Da Technologien der Künstlichen Intelligenz (KI) zunehmend in Geschäftsprozesse integriert werden, müssen Unternehmen, die personenbezogene Daten von in Europa ansässigen Personen verarbeiten, besonders darauf achten, wie sich dies auf ihre Datenschutzpflichten auswirkt.
Ein besonders betroffener Bereich ist die Datenschutzerklärung, ein zentrales Dokument, das betroffenen Personen erläutert, wie ihre personenbezogenen Daten verarbeitet werden. Wenn Ihr Unternehmen KI-Systeme einsetzt, die personenbezogene Daten betreffen, ist eine Aktualisierung der Datenschutzerklärung keine Option – sie ist eine gesetzliche Verpflichtung gemäß der Datenschutz-Grundverordnung (DSGVO) der EU.
KI und Verarbeitung personenbezogener Daten
KI-Systeme basieren häufig auf großen Datensätzen, um zu lernen, Vorhersagen zu treffen oder Entscheidungen zu automatisieren. Wenn diese Datensätze personenbezogene Daten enthalten – also Informationen, die eine Person direkt oder indirekt identifizieren können – findet die DSGVO Anwendung. Das gilt für Daten, die zum Trainieren von Modellen, zum Profiling von Nutzern oder zur Automatisierung von Entscheidungen verwendet werden, die Einzelpersonen betreffen.
Was die DSGVO verlangt
Nach den Artikeln 12 bis 14 der DSGVO müssen Verantwortliche klare, präzise und transparente Informationen darüber bereitstellen, wie personenbezogene Daten erhoben und verwendet werden. Diese Verpflichtung wird besonders wichtig beim Einsatz von KI, da die Verarbeitung komplex und wenig transparent sein kann.
Unternehmen müssen offenlegen:
-
Dass KI eingesetzt wird
-
Den Zweck der Verarbeitung durch KI
-
Die betroffenen Datenkategorien
-
Die zugrunde liegende Logik bei automatisierten Entscheidungen, einschließlich Profiling
-
Die Bedeutung und die möglichen Folgen für die betroffenen Personen
Wird ein KI-System für automatisierte Entscheidungen eingesetzt, die rechtliche oder ähnlich erhebliche Auswirkungen auf Personen haben, gelten gemäß Artikel 22 strengere Anforderungen – einschließlich des Rechts auf menschliches Eingreifen und das Recht, die Entscheidung anzufechten.
Aktualisierung der Datenschutzerklärung
Beim Einsatz von KI sollten Unternehmen ihre Datenschutzerklärung überprüfen und anpassen, um die oben genannten Punkte widerzuspiegeln. Vage Formulierungen oder allgemeine Hinweise auf „automatisierte Tools“ sind nicht ausreichend. Die Erklärung muss konkret, verständlich und auf die tatsächlichen Datenverarbeitungsvorgänge zugeschnitten sein.
Außerdem sollten Änderungen klar gegenüber den betroffenen Personen kommuniziert werden – insbesondere bei der Einführung neuer KI-gestützter Funktionen. Dies kann durch direkte Benachrichtigungen oder deutlich sichtbare Hinweise auf der Website erfolgen.