1. Die Grundlage: Das Daten-Fundament
Bevor Sie eine KI nutzen, die personenbezogene Daten verarbeitet, müssen diese vier Punkte geklärt sein.
Datentyp
Frage: Welche Daten füttert die KI?
Ziel: Risiko einschätzen. Nur notwendige Daten verwenden.
Rechtsgrundlage
Frage: Dürfen wir die Daten für diesen Zweck verwenden?
Ziel: Eine klare Rechtsgrundlage (Art. 6 DSGVO) dokumentieren.
Zweckbindung
Frage: Bleibt die KI beim ursprünglichen Zweck?
Ziel: Datenmissbrauch für neue, nicht kommunizierte Zwecke verhindern.
Auftragsverarbeiter
Frage: Ist der KI-Anbieter extern?
Ziel: Einen Auftragsverarbeitungsvertrag (AVV) abschließen.
2. Die KI-Implementierung: Transparenz und Kontrolle
Die DSGVO fordert Fairness. Besonders bei "Black-Box"-Entscheidungen der KI ist das entscheidend.
Transparenz
Frage: Werden Kunden über den KI-Einsatz informiert?
Ziel: Klare Erklärungen in die Datenschutzerklärung aufnehmen.
Automatisierte Entscheidungen
Frage: Trifft die KI Entscheidungen mit negativen Folgen für Kunden?
Ziel: Eine Option für menschliche Aufsicht sicherstellen.
Auskunftsrecht
Frage: Können wir erklären, wie die KI zu einem Ergebnis kam?
Ziel: Die Logik grob erklären können, um Betroffenenrechten nachzukommen.
Löschkonzept
Frage: Wie löscht die KI Daten auf Verlangen?
Ziel: Nachvollziehbare Löschung aus dem genutzten Datensatz sicherstellen.
3. Risikomanagement: Tests und Audits
Ein höheres Risiko erfordert bessere Dokumentation. Hier sehen Sie, worauf Sie achten müssen.
Sicherheit
Frage: Wie schützen wir die Daten während der Verarbeitung?
Ziel: Starke Verschlüsselung und Pseudonymisierung nutzen.
Bias-Check
Frage: Liefert die KI faire und korrekte Ergebnisse?
Ziel: Diskriminierung vermeiden und Datenrichtigkeit wahren.
Datenschutz-Folgenabschätzung (DSFA)
Frage: Stellt die KI ein hohes Risiko dar (z.B. bei Gesundheitsdaten)?
Ziel: Bei hohem Risiko ist eine DSFA vor der Inbetriebnahme Pflicht.
Risikobewertung: Einfache Tools vs. komplexe Systeme