E-Mail Verschlüsselung

+49 261 - 88 44 66  /  kanzlei@mmv-recht.de

Rechtsanwälte Koblenz Bonn Mainz Stuttgart

Datenschutzrechtliche Anforderungen an den Einsatz von KI Anwendungen in Unternehmen

Sie setzen bereits KI in Ihrem Unternehmen ein oder planen, entsprechende Anwendungen in Zukunft einzusetzen?

Welche datenschutzrechtlichen Anforderungen an den Einsatz von KI Anwendungen in Unternehmen eingehalten werden müssen, wird im Folgenden überblicksartig dargestellt:

  • Keine Datenverarbeitung ohne Rechtsgrundlage: Aufgrund des präventiven Verbots mit Erlaubnisvorbehalts ist eine Verarbeitung von personenbezogenen Daten grundsätzlich verboten. Sie ist nur dann erlaubt, wenn eine Rechtsgrundlage oder Einwilligung des Betroffenen vorhanden ist. Eine Prüfung der Rechtsgrundlage kann aber erst dann erfolgen, wenn seitens des Unternehmens eine Festlegung der Einsatzfelder der KI Anwendung vorgenommen wurde, z.B.: Zu welchem Zweck soll eine Datenverarbeitung erfolgen? Wessen Daten sind betroffen: Beschäftigte, Bewerber, Kunden usw.? Liegt eine generelle Unzulässigkeit vor, z.B. in den Bereichen Social Scoring, biometrische Echtzeitüberwachung oder eine Auswertung von Bewerbungen mit Versendung von Einladungen oder Ablehnungen? Im Ergebnis wird der Fokus bei der Rechtsgrundlage insbesondere auf einer Abwägung bzw. Erforderlichkeitsprüfung liegen, welche zu dokumentieren ist.
  • Brauchen Sie einen Auftragsverarbeitungsvertrag gemäß Art. 28 DS-GVO mit dem KI Anbieter?
  • Unternehmen müssen ihre Transparenzpflichten über entsprechende Datenschutzhinweise gegenüber den Betroffenen erfüllen, z.B. Beschäftigte, Bewerber, Kunden usw.
  • Interne Handlungsanweisungen sollten gegenüber den Mitarbeitern hinsichtlich der Verwendung von KI implementiert werden, ggf., je nach Einsatzzweck, ist auch eine Betriebsvereinbarung erforderlich. Vorherige Mitarbeiterschulungen zum Einsatz von KI Anwendungen sind zu empfehlen.
  • Ggf., je nach Einsatzzweck, kann eine Folgenabschätzung gemäß Art. 35 DS-GVO erforderlich werden.
  • Es sollten keine Eingabedaten zu Trainingszwecken verarbeitet werden dürfen und keine Eingabe-Historie dokumentiert werden.
  • Besonders sensible Daten sollten grundsätzlich nicht im Rahmen der KI Anwendung verarbeitet werden.

Eine datenschutzrechtliche Würdigung ist vor dem Einsatz von KI Anwendungen daher dringend zu empfehlen. Kommen Sie gerne auf uns zu, wir beraten Sie gerne. 

Rechtsanwalt Dr. Thomas Kehr