als Grundlage für die eigene Bewertung zu nutzen. Zudem steht der AI Act vor der Tür und Unternehmen können bereits jetzt die Auswirkungen des künftigen Gesetzes bei der Auswahl von KI-Diensten und Anwendungsfällen einfließen lassen;
  • Angesichts der umfangreichen Einsatzmöglichkeiten von KI-Diensten sind Überwachungsszenarien von Arbeitnehmern leicht vorstellbar. Unternehmen die einen Betriebsrat haben, sind daher verpflichtet, diesen vor der Einführung von KI-Diensten zu beteiligen.
Teilen

* Dieser Artikel entspricht dem aktuellen Stand zum Zeitpunkt seiner Veröffentlichung und spiegelt nicht notwendigerweise den aktuellen Stand des Gesetzes / der Regulatorik wider.

Interested in hearing more from Osborne Clarke?