KI und Datenschutz: Kein Widerspruch, aber Sorgfaltspflicht
KI-Tools verarbeiten Daten – oft personenbezogene Daten von Kunden, Mitarbeitern oder Geschäftspartnern. Das stellt KMU vor datenschutzrechtliche Fragen. Doch Datenschutz und KI-Nutzung schliessen sich nicht aus, sie erfordern nur sorgfältige Planung. Wer die wichtigsten Grundsätze kennt und beachtet, kann KI rechtssicher einsetzen.
Grundsatz: Datensparsamkeit und Zweckbindung
Die DSGVO fordert, dass personenbezogene Daten nur für festgelegte Zwecke verarbeitet werden und nur so viele Daten erhoben werden wie nötig. Für KI bedeutet das:
- Nur die Daten in KI-Systeme einspeisen, die für den Zweck wirklich erforderlich sind
- Den Zweck der KI-Verarbeitung klar definieren und dokumentieren
- Keine personenbezogenen Daten in öffentliche KI-Tools (wie ChatGPT) eingeben
Auftragsverarbeitung: Wer verarbeitet Ihre Daten?
Wenn Sie externe KI-Tools nutzen, die Ihre Daten verarbeiten, sind diese Anbieter meist Auftragsverarbeiter. Das bedeutet:
- Ein Auftragsverarbeitungsvertrag (AVV) ist Pflicht
- Der Anbieter darf Daten nur nach Ihren Weisungen verarbeiten
- Daten müssen ausreichend gesichert sein
Prüfen Sie bei jedem KI-Tool: Bietet der Anbieter einen AVV an? Wo werden die Daten gespeichert (EU-Server bevorzugt)? Wie lange werden Daten aufbewahrt?
Besondere Kategorien sensibler Daten
Besonders strenge Regeln gelten für sensible Daten wie Gesundheitsdaten, Bankdaten, biometrische Daten oder politische Überzeugungen. Diese dürfen grundsätzlich nicht ohne ausdrückliche Einwilligung verarbeitet werden. KI-Tools, die solche Daten verarbeiten (z.B. in der Pflege oder im HR-Bereich), brauchen besondere Schutzmaßnahmen.
Automatisierte Entscheidungen und KI-Recht
Die DSGVO (Art. 22) gibt Personen das Recht, nicht ausschliesslich einer automatisierten Entscheidung unterworfen zu sein, wenn diese erhebliche Auswirkungen auf sie hat. Das betrifft KI im Bereich:
- Kreditvergabe oder Bonitätsprüfung
- Personalentscheidungen (Einstellung, Kündigung)
- Preisdiskriminierung basierend auf Profilmerkmalen
In diesen Bereichen muss immer ein Mensch die finale Entscheidung treffen.
EU AI Act: Was auf KMU zukommt
Der EU AI Act tritt schrittweise in Kraft und klassifiziert KI-Systeme nach Risikostufen. KMU sollten prüfen, ob die von ihnen genutzten KI-Systeme unter die Hochrisiko-Kategorien fallen (z.B. KI in der Personalauswahl, Kreditvergabe, Sicherheitsbereichen). Diese Systeme unterliegen besonderen Anforderungen an Dokumentation, Transparenz und menschliche Aufsicht.
Praktische Massnahmen für KMU
- Verzeichnis der Verarbeitungstätigkeiten um KI-Anwendungen ergänzen
- AVVs mit allen KI-Anbietern prüfen und abschliessen
- Datenschutzhinweise für Kunden aktualisieren, wenn KI eingesetzt wird
- Mitarbeiter schulen: Was darf nicht in externe KI-Tools eingegeben werden?
- Datenschutzbeauftragten einbinden (falls vorhanden)
Fazit
DSGVO-konformer KI-Einsatz ist möglich und kein unüberwindbares Hindernis. KMU, die früh strukturiert vorgehen, sind besser aufgestellt als jene, die beim nächsten Audit unvorbereitet sind. Im Zweifel: Datenschutzexperte einbeziehen.
