Künstliche Intelligenz ist längst im Alltag von Unternehmen angekommen – oft als scheinbar kleines Update in bereits genutzten Tools. Plötzlich gibt es eine „KI-Unterstützung", einen „Copilot" oder „Smart Suggestions". Genau hier lauern datenschutzrechtliche Risiken.
Verantwortlichkeiten beim Einsatz von KI-Funktionen
Im Unternehmen beginnt datenschutzkonformer KI-Einsatz immer bei der Geschäftsführung. Sie sollte einen KI-Beauftragten oder ein KI-Team benennen. Zentrale Grundlage ist eine KI-Leitlinie.
KI-Leitlinie, -Register und Toolliste
Das KI-Team erstellt und pflegt eine zentrale Toolliste inklusive KI-Register. Zu jedem Tool werden Zweck, Datenarten, Rechtsgrundlagen und KI-Features dokumentiert.
Tool Owner als Frühwarnsystem
Für jedes Tool gibt es eine verantwortliche Person, die Produktankündigungen und Release Notes beobachtet und das KI-Team über neue KI-Funktionen informiert.
Prüfschritte bei neuen KI-Funktionen
Bei neuen KI-Funktionen wird geklärt, ob personenbezogene Daten betroffen sind. Vertragliche Grundlagen, Rechtsgrundlage, Informationspflichten und das Verarbeitungsverzeichnis werden geprüft.
Kriterienkatalog und Datenschutz-Folgenabschätzung
Risiken werden anhand eines Kriterienkatalogs bewertet. Bei mindestens zwei erfüllten Kriterien ist eine DSFA nach Art. 35 DSGVO erforderlich.
KI-Richtlinie, Schulung & Sensibilisierung
Eine unternehmensweite KI-Richtlinie beschreibt, welche KI-Funktionen erlaubt sind und welche Inhalte nicht über KI verarbeitet werden dürfen.
Kennzeichnungspflichten
Die KI-Verordnung verlangt Transparenz- und Kennzeichnungspflichten: KI-generierte Inhalte müssen als solche erkenntlich sein.
