LEXR Legal BlogBlog / Datenschutz

Umgang mit KI-Tools und Datenschutz: Ein Leitfaden für gesetzeskonforme Unternehmenspraktiken 

By Sebastian Schneider, Francisco Arga e Lima

Last Updated 08/09/2023

KI-Tools werden sich mit grosser Wahrscheinlichkeit durchsetzen. Aus diesem Grund ist es notwendig, sich Gedanken darüber zu machen, wie KI-Tools – insbesondere Large Language Models (“LLMs”) wie ChatGPT – in einer Weise eingesetzt werden können, die mit Datenschutzgesetzen wie der EU-Datenschutz-Grundverordnung (“DSGVO”) und dem Schweizer Bundesgesetz über den Datenschutz (“DSG”) vereinbar ist. Ziel dieses Blogbeitrags ist es, praktische Einblicke in die Nutzung von KI zu geben und gleichzeitig die Privatsphäre der Nutzer und Ihres Unternehmens zu schützen – sowohl bei der internen Nutzung von KI-Tools als auch bei deren Integration in die Website oder App.

Interne Nutzung von KI-Tools 

Erstens sollten vertrauliche und sensible Informationen mit Vorsicht behandelt werden, wenn Sie KI-Tools innerhalb Ihrer internen Abläufe einsetzen. Datenschutzgrundsätze wie Rechtmässigkeit, Fairness und Transparenz, Zweckbindung und Vertraulichkeit gelten auch für personenbezogene Daten, die ihr mit (externen) KI-Tools verarbeitet. Daher ist es für Unternehmen ratsam, Folgendes zu beachten:

  • Trefft geeignete Sicherheitsvorkehrungen, um personenbezogene Daten vor
    unbefugtem Zugriff oder unbefugter Offenlegung zu schützen. Dazu gehören beispielsweise
    interne Zugriffsbeschränkungen nach dem Need-to-know-Prinzip sowie technische
    Sicherheitsmassnahmen. Prüft, ob es Verträge (z. B. Datenverarbeitungsverträge) mit
    dem Anbieter des KI-Tools gibt, die eine gesetzeskonforme Verarbeitung sicherstellen.
  • Insbesondere sensible Daten wie Finanzdaten, Geschäftsgeheimnisse und medizinische
    Daten sollten sorgfältig bewertet und anonymisiert werden, bevor sie mit KI-Tools geteilt
    werden.

Ebenso sollten Unternehmen sorgfältig abwägen, welche Auswirkungen es hat, wenn sie KI-Dienstleistern wie OpenAI für ChatGPT erlauben, ihre Inhalte für das Modelltraining zu verwenden. Abhängig von der Art der Inhalte und möglichen Datenschutzbedenken können Sie sich gegen die Nutzung entscheiden, um sensible Informationen zu schützen und die Einhaltung der Datenschutzbestimmungen zu gewährleisten. Es ist wichtig, die Bedingungen für die Nutzung von Inhalten, die von KI-Dienstleistern bereitgestellt werden, zu prüfen und zu verstehen. Dadurch wird sichergestellt, dass die Bedingungen für die Nutzung den Datenschutzbestimmungen und den Datenschutzrichtlinien des eigenen Unternehmens entsprechen. 

Zweitens ist zu bedenken, dass die Ergebnisse von LLM nicht immer zutreffen und fehleranfällig sein können. Aus diesem Grund sollten Unternehmen, bevor sie sich auf die gelieferten Ergebnisse verlassen, Validierungsmechanismen einführen, um sicherzustellen, dass die Ergebnisse korrekt sind und – falls dies nicht der Fall ist – die Ergebnisse entsprechend korrigieren. Dies kann Folgendes umfassen:

  • Querverweise von KI-generierten Informationen mit vertrauenswürdigen Quellen; und
  • Überprüfung des Outputs durch einen Menschen, um seine Genauigkeit zu verifizieren.  

Die Überprüfung des Wahrheitsgehalts der KI-Ergebnisse fördert eine zuverlässige Entscheidungsfindung und verhindert mögliche Fehler oder Fehlinformationen. Darüber hinaus ist es für die Einhaltung der Datenschutzverpflichtungen erforderlich, personenbezogene Daten aktuell und korrekt zu halten. Betroffene Personen haben das Recht, unrichtige personenbezogene Daten, die sie betreffen, berichtigen zu lassen. Schliesslich ist eine angemessene Schulung von Nutzern (z.B Mitarbeitern) unerlässlich, um eine verantwortungsvolle und effektive Nutzung zu fördern. Unternehmen sollten: 

  • Die Aufklärung der Nutzer über den angemessenen Einsatz von KI-Tools verbessert ihr Verständnis
    und fördert verantwortungsbewusste Entscheidungen. 
  • Eine Kultur des verantwortungsvollen Umgangs mit KI fördern, sodass die Risiken des
    Missbrauchs oder der Fehlinterpretation von KI-generierten Informationen verringert werden.

Die Aufklärung der Nutzer über den angemessenen Einsatz von KI-Tools verbessert ihr Verständnis und fördert verantwortungsbewusste Entscheidungen. 

Externe Nutzung von AI-Tools 

Die Integration von KI-Tools wie ChatGPT oder Chatbots in Websites und mobile Apps kann das Nutzererlebnis verbessern und nützliche Funktionen bieten.

Wenn ihr solche KI-Tools in eure Dienste integriert, müsst ihr euch der möglichen Datenverarbeitung durch Dritte bewusst sein und eine klare Verteilung der Rollen und Verantwortlichkeiten festlegen.

Bei der Nutzung von KI-Tools eines Anbieters wie OpenAI ist es beispielsweise wichtig, die vom Anbieter durchgeführten Datenverarbeitungsaktivitäten zu überprüfen und zu verstehen sowie eine klare Beziehung zwischen Kontrolleur und Kontrolleur bzw. Kontrolleur und Verarbeiter herstellen. Unternehmen sollten daher:

  • Die Datenverarbeitungspraktiken der Anbieten von KI-Tools überprüfen und die datenschutzfreundlichste KI-Tools auswählen;
  • Datenschutzvereinbarungen mit Anbieten von KI-Tools abschliessen und die Einhaltung einschlägiger Datenschutzbestimmungen sicherstellen;
  • Bei Datenübermittlungen in Drittländer – namentlich in die USA – sicherstellen, dass angemessene Garantien vorhanden sind. Wenn die EU-Kommission oder der Schweizer Bundesrat keine Angemessenheitsbeschlüsse für diese Länder erlassen haben, solltet ihr Standardvertragsklauseln in eure Datenverarbeitungsvereinbarung aufnehmen und andere Massnahmen ergreifen, die ihr für angemessen haltet;
  • Eine klare Rollenverteilung zwischen dem Unternehmen und dem KI-Dienstleister festlegen. Aus dieser soll hervorgehen, wer für die Datenverarbeitung verantwortlich ist und der der Datenverarbeiter ist;
  • Zusätzliche technische und organisatorische Massnahmen wie z.B Pseudonymisierung oder Anonymisierung und interne Richtlinien anwenden/anordnen.

In diesem Zusammenhang sollten Unternehmen auch angemessene Datenaufbewahrungsrichtlinien für KI-gestützte Chatbot-Interaktionen festlegen. Die Aufbewahrungsfristen sollten sich an den Zwecken der Datenverarbeitung orientieren und sicherstellen, dass die Daten sicher gelöscht oder anonymisiert werden, sobald sie nicht mehr benötigt werden. Anderseits ist für den externen Einsatz von KI-Tools auch Transparenz von Relevanz. Aus diesem Grund müsst ihr beim Einsatz derartiger Tools Folgendes beachten:

  • Informiert Nutzer und Interessensgruppen in klarer Weise über die Verwendung von KI-Tools und deren Zweck, einschliesslich die Auswirkungen auf die Datenverarbeitung und den Schutz ihrer Privatsphäre, insbesondere mit Blick auf die Einbeziehung von Dritten, die Übermittlung in Drittländer und die Datensicherheit;
  • Stellt sicher, dass die Datenschutzrichtlinien leicht zugänglich und in einfacher Sprache verfasst sind und den Nutzern klare Anweisungen zur Ausübung ihrer Rechte geben;
  • Informiert und gewährt zusätzliche Rechte, wenn ihr KI-Tools verwendet, welche eine automatisierte Entscheidungen treffen, die erhebliche Auswirkungen auf die betroffene Person haben, z.B. in eurem Bewerbungsverfahren oder wenn ihr den Zugang zu euren Diensten ausschliesslich auf der Grundlage einer KI-Entscheidung gewährt.

Fazit

Zusammenfassend lässt sich sagen, dass ihr die Leistungsfähigkeit von KI-Tools und LLMs wie ChatGPT nutzen und gleichzeitig Datenschutzgesetze wie die DSGVO und das DSG einhalten könnt. 

Durch die Einhaltung der Leitlinien für bewährte Datenschutzpraktiken kann ein Gleichgewicht zwischen KI-Innovation und dem Schutz der Privatsphäre hergestellt werden. In diesem Sinne sollten Unternehmen, die KI-Tools in ihre Produkte und Prozesse integrieren möchten, die folgenden Praktiken beachten:

  • Überprüft und aktualisiert die internen Richtlinien und Verfahren: Stellt sicher, dass sie den Datenschutzbestimmungen entsprechen und die besonderen Aspekte der Nutzung von KI-Tools wie ChatGPT berücksichtigen. Erstellt Richtlinien für den Umgang mit vertraulichen/sensiblen Informationen, für die Überprüfung der Richtigkeit der Ergebnisse und für die Schulung der Mitarbeiter im richtigen Umgang mit KI-Tools. 
  • Implementiert wirksame Datenschutzmassnahmen: Verwendet Techniken zur Datenminimierung, wie z.B nur die Erfassung der notwendigen Daten, deren Pseudonymisierung und Anonymisierung um die Risken für den Datenschutz zu verringern. Legt klare Richtlinien für die Datenaufbewahrung fest und löscht oder anonymisiert Daten, wenn sie nicht mehr benötigt werden. 
  • Transparente Kommunikation mit Nutzern und Beteiligten: Aktualisiert die Datenschutzrichtlinien, um die Verwendung von KI-Tools und die Einbeziehung Dritter klar zu regeln. Stellt sicher, dass die Datenschutzrichtlinien leicht zugänglich und in einfacher Sprache verfasst sind und den Nutzern Anweisungen zur Ausübung ihrer Rechte geben. 
  • Haltet euch über die Entwicklung von Vorschriften und guten Praktiken auf dem Laufenden: Überwacht die Aktualisierungen der Datenschutzgesetze und anderer relevanter Vorschriften, Richtlinien und bewährter Branchenpraktiken im Zusammenhang mit dem Einsatz von KI-Tools kontinuierlich.

Wenn ihr Fragen habt, zögert nicht, mit unseren Datenschutzexperten zu sprechen!

Kostenloses Gespräch buchen

Verwandt

Let’s Go!

Jetzt unverbindliches und kostenloses Erstgespräch buchen und erfahren, wie wir am besten bei der Erreichung eurer Unternehmensziele unterstützen können.

Oder alternativ eine E-mail an uns schreiben unter [email protected].

Kostenloses Gespräch buchen