SiDIT Logo
    Zurück zum Blog
    Datenschutz24. November 2023

    Generative KI datenschutzkonform nutzen: Eine Checkliste für Unternehmen

    Generative KI datenschutzkonform nutzen: Eine Checkliste für Unternehmen

    Generative KI in der datenschutzrechtlichen Praxis

    Die Begriffe Künstliche Intelligenz (KI), Large Language Models (LLM) und ChatGPT sind aus dem heutigen Diskurs nicht mehr wegzudenken. Täglich erreichen uns neue Meldungen über rasante Entwicklungen, und kein Unternehmen möchte den Anschluss verpassen. Doch diese schnelle Entwicklung birgt auch die Gefahr, dass KI-Tools unkontrolliert genutzt werden, was zu erheblichen Schäden führen kann. Dies reicht von der Verletzung von Geschäfts- und Betriebsgeheimnissen über Urheberrechtsfragen bis hin zu Verstößen gegen datenschutzrechtliche Vorschriften. So viel Automatisierung und Vereinfachung die KI auch verspricht, so wenig kann sie am Ende den entstandenen Schaden kompensieren.

    Um Ihnen den datenschutzkonformen Einsatz von generativer KI, wie beispielsweise ChatGPT, zu erleichtern, stellen wir Ihnen eine hilfreiche Checkliste vor. Diese wurde vom Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit herausgegeben und ist unter folgendem Link abrufbar: Checkliste LLM Chatbots.

    Wichtige Punkte für den datenschutzkonformen Einsatz von generativer KI

    1. Unternehmensregelungen

    Bevor Sie oder Ihre Mitarbeitenden generative KI-Tools nutzen, sollten Sie klare und dokumentierte Weisungen formulieren. Diese sollten regeln, ob und welche Tools eingesetzt werden dürfen und unter welchen Voraussetzungen. Andernfalls besteht die Gefahr, dass Beschäftigte eigenständig Wege und Mittel für den Einsatz suchen, während Sie als Unternehmen dennoch dafür haften.

    2. Unternehmensaccount

    Entscheiden Sie sich für den Einsatz von KI-Tools, ist die Einrichtung eines Unternehmensaccounts ratsam, über den Ihre Mitarbeitenden Zugang erhalten. Sollten bei der Registrierung eine E-Mail-Adresse und/oder eine Mobilfunknummer erforderlich sein, nutzen Sie hierfür eine eigens eingerichtete E-Mail-Adresse und ein dienstliches Telefon.

    3. Sichere Authentifizierung

    Wie bei jedem anderen Tool auch, sollten Sie auf starke Passwörter und zusätzliche Authentifizierungsfaktoren achten. Je nachdem, wie und wofür Sie die KI einsetzen und welche Informationen und Daten Sie ihr zuführen, besteht ein hohes Gefährdungspotenzial für Ihr Unternehmen, sollte es Angreifern gelingen, unberechtigt Zugriff zu erlangen.

    4. Personenbezogene und personenbeziehbare Daten

    Trainieren Sie die KI niemals mit personenbezogenen Daten. Wenn Sie Dokumente und Unterlagen zum Anlernen einspeisen, stellen Sie sicher, dass zuvor jeglicher Personenbezug entfernt wurde. Beachten Sie dabei, dass es nicht ausreicht, lediglich Namen und Adressen zu entfernen, da sich häufig aus dem Kontext der Unterlagen und Informationen Rückschlüsse auf Personen ziehen lassen.

    Fragen Sie die KI zudem nicht nach personenbezogenen Daten. Auch wenn Sie selbst keine personenbezogenen Daten eingespeist haben, könnte durch frühere Eingaben oder Informationen aus dem Internet ein Personenbezug durch die KI hergestellt werden.

    5. Opt-out des KI-Trainings

    Grundsätzlich verwenden die Hersteller von KI-Modellen die Eingaben der Nutzer zu weiteren Trainingszwecken ihrer KI. In diesem Fall könnten auch andere Unternehmen und Personen Zugriff auf diese Informationen erhalten oder diese abfragen. Prüfen Sie daher, ob es möglich ist, der Verwendung zu Trainingszwecken zu widersprechen. Gegebenenfalls ist hierfür ein anderes Lizenzmodell zu buchen.

    6. KI in eigener Umgebung

    Viele Anbieter, wie beispielsweise ChatGPT, bieten die Möglichkeit, ihre KI in einer eigenen, geschützten Umgebung zu verwenden. Auf diese Weise können Sie die KI tatsächlich für eigene Zwecke trainieren und schließen andere Unternehmen und Betroffene von diesen Daten aus.

    7. Ergebnisse auf Richtigkeit und Diskriminierung prüfen

    Die von der KI generierten Ergebnisse sollten stets auf Richtigkeit und potenzielle Diskriminierung geprüft werden. Es kommt immer wieder vor, dass Datenquellen nicht korrekt oder diskriminierend waren, oder dass die KI selbst „kreativ“ wird.

    8. Keine automatisierte Entscheidungsfindung

    Es ist wichtig, dass Sie über die KI keine automatisierten Entscheidungen treffen lassen. Eine manuelle Überprüfung ist hier immer sinnvoll und notwendig.

    Fazit

    Der Einsatz von generativer KI ist durchaus möglich und sinnvoll, sollte aber gut durchdacht und geplant sein. Die Regelungen für den Einsatz einer solchen KI sollten klar kommuniziert und auch überwacht werden. Darüber hinaus unterstützen wir Sie als Datenschutzbeauftragte gerne bei der Erstellung der in jedem Fall notwendigen Datenschutz-Folgenabschätzung (DSFA), sowie der Erstellung von betrieblichen Anweisungen im Umgang mit der KI und der Sensibilisierung der Beschäftigten.

    Bei Fragen oder Unklarheiten stehen wir Ihnen gerne zur Verfügung! Wir sind bundesweit tätig und unterstützen Sie gerne: info@sidit.de oder 0931-780 877-0.

    Haben Sie Fragen zu diesem Thema?

    Jetzt Kontakt aufnehmen

    Verwandte Beiträge

    Datenschutzpostfach: 15.000 € Bußgeld
    Datenschutz21. Juli 2025

    Datenschutzpostfach: 15.000 € Bußgeld

    Wegen einer nicht erreichbaren Datenschutz-E-Mail-Adresse verhängte ein Gericht ein Bußgeld von 15.000 €. Das Datenschutzpostfach ist keine Formalie.

    Weiterlesen
    Datenschutz: Kontrolle der Sub-Sub-Sub-Unternehmer in der Auftragsverarbeitung
    Datenschutz13. Nov. 2024

    Datenschutz: Kontrolle der Sub-Sub-Sub-Unternehmer in der Auftragsverarbeitung

    Ein Urteil des OLG Dresden und eine Stellungnahme des EDSA betonen die Pflicht zur lückenlosen Kontrolle der gesamten Auftragsverarbeitungskette. Erfahren Sie, wie Unternehmen Haftungsrisiken minimieren und DSGVO-Anforderungen erfüllen.

    Weiterlesen
    Online-Meetings aufzeichnen: KI, Datenschutz und § 201 StGB
    Datenschutz15. Okt. 2024

    Online-Meetings aufzeichnen: KI, Datenschutz und § 201 StGB

    Die Aufzeichnung von Online-Meetings und der Einsatz von KI für Transkripte werfen datenschutzrechtliche Fragen auf. Erfahren Sie, was § 201 StGB bedeutet und wann Einwilligungen nötig sind.

    Weiterlesen