Praxisleitfaden: Rechtliche Fragen zur KI im Unternehmenseinsatz

Die „Künstliche Intelligenz“ (KI) ist in unserem Alltag angekommen. Egal ob in Wirtschaft, Wissenschaft oder im gesellschaftlichen Diskurs – wir kommen kaum noch um sie herum. Unternehmen nutzen KI um Effizienzgewinne oder Wettbewerbsvorteile zu erlangen. Auf der anderen Seite gibt es angesichts der technischen Komplexität und der undurchsichtigen Datenverarbeitung aber auch kritische Stimmen.

Die Datenethikkommission der Bundesregierung versteht KI als Sammelbegriff für Technologien und Anwendungen. Diese greifen auf digitale Methoden zurück, die mit potenziell sehr großen und heterogenen Datensätzen arbeiten. Damit ermitteln sie einem komplexen und die menschliche Intelligenz gleichsam nachahmenden maschinellen Verarbeitungsprozess ein Ergebnis.

Schließlich gibt es auch abseits dessen Hürden für die Nutzung Künstlicher Intelligenz. Der Einsatz von KI als Teilgebiet der Informatik ist nicht nur aus technischer Sicht eine Herausforderung. Hinzu kommt eine starke Unsicherheit über den (datenschutz-)rechtlichen Rahmen.

Das Datenschutzrecht stellt bereits ohne die Anwendung von KI eine enorme Herausforderung für jede datenverarbeitende Stelle dar. Spätestens seit der Datenschutz-Grundverordnung (DS-GVO) kann sich kein Unternehmen aufgrund der drakonischen Bußgelder mehr erlauben den Datenschutz nicht ordentlich umzusetzen. Häufig werden beim Einsatz Künstlicher Intelligenz personenbezogene Daten in komplexer Art und Weise verarbeitet. Dies potenziert die vielfältigen Anforderungen des Datenschutzrechts noch weiter.

Die automatisierte Verarbeitung sehr großer und heterogener Datensätze kollidiert mit dem Zweckbindungsgrundsatz und vor allem mit dem Prinzip der Datenminimierung. Aus den Regelungen der DS-GVO und des Bundesdatenschutzgesetzes (BDSG) ergeben sich beim Einsatz von Künstlicher Intelligenz aufgrund der großen Datenmengen, die möglicherweise aus verschiedenen Datenquellen stammen, Fragen nach den Verantwortlichkeiten für die Datenverarbeitungen. Auch die durch Datenschutzerklärung bekannten Transparenzanforderungen der DS-GVO sind bei Anwendungen mit KI schwer zu erfüllen. Datenschutzrechtliche Regelungen sind also für den optimalen Einsatz Künstlicher Intelligenz von enormer Relevanz.

Eine aktuelle Veröffentlichung der Bertelsmann Stiftung möchte („KI in Unternehmen – Ein Praxisleitfaden zu rechtlichen Fragen“) eine handlungsorientierte Unterstützung zu diesem Thema geben. Sie richtet sich an Projektverantwortliche und Praktiker:innen in KMU, die Systeme speziell des Maschinellen Lernens in die betrieblichen Abläufe einfügen wollen. Eine rechtliche Grundorientierung wird als wichtig erachtet, weil viele rechtliche Aspekte möglichst frühzeitig im Projekt adressiert und damit die Weichen richtig gestellt werden müssen.
Darin beschäftigen sich die Autoren nicht nur mit Fragen wie
„Wann darf ich Inhalte für Trainingszwecke verwenden? Wem gehören die Arbeitsergebnisse einer KI?“, sondern auch mit datenschutzrechtlichen Fragestellungen:
„Welche Anforderungen bestehen an das System bei Umgang mit personenbezogenen Daten? Welche Daten darf ich für Trainingszwecke verwenden? Wie vermeide ich Diskriminierungen durch das System?)“.

Abgerundet werden diesen sind im mi Fragen, die sich im Bereich der Haftungsrisiken und arbeitsrechtlichen Aspekte bewegen.

Bertelsmann Stiftung

(Foto: RS-Studios – Stock.adobe.com)




Letztes Update:16.02.21

  • Fingerabdruck im Personalausweis rechtens

    EuGH: Pflicht zur Aufnahme von Fingerabdrücken im Personalausweis ist zulässig

    Der EuGH hat entschieden, dass die Verpflichtung zur Aufnahme von zwei Fingerabdrücken im Personalausweis mit dem Unionsrecht vereinbar ist, obwohl die zugrunde liegende europäische Verordnung auf einer falschen Rechtsgrundlage beruht. Ein deutscher Staatsbürger hatte sich gegen die Weigerung der Stadt Wiesbaden gewandt, ihm einen neuen Personalausweis ohne Fingerabdrücke auszustellen. Der EuGH stellte fest, dass die

    Mehr erfahren
  • Abfrage des Geburtsdatums beim Online-Shopping nicht immer zulässig

    Mit der Rechtmäßigkeit einer datenschutzrechtlichen Anordnung hat sich das OVG Niedersachsen befasst. Im Ergebnis hat das OVG einer Online-Apotheke untersagt, als verpflichtende Angabe im Bestellprozess stets das Geburtsdatum abzufragen. Die niedersächsische Datenschutzbehörde hatte die Apotheke aufgefordert, unabhängig von der Art des bestellten Medikaments das Geburtsdatum und die Anrede des Bestellers nicht mehr abzufragen. Die Apotheke

    Mehr erfahren
  • Datenschutzbeauftragte: Deutsches Modell bleibt

    Die Institution „Datenschutzbeauftragte“ ist so alt wie das deutsche Datenschutzrecht, auf Bundesebene gibt es sie seit 1977. Viele sehen es als einen großen Erfolg, dass die Datenschutz-Grundverordnung (DS-GVO) die bewährte deutsche Regelung übernommen hat und die Bestellung von Datenschutzbeauftragten seit Wirksamwerden der DS-GVO in der Europäischen Union vorsieht. Mit den Datenschutzbeauftragten stehen Unternehmen (und Behörden)

    Mehr erfahren