Auch in Bereichen wie der (Berufs-)Beratung, im Personal Coachung und in der Jugendarbeit oder Integrationshilfe bieten KI-gestütze Tools immer bessere Unterstützung, die die Arbeit deutlich effizienter gestalten lässt. Doch gerade in diesen Kontexten sind Mitarbeitende oftmals mit einer Vielzahl hoch sensibler personenbezogener Daten von Klienten konfrontiert. Dies wirft die Frage nach der datenschutzrechtlichen Zulässigkeit dieser Werkzeuge auf.

Persönliche Dokumente wie Lebensläufe enthalten eine Vielzahl personenbezogener Daten wie Name, Adresse, Bildungsweg, beruflicher Werdegang und möglicherweise sensible Daten wie ethnische Herkunft oder Gesundheitsinformationen und sind dem entsprechend zu schützen.

Rechtsgrundlage

Wie immer brauchen wir bei einer Verarbeitung personenbezogener Daten gemäß Art. 6 DSGVO ist für die Verarbeitung personenbezogener Daten eine Rechtsgrundlage erforderlich. Die Einwilligung der betroffenen Personen (Art. 6 Abs. 1 lit. a DSGVO) ist in vielen Fälle eine geeignete Rechtsgrundlage. Beim Umgang mit besonderen Kategorien personenbezogener Daten gemäß Art. 9 DSGVO (rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung) wäre eine ausdrückliche, informierte Einwilligung erforderlich. Die Klienten sollten verstehen, wie ihre Daten verwendet werden, wer Zugriff darauf hat und welche Risiken bestehen.

Die Rechtsgrundlage des berechtigten Interesses gem. Art. 6 Abs. 1 lit. f DSGVO scheidet im Bereich Beratung und Coaching in der Regel aus, da in der Abwägung die schutzwürdigen Interessen der betroffenen Person regelmäßig die Interessen des Dienstleisters überwiegen dürften.

Auftragsverarbeitung

Sofern Dienstleister im Rahmen ihrer Tätigkeit bestimmte Tools oder Dienste einsetzen, sind deren Anbieter im datenschutzrechtlichen Sinn als Unterauftragnehmer einzuordnen. Dies macht eine Vereinbarung zur Auftragsverarbeitung gemäß Art. 28 DSGVO mit diesen Anbietern erforderlich. Sofern der Anbieter keine solchen Auftragsverarbeitungsvertrag schließen kann oder will, ist die Nutzung des jeweiligen Tools datenschutzrechtlich unzulässig und kann im Zweifel mit hohen Bußgeldern belegt werden.

Etwas aufwändiger ist die Situation, wenn das KI-Tool Daten außerhalb des Europäischen Wirtschaftsraums (EWR) und somit in einem Drittstaat im Sinne der DSGVO verarbeitet, sind die rechtlichen Rahmenbedingungen des Drittlandes zu bewerten, um sicherzustellen, dass ein angemessenes Datenschutzniveau besteht. Grundsätzlich müssen gemäß Art. 46 DSGVO geeignete Garantien vorgesehen sein und den betroffenen Personen müssen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen. Ein Angemessenheitsbeschluss wie beispielsweise das EU-US Data Privacy Framework für zertifizierte Unternehmen in den USA, dem das jeweilige Unternehmen unterfällt, kann eine solche Garantie darstellen. Ein klassischer Auftragsverarbeitungsvertrag allein würde dieser Anforderung nicht genügen.

Transparenz und Informationpflicht

Unternehmen sind verpflichtet, Ihren Klienten eine klare und umfassende Datenschutzerklärung zur Verfügung zu stellen, die den Zweck der Datenverarbeitung, die Art der erhobenen Daten, deren Verwendung und eventuelle Empfänger erläutert. Die Nutzung von KI-basieren Tools muss ebenso transparent gemacht werden wie die Art der KI-gestützten Datenverarbeitung, mögliche daraus erwachsende Risiken für die Rechte und Freiheiten der betroffenen Personen.

Datenminimierung und Zweckbindung

Grundsätzlich, aber insbesondere bei der Nutzung von KI-basierten, lernenden Systemen sollten Dateneingaben auf das unbedingt Notwendige beschränkt werden.

Technische und organisatorische Maßnahmen

Bei der Nutzung jeglicher datenverarbeitender Systeme sind angemessene Sicherheitsmaßnahmen zu implementieren, die personenbezogene Daten vor unbefugtem Zugriff, Veränderung oder Verlust schützen. Hierzu gehört beispielsweise die Nutzung technischer Maßnahmen wie der Einsatz von 2-Faktor-Authentifizierungen oder organisatorische Maßnahmen wie eine möglichst restriktive Berechtigungsvergabe.

Rechte der Betroffenen

Die betroffenen Personen haben auch hier eine Vielzahl von Rechten gegenüber Ihnen als verantwortlicher Stelle. bitte stellen Sie sicher, dass Sie in der Lage sind, Klienten eine umfassende Auskunft zu erteilen, welche Daten über sie auf welche Art verarbeitet worden sind, wer die Empfänger sind, usw. Ermöglichen Sie Klienten, die Löschung ihrer Daten zu verlangen, wenn diese nicht mehr erforderlich sind. Führen Sie hierzu geeignete Aufzeichnungen über die Verarbeitungstätigkeiten gemäß Art. 30 DSGVO.

Risikomanagement

Sofern voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen besteht, muss eine Datenschutzfolgenabschätzung gem. Art. 35 DSGVO durchgeführt werden. Gem. WP 248 der Art. 29 Gruppe betrifft dies unter anderem die „Innovative Nutzung oder Anwendung neuer technologischer oder organisatorischer Lösungen“. Die Datenschutzkonferenz (DSK) hat eine Blacklist von Verarbeitungen veröffentlicht, für die zwingend eine DSFA durchzuführen ist. Auch die Datenschutzbeauftragten der Bundesländer halten jeweils eine derartige Blacklist vor, die jedoch i.d.R. weitgehend mit der Liste der DSK übereinstimmt.

Der Einsatz von KI-Tools dürfte daher in den meisten Fällen eine Datenschutzfolgenabschätzung erfordern.

Schulung und Sensibilisierung

Schließlich ist es erforderlich, dass die Mitarbeitenden, welche KI-Tools nutzen, für mögliche Risiken und Rahmenbedingungen sensibilisiert werden. Der KI-Einsatz sollte einerseits situationsbezogen und andererseits im Rahmen der regelmäßig erfolgenden Datenschutzunterweisungen thematisiert werden.

Sprechen wir miteinander!

Haben Sie Fragen zu Digitalisierung, Cybersicherheit oder Compliance für Ihr Unternehmen? Sind Sie Projektverantwortlicher, betrieblicher Datenschutzbeauftragter oder Compliancebeauftragter und möchten mit einem Sparrings-Partner auf Augenhöhe diskutieren? Und das Ganze am Besten ohne Panikmache und mit einem gesunden Schuss Pragmatismus? Dann sollten wir miteinander sprechen.

Der Autor

Falk Schmidt ist Projektberater für digitale Geschäftsprozesse, Cyber Security sowie zertifizierter Datenschutzbeauftragter und Datenschutz-Auditor Als Lehrbeauftragter an der Technischen Hochschule Mittelhessen (THM) vermittelt er Datenschutz-Themen an Studierende.

Die hier erscheinenden Artikel illustrieren seine private und/oder berufliche Meinung, stellen jedoch keine Rechtsberatung im Sinne des RDG dar.