DSGVO und KI: 7 Punkte, die Sie kennen müssen

Die DSGVO stellt keine grundsätzliche Hürde für den Einsatz von KI dar. Sie setzt aber klare Rahmenbedingungen, die bei der Einführung von KI-Systemen von Anfang an berücksichtigt werden müssen.

Punkt 1: Zweckbindung. KI-Systeme dürfen Daten nur für den ursprünglich definierten Zweck verarbeiten. Wer Kundendaten für ein KI-System nutzt, muss sicherstellen, dass das System keine Daten außerhalb dieses Zwecks verwendet.

Punkt 2: Datenminimierung. KI-Systeme sollten nur die Daten verarbeiten, die für die jeweilige Aufgabe tatsächlich erforderlich sind. Weniger Daten bedeuten weniger Risiko.

Punkt 3: Transparenz. Betroffene müssen wissen, wenn KI-Systeme ihre Daten verarbeiten oder Entscheidungen beeinflussen. Das gilt insbesondere für automatisierte Einzelentscheidungen nach Art. 22 DSGVO.

Punkt 4: Auftragsverarbeitung. Wenn externe KI-Dienste eingesetzt werden, ist ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO zwingend erforderlich.

Punkt 5: Drittlandtransfers. Cloud-KI-Dienste außerhalb der EU unterliegen strengen Anforderungen. Die sicherste Lösung: lokale KI-Systeme ohne Datentransfer.

Punkt 6: Datenschutz-Folgenabschätzung. Bei risikoreichen KI-Anwendungen ist eine DSFA nach Art. 35 DSGVO durchzuführen – vor dem Go-Live.

Punkt 7: Technische und organisatorische Maßnahmen. KI-Systeme müssen durch geeignete TOMs abgesichert sein: Verschlüsselung, Zugriffskontrollen, Audit-Logs.