Veröffentlicht am von

DSGVO konforme Nutzung von KI-Systemen

Nachfolgend eine Checkliste für die datenschutzkonforme Nutzung von KI-Systemen (DSGVO, BDSG & Internationales Recht). Grundsätzlich gilt Privacy by Design und Privacy by Default. Datenschutz ist von Beginn an und standardmäßig in die Technologie und die Prozesse zu integrieren.

Phase 1: Vor der Datenerhebung & -verarbeitung (Planung & Legitimation)

  1. Rechtliche Grundlage identifizieren und dokumentieren:
    • Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO, § 26 BDSG – Achtung: Besondere Anforderungen bei KI-gestütztem Profiling!
    • Vertragliche Notwendigkeit (Art. 6 Abs. 1 lit. b DSGVO).
    • Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) – zwingend mit Interessenabwägung und Dokumentation.
    • Weitere Grundlagen: rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO), lebenswichtige Interessen (Art. 6 Abs. 1 lit. d DSGVO).
    • Für besondere Kategorien personenbezogener Daten (Gesundheitsdaten etc.) gelten Art. 9 DSGVO und ggf. § 22 BDSG.
    • Bei Beschäftigtendaten: § 26 Abs. 1 BDSG und ggf. Betriebsvereinbarungen.
  2. Zweckbindung festlegen:
    • Der Verarbeitungszweck ist eng zu definieren.
    • Es ist keine spätere Nutzung für nicht vereinbarte Zwecke möglich.
  3. Transparenzpflichten planen:
    • Datenschutzerklärung nach Art. 13, 14 DSGVO mit KI-Bezug.
    • Information über Logik, Tragweite und Folgen der Verarbeitung (Art. 13 Abs. 2 lit. f, Art. 22 DSGVO).

Phase 2: Auswahl & Bewertung des KI-Systems (TOMs)

  1. Datenminimierung und Speicherbegrenzung:
    • Sind die Daten erforderlich und angemessen?
    • Pseudonymisierung/Anonymisierung prüfen (Re-Identifizierungsrisiko ist zu beachten).
    • Wo möglich, sollten synthetische Testdaten statt echter Daten genutzt werden.
  2. Risikobewertung für die Datenverarbeitung:
    • Risiken für Rechte und Freiheiten der Betroffenen ermitteln.
    • Automatisierte Einzelfallentscheidungen (Art. 22 DSGVO) nur unter engen Voraussetzungen.
  3. Kritische Bewertung außereuropäischer KI-Anbieter:
    • Drittlandtransfer der Daten prüfen (EU/EWR-Extern).
    • Angemessenheitsbeschluss der EU-Kommission beachten (Kanada, UK, Schweiz). Für die USA: EU-US Data Privacy Framework – aber ständige rechtliche Überprüfung (Dabei sind die Schrems-Urteile zu beachten!).
    • Falls kein Angemessenheitsbeschluss vorliegt, sind Garantien nach Art. 46 DSGVO (SCCs, BCRs, zusätzliche Verschlüsselung mit EU-Key-Management) notwendig.
    • Anbieter sind sorgfältig auszuwählen (Art. 28 DSGVO) und ein Auftragsverarbeiter-Vertrag abzuschließen.
  4. Präferenz für lokale/on-premise KI-Lösungen:
    • Ollama, Local AI, self-hosted LLMs prüfen.
    • Vorteile: Daten bleiben lokal, keine Drittlandübermittlung, volle TOM-Kontrolle, einfacherer Compliance-Nachweis.
    • Option: Air-Gap-Szenarien für besonders sensible Daten.
    • Hybridlösungen: lokale KI übernimmt Anonymisierung vor Nutzung externer Systeme.

Phase 3: Während des Betriebs (Durchführung & Kontrolle)

  1. Dokumentationspflichten:
    • Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO) mit KI-Verarbeitungen.
    • Datenschutz-Folgenabschätzung (Art. 35 DSGVO) bei hohem Risiko (Profiling, Gesundheitsdaten etc.).
  2. Rechte der betroffenen Personen:
    • Auskunft (Art. 15 DSGVO), auch über KI-Logik.
    • Berichtigung (Art. 16), Löschung (Art. 17), Widerspruch (Art. 21).
    • Recht auf Nicht-Unterworfenwerden automatisierter Entscheidungen (Art. 22 DSGVO).
  3. Sicherheitsmaßnahmen:
    • TOMs nach Stand der Technik: Zugriffskontrolle, Verschlüsselung, Integrität, Verfügbarkeit, Belastbarkeit.
    • Regelmäßige Sicherheitsprüfungen & Penetrationstests.
    • Auditability: Protokollierung aller Zugriffe, Nachvollziehbarkeit von Trainingsdaten (Data Lineage), Versionierung von Modellen.
  4. Compliance & Accountability:
    • Regelmäßige interne und externe Audits.
    • Benennung eines Datenschutz- und KI-Compliance Officers oder Gremiums.

Phase 4: Bei Incidents & Beendigung

  1. Melde- und Benachrichtigungspflichten:
    • Data Breach → 72h Frist zur Meldung bei der Aufsichtsbehörde (Art. 33 DSGVO).
    • Schwerwiegende Fälle → Information der Betroffenen (Art. 34 DSGVO).
  2. Löschkonzept:
    • Daten nach Zweckerreichung löschen.
    • Auch Trainingssets, Cloud-Backups und geteilte Modelle einbeziehen.
    • Vertragliche Sicherstellung: unwiderrufliche Löschung nach Vertragsende.

Internationale Dimension

  • Auch lokale Gesetze beachten: CCPA (Kalifornien), LGPD (Brasilien), PIPL (China), HIPAA (USA – Gesundheitsdaten).
  • Kritisch: Datenübermittlungen in Länder mit Überwachungsgesetzen (z. B. EU, China, Russland, Indien, USA – FISA 702). Hier ist eine klare Risikobewertung notwendig, ggf. der Ausschluss von Anbietern dieser Staaten.

Haftungsausschluss: Diese Checkliste ist ein allgemeiner Leitfaden und ersetzt keine Rechtsberatung. Für konkrete Projekte wird die rechtliche Beratung durch Fachanwälte für IT- und Datenschutzrecht, sowie die Einbindung der zuständigen Datenschutzaufsichtsbehörde empfohlen.

Barrierefreiheit