KI und Datenschutz: Was müssen Unternehmen wissen?

Der Mittelstand steht heute vor einer der größten technologischen Transformationen unserer Zeit: der Künstlichen Intelligenz (KI). Während diese Technologie immense Chancen bietet, geht sie auch mit erheblichen Herausforderungen und Unsicherheiten einher, insbesondere im Hinblick auf den Datenschutz. Als Partner des Mittelstands möchten wir Ihnen dabei helfen, diese Herausforderungen zu meistern und das Potenzial von KI voll auszuschöpfen, ohne dabei die Sicherheit und den Schutz sensibler Daten zu gefährden. Dafür gilt es sich zunächst im Detail anzuschauen, welche Datenschutz-Grundverordnung-Anforderungen bestehen und wie die Einhaltung der DSGVO gewährleistet werden kann.

Gesetzliche Rahmenbedingungen für den Einsatz von KI

Unternehmen, die KI einsetzen möchten, müssen sich intensiv mit dem Thema Datenschutzrecht auseinandersetzen, um sowohl gesetzliche Vorgaben einzuhalten als auch Risiken zu minimieren. Hierzu gehören eine umfassende Risikobewertung und die Implementierung von Schutzmaßnahmen zur Sicherstellung der VertraulichkeitDatensicherheit und Datenintegrität.

Nahaufnahme eines Laptops mit einem Finger, der auf ein holographisches Display zeigt, das Daten- und KI-Symbole darstellt. Das Bild vermittelt den Zusammenhang von Datenschutz und KI-Technologie.

KI und Datenschutz-Grundverordnung-Anforderungen

Einführung in die KI-Verordnung, DSGVO und das Lieferkettensorgfaltspflichtengesetz

Die KI-Verordnung (KI-VO) und die Datenschutz-Grundverordnung (DSGVO) sind zentrale Rechtsakte der Europäischen Union. Beide regeln unterschiedliche, aber miteinander verknüpfte Aspekte der Nutzung von Künstlicher Intelligenz (KI). Während die DSGVO den Schutz personenbezogener Daten und die Privatsphäre von Individuen innerhalb der EU in den Vordergrund stellt, schafft die KI-VO einen rechtlichen Rahmen für die sichere und ethisch vertretbare Nutzung von KI-Systemen. Unternehmen, die unter das Lieferkettensorgfaltspflichtengesetz (LkSG) fallen, müssen seit dem 1. Januar 2023 ihre Sorgfaltspflichten einhalten, einschließlich der Überwachung des Risikomanagements und der Einrichtung eines Beschwerdemechanismus. Auch kleine und mittlere Unternehmen (KMU) können durch ihre Rolle als Zulieferer von größeren Unternehmen, die unter die KI-Gesetzgebung fallen, indirekt betroffen sein.

Ziele und Anwendungsbereich: DSGVO, KI-Verordnung und LkSG

Die DSGVO konzentriert sich auf personenbezogene Daten und dessen Schutz. Sie regelt die Datennutzung: Im Klartext die Datenspeicherung, -erhebung und -verarbeitung. Diese Verordnung gilt weltweit für alle Organisationen, die Daten von EU-Bürgern verarbeiten. Die KI-VO hingegen verfolgt einen risikobasierten Ansatz zur KI-Regulierung. Damit soll deren sichere und ethische Nutzung gewährleistet werden. Die Verordnung teilt KI-Systeme in vier Haupt-Risikokategorien ein: verbotene KI-Anwendungen, Hochrisiko KI-Systeme, Begrenztes Risiko, Minimales Risiko. Unternehmen müssen sicherstellen, dass ihre KI-Systeme den spezifischen Anforderungen entsprechen, abhängig von der Risikobewertung und den etablierten KI-Richtlinien.

KMU sollten bei Vertragsverhandlungen mit größeren Unternehmen, die vom LkSG betroffen sind, darauf achten, dass die ihnen übertragenen Verpflichtungen realistisch und umsetzbar sind. Es ist wichtig, die Umsetzung kooperativ zu verhandeln.

Die Risikokategorien der KI-Verordnung

Die KI-Verordnung (KI-VO) der EU unterteilt KI-Systeme in verschiedene Risikokategorien, um sicherzustellen, dass die Regulierung dem potenziellen Gefährdungsgrad angemessen ist. Diese Kategorien sind in einer Pyramidenstruktur dargestellt, die von minimalem Risiko bis hin zu unannehmbarem Risiko reicht.

Darstellung der Risikoklassifizierung von KI-Anwendungen gemäß dem EU KI Act, dargestellt als farbige Pyramide mit vier Stufen: Verbotene KI-Anwendungen (Rot), Hochrisiko KI-Systeme (Orange), Begrenztes Risiko (Gelb), Minimales Risiko (Grün). KI und Datenschutz.

Die Pyramide zeigt die vier Stufen der Risikoklassifizierung für KI-Anwendungen nach dem EU KI Act: Von verbotenen Anwendungen (Rot) über Hochrisiko-Systeme (Orange) und begrenztes Risiko (Gelb) bis hin zu minimalem Risiko (Grün).

Unannehmbares Risiko (Verbotene KI-Anwendungen)

Diese oberste Kategorie umfasst KI-Systeme, die als Bedrohung für die Sicherheit oder die Grundrechte der Menschen angesehen werden und daher in der EU verboten sind. Beispiele hierfür sind:

Social Scoring durch Regierungen: Bei dem das Verhalten von Bürgern bewertet und überwacht wird, um den Zugang zu Dienstleistungen oder Rechten zu steuern.

Biometrische Gesichtserkennung: Insbesondere Methoden, die Menschenrechte oder die Privatsphäre erheblich beeinträchtigen könnten.

Hohes Risiko (Hochrisiko-KI-Systeme)

In dieser Kategorie fallen KI-Systeme, die in sicherheitskritischen oder grundrechtssensiblen Bereichen eingesetzt werden. Diese Systeme unterliegen strengen regulatorischen Anforderungen, um die Sicherheit und den Schutz der Grundrechte zu gewährleisten. Beispiele beinhalten:

  1. Strafverfolgung
  2. Bildungswesen
  3. Medizinische Versorgung
  4. Verwaltung kritischer Infrastrukturen

Zu den regulatorischen Anforderungen gehören umfassende Risikobewertungen, strikte Daten-Governance, detaillierte technische Dokumentationen und eine kontinuierliche menschliche Aufsicht.

Geringes Risiko (Begrenztes Risiko)

KI-Systeme in dieser Kategorie unterliegen weniger strengen regulatorischen Anforderungen. Solange sie sicher und transparent sind, dürfen diese Systeme eingesetzt werden. Unternehmen müssen sicherstellen, dass:

Nutzer über die Funktionsweise der KI informiert sind.

Maßnahmen ergriffen werden, um unerwünschte Verzerrungen zu vermeiden.

Minimales Risiko

Diese Kategorie umfasst KI-Systeme, die ein sehr geringes Risiko darstellen. Sie unterliegen den geringsten regulatorischen Anforderungen. In dieser Kategorie fallen beispielsweise viele KI-Anwendungen des täglichen Lebens, die keine signifikanten Auswirkungen auf die Sicherheit oder die Grundrechte haben.

Aufsicht und Sanktionen: DSGVO, KI-Verordnung und LkSG im Vergleich

Die DSGVO wird von Aufsichtsbehörden in jedem EU-Mitgliedsstaat überwacht. Verstöße können mit Geldstrafen bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes eines Unternehmens geahndet werden. Die KI-VO sieht ebenfalls hohe Bußgelder vor. Diese können bis zu 30 Millionen Euro oder 6% des weltweiten Jahresumsatzes eines Unternehmens betragen. Besonders bei Verstößen gegen Vorschriften für Hochrisiko-KI-Systeme oder verbotene Praktiken sind diese Strafen vorgesehen. Auch der Einsatz geeigneter Datenschutz-Tools und die Durchführung regelmäßiger Datenschutz-Audits sind Maßnahmen, die Unternehmen ergreifen sollten, um Sanktionen zu vermeiden.

Das LkSG sieht ebenfalls Sanktionen vor, wenn Unternehmen ihre Sorgfaltspflichten nicht erfüllen. Diese Sanktionen können neben Bußgeldern auch den Ausschluss von öffentlichen Aufträgen umfassen. KMU sollten hierbei klar ihre Grenzen kommunizieren. Sie sollten nur Verpflichtungen übernehmen, die sie realistisch erfüllen können.

Zeitplan und Inkrafttreten: Wichtige Daten für Unternehmen

Die KI-Verordnung tritt am 1. August 2024 in Kraft. Die meisten Bestimmungen werden jedoch erst nach einer zweijährigen Übergangsfrist ab dem 2. August 2026 vollständig anwendbar sein. Einige Regelungen, wie das Verbot von KI-Systemen mit unannehmbaren Risiken, gelten jedoch bereits ab dem 2. Februar 2025.

Das LkSG ist seit dem 1. Januar 2023 für größere Unternehmen in Kraft. Unternehmen mit 1.000 bis 3.000 Mitarbeitenden in Deutschland müssen ab dem 1. Januar 2024 ihre Sorgfaltspflichten erfüllen.

KI und Datenschutz: Risiken und Herausforderungen

Eine der größten Sorgen vieler mittelständischer Unternehmen ist das Risiko von Datenschutzverletzungen. KI-Systeme benötigen große Datenmengen, was die Gefahr von Datenmissbrauch erhöht. Daher ist es unerlässlich, dass diese Daten angemessen geschützt werden. Zudem besteht die Gefahr, dass KI-Systeme Verzerrungen aufweisen, die zu diskriminierenden Ergebnissen führen können. Dies kann schwerwiegende Folgen für das Unternehmen und seine Reputation haben. Umso wichtiger ist es, auf die Qualität der Daten zu achten und potenzielle Verzerrungen zu vermeiden.

Ein weiterer zentraler Punkt ist die KI-Transparenz der KI-Systeme. Unternehmen müssen sicherstellen, dass die Funktionsweise der KI, insbesondere bei der Datenverarbeitung personenbezogener Daten, transparent und nachvollziehbar ist. Dies erfordert eine klare Dokumentation der Datenverarbeitungsprozesse und die regelmäßige Durchführung von Datenschutz-Audits, um die Datenintegrität zu gewährleisten.

Praktische Maßnahmen für einen sicheren KI-Einsatz

Um diese Herausforderungen erfolgreich zu meistern, können Sie sich auf bewährte Vorgehensweisen und unsere Expertise verlassen. Mit unseren datenschutzfreundlichen KI-Lösungen integrieren wir das Prinzip „Privacy by Design“ von Anfang an in Ihre Projekte, sodass Datenschutz-Tools und Voreinstellungen nahtlos in die KI-Entwicklung und -Implementierung eingebettet werden.

Eine sorgfältige Dokumentation der Datenverarbeitungstätigkeiten ist ebenfalls essenziell. Wir helfen Ihnen dabei, den Überblick zu behalten und prüfen gemeinsam, ob beispielsweise Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO erforderlich sind. Durch gezielte Schulungen befähigen wir Ihre Mitarbeiter, KI-Systeme sicher und datenschutzkonform zu nutzen.

Was bedeutet das im Detail?

Einheitliche Anforderungen für DSGVO- und KI-VO-Compliance

Um sicherzustellen, dass Ihre KI-Systeme sowohl den Anforderungen der Datenschutz-Grundverordnung (DSGVO) als auch der KI-Verordnung (KI-VO) entsprechen, ist es essenziell, eine Reihe von bewährten Maßnahmen zu ergreifen. Dies umfasst die strikte Einhaltung gesetzlicher Vorschriften, insbesondere zum Schutz personenbezogener Daten gemäß der DSGVO. Darüber hinaus sollten Ihre KI-Systeme ethische Standards wie Fairness, KI-Ethik, Transparenz, Verantwortlichkeit und Inklusivität erfüllen.

Ein wichtiger Bestandteil der Compliance ist die Durchführung einer Datenschutzfolgenabschätzung vor der Implementierung von Hochrisiko-KI-Systemen. Dies hilft dabei, potenzielle Risiken frühzeitig zu identifizieren und zu minimieren. Zusätzlich sollten die für KI-Systeme verwendeten Daten von hoher Qualität sein und frei von Verzerrungen, um faire und nicht-diskriminierende Ergebnisse zu gewährleisten. Transparenz ist hierbei entscheidend: Die Funktionsweise Ihrer KI-Systeme muss nachvollziehbar sein, um den sogenannten Blackbox-Effekt zu vermeiden. Eine umfassende Dokumentation der verwendeten Algorithmen und Daten ist unerlässlich, um die erforderliche Nachvollziehbarkeit sicherzustellen.

Durch die Implementierung dieser Anforderungen können Unternehmen nicht nur rechtliche und finanzielle Risiken minimieren, sondern auch das Vertrauen der Stakeholder in die Datenintegrität, Cybersicherheit, und Vertraulichkeitihrer KI-Systeme stärken. Dies trägt letztlich zu einem verantwortungsvollen und nachhaltigen Einsatz von Künstlicher Intelligenz bei.

KI und Datenschutz: Unsere Empfehlung

Hier kommt der Clou: Viel zu viele Unternehmen greifen noch immer auf die generischen Large Language Models(LLMs) von Anbietern wie OpenAI zurück. Diese Modelle sind zwar leistungsfähig, aber sie sind oft nicht in der Lage, die spezifischen Anforderungen und hohen Technologiestandards, die in vielen Branchen erforderlich sind, vollständig zu erfüllen. Standard-LLMs bieten häufig nur begrenzten Zugang zu proprietären Daten, zeigen Schwächen in der Vermeidung von Halluzinationen und weisen eine mangelnde Anpassungsfähigkeit an branchenspezifische Prozesse auf. Diese Einschränkungen können nicht nur zu ungenauen Ergebnissen führen, sondern auch erhebliche Risiken in Bezug auf Compliance und Datensicherheit bergen.

Weitere Details zu den Grenzen generischer LLMs finden Sie hier beschrieben.

Unsere Lösungen hingegen bieten eine maßgeschneiderte Alternative, die genau diese Lücken schließt. Sie sind in der Lage, den besonderen Anforderungen von Unternehmen gerecht zu werden, indem sie auf spezifisches Wissen und individuelle Daten zugreift, ohne die typischen Schwächen generischer Modelle aufzuweisen. Dadurch wird nicht nur eine höhere Genauigkeit und Verlässlichkeit gewährleistet, sondern auch eine deutlich bessere Integration in bestehende Unternehmensprozesse erreicht. Mit unseren Lösungen können Unternehmen sicherstellen, dass ihre KI-Systeme sowohl technisch als auch regulatorisch auf dem neuesten Stand sind, was sie letztlich wettbewerbsfähiger und besser vorbereitet für die Herausforderungen der Zukunft macht. 

Einen Überblick über den konkreten Vergleich unserer Lösung und beispielsweise ChatGPT finden Sie hier.

Ihr Partner für eine sichere und erfolgreiche KI-Nutzung

Als Ihr Partner unterstützen wir Sie gerne bei der KI-Entwicklung und Implementierung von KI-Lösungen, die sowohl datenschutzkonform als auch effizient sind. Gemeinsam können wir die Chancen, die KI bietet, sicher und erfolgreich nutzen, und dabei rechtliche Herausforderungen meistern.