Datenschutz ist für viele mittelständische Unternehmen eine der größten Hürden auf dem Weg zur Digitalisierung. Die rechtlichen Anforderungen, insbesondere durch die DSGVO, sorgen häufig für Unsicherheit und bremsen die Nutzung innovativer Technologien aus. Laut einer Bitkom-Umfrage sehen 52 Prozent der Unternehmen im Datenschutz ein zentrales Hindernis für den Einsatz von Künstlicher Intelligenz. Dabei bietet KI enorme Potenziale: Von effizienteren Prozessen über Kostensenkungen bis hin zu neuen Geschäftsmodellen. Doch wie können Unternehmen diese Möglichkeiten ausschöpfen, ohne Datenschutzrisiken einzugehen? Ein klarer Blick auf die Herausforderungen und Lösungsansätze ist gefragt.
In diesem Kontext kann die jüngste Stellungnahme des Europäischen Datenschutzausschusses (EDSA) zu KI und Datenschutz für weitere Verunsicherung sorgen. Gleichzeitig bietet sie aber auch eine klare Orientierung: Welche Regeln gelten für den Einsatz von KI? Wie können personenbezogene Daten sicher verarbeitet werden? Und was passiert, wenn die Anforderungen nicht eingehalten werden?
In diesem Artikel geben wir eine kurze Einordnung der wichtigsten Punkte der EDSA-Stellungnahme und zeigen Ihnen, wie unsere Angebote Sie bei der Umsetzung unterstützen können.
Tipp: In unserer Übersicht zum AI Act erfahren Sie, welche Regeln für den Einsatz von KI gelten und was Betreiber sowie anwendende Unternehmen jetzt beachten müssen.
Was ist neu? Die wichtigsten Punkte der EDSA-Stellungnahme zur Nutzung von KI
Der Europäische Datenschutzausschuss hat in seiner Stellungnahme drei zentrale Themen hervorgehoben, die den Einsatz von KI betreffen:
- Anonymität von Daten
Daten, die zur Entwicklung oder Anwendung von KI genutzt werden, müssen so anonymisiert sein, dass keine Rückschlüsse auf Einzelpersonen möglich sind. Das klingt simpel, ist aber technisch wie organisatorisch eine große Herausforderung. Der Europäische Datenschutzausschuss (EDSA) stellt klar: Pseudonymisierte oder verschlüsselte Daten sind nicht automatisch anonymisiert, da eine Re-Identifikation nicht vollständig ausgeschlossen ist. Unternehmen müssen sicherstellen, dass sie mit entsprechenden Maßnahmen – und einer detaillierten Dokumentation – nachweisen können, dass keine personenbezogenen Daten in ihren KI-Modellen verarbeitet werden. Andernfalls gelten die Daten weiterhin als personenbezogen und unterliegen der Datenschutz-Grundverordnung (DSGVO). Das bedeutet für viele: Anonymisierung erfordert nicht nur Aufwand, sondern auch eine saubere Abstimmung mit den Anforderungen der Aufsichtsbehörden.
- „Berechtigtes Interesse“ als Rechtsgrundlage
Unternehmen können sich bei der Verarbeitung personenbezogener Daten auf das „berechtigte Interesse“ berufen. Allerdings gelten hier strenge Vorgaben: Es muss ein dreistufiger Test durchgeführt werden, der die Legitimität des Zwecks, die Notwendigkeit der Verarbeitung und die Abwägung der Interessen aller Beteiligten berücksichtigt. Wichtig: Der Test wird von den Unternehmen selbst durchgeführt, nicht von den Behörden. Unternehmen tragen somit die Verantwortung, die passende Grundlage für ihre Verarbeitungstätigkeiten auszuwählen. Die Anwendung des dreistufigen Tests erfordert eine umfassende Dokumentation, die detailliert darlegt, warum eine Verarbeitung notwendig ist und wie Interessen abgewogen wurden. - Folgen unrechtmäßiger Datenverarbeitung
Ein Verstoß gegen Datenschutzregeln kann schwerwiegende Folgen haben – bis hin zur Untersagung des Einsatzes eines KI-Modells. Der EDSA betont, dass nationale Datenschutzbehörden weitreichende Befugnisse haben, um Verstöße zu bewerten. Regelmäßige Audits und die Verpflichtung, Datenverarbeitungsaktivitäten offenzulegen, sind zentrale Instrumente. Besondere Nachsicht könnte gewährt werden, wenn der Betreiber eines KI-Modells alles Erforderliche getan hat, um die datenschutzkonforme Entwicklung sicherzustellen, selbst wenn das Modell von einem Dritten erstellt wurde. Entscheidend bleibt eine lückenlose Dokumentation, insbesondere bei hochriskanten Anwendungen.
Tipp: In unserem Webimpuls „Der EU AI Act: Auswirkungen und erste Schritte für den Mittelstand“ erklären wir, was die neue Verordnung für Anwender:innen und Entwickler:innen von KI bedeutet, welche Anforderungen auf mittelständische Unternehmen zukommen und wie Sie die ersten Schritte zur Umsetzung gehen können. Melden Sie sich jetzt an!
Was bedeutet das für kleine und mittlere Unternehmen?
Ja, die neuen Vorgaben des EDSA sind anspruchsvoll – besonders für mittelständische Unternehmen. Doch sie bieten auch eine große Chance: Wer Datenschutz nicht als Pflicht, sondern als Teil seiner Unternehmensstrategie versteht, kann das Vertrauen von Kund:innen und Partnern stärken.
Für Unternehmen, die oft keine großen Budgets oder eigene Datenschutzabteilungen haben, stellen diese Vorgaben dennoch eine echte Herausforderung dar. Doch mit einer klaren Strategie, durchdachter Auswahl der KI-Anwendung und gezielter Vorbereitung der Implementierung können auch kleine und mittlere Unternehmen Datenschutzkonformität erreichen und gleichzeitig von den Vorteilen der KI profitieren.
Unsere Kolleg:innen vom Mittelstand-Digital Zentrum Chemnitz haben dafür eine umfangreiche Checkliste zur datenschutzkonformen Auswahl und Implementierung von KI für Sie zusammengestellt. Diese unterstützt Sie dabei, alle wichtigen Aspekte im Blick zu behalten und den Einsatz von KI erfolgreich zu gestalten.
Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren
—
Quellen:
https://www.edpb.europa.eu/system/files/2024-10/edpb_summary_202401_legitimateinterest_en.pdf
—
Text: Alexander Krug
