Zur Übersicht Spezialthemen

Was gilt beim Einsatz von KI und ChatGPT im Unternehmen?

Art. 5 DSGVOArt. 6 DSGVOArt. 22 DSGVOArt. 25 DSGVOArt. 35 DSGVOParagraph 26 BDSG

Die DSK hat im Mai 2024 eine Orientierungshilfe Künstliche Intelligenz und Datenschutz veröffentlicht, die den datenschutzkonformen Einsatz von KI-Anwendungen regelt.

Zweckfestlegung vor Einsatz: Bevor eine KI-Anwendung eingesetzt wird, muss der Zweck der Datenverarbeitung eindeutig festgelegt werden (Art. 5 Abs. 1 lit. b DSGVO). Es ist zu prüfen, ob der Einsatz auch ohne personenbezogene Daten möglich ist.

Rechtsgrundlage: Für jeden Verarbeitungsschritt ist eine Rechtsgrundlage nach Art. 6 DSGVO erforderlich. Bei der Eingabe von Kundendaten in ChatGPT oder ähnliche Systeme erfolgt eine Datenübermittlung an den Anbieter, die einer eigenen Rechtsgrundlage bedarf.

Keine automatisierte Letztentscheidung: Art. 22 DSGVO verbietet außchließlich automatisierte Entscheidungen mit Rechtswirkung oder erheblicher Beeinträchtigung. Wird KI zur Entscheidungsunterstützung eingesetzt (z.B. Personalauswahl, Kreditentscheidung), muss ein realer menschlicher Entscheidungsspielraum bestehen. Die blosse Möglichkeit der Überprüfung genügt nicht - die Entscheidung darf nicht nur formell einem Menschen zugeordnet werden.

Geschlossene vs. offene Systeme: Geschlossene Systeme (on-premise, eigene Server) sind datenschutzrechtlich vorzugswürdig, da die Daten das Unternehmen nicht verlassen. Bei cloudbasierten Systemen (ChatGPT, Copilot) ist ein AV-Vertrag (Art. 28 DSGVO) oder eine Art. 26-Vereinbarung erforderlich, und die Drittlandstransfer-Problematik (Art. 44 ff. DSGVO) ist zu beachten.

Beschäftigtendaten: Betriebliche Accounts müßen eingerichtet werden, die private Nutzung ist zu regulieren. Beschäftigte müßen geschult werden, keine personenbezogenen Daten Dritter in offene KI-Systeme einzugeben.

Ergebnisüberprüfung: KI-Ergebnisse müßen auf Richtigkeit und Diskriminierung geprüft werden. Der Grundsatz der Richtigkeit (Art. 5 Abs. 1 lit. d DSGVO) verlangt, dass auf Basis unrichtiger KI-Ausgaben keine Entscheidungen getroffen werden.

DSFA: Bei KI-Einsatz mit personenbezogenen Daten ist regelmäßig eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO erforderlich.

KI-Verordnung (EU): Social Scoring und biometrische Echtzeituberwachung im öffentlichen Raum sind verboten.

Quellen

Art. 5 DSGVO, Art. 6 DSGVO, Art. 22 DSGVO, Art. 25 DSGVO, Art. 28 DSGVO, Art. 35 DSGVO, Art. 44 ff. DSGVO, DSK-OH Künstliche Intelligenz (Mai 2024), DSK-OH TOM bei KI-Systemen (Juni 2025)

Verwandte Fragen

Spezialthemen

Datenschutz bei Whistleblowing-Systemen

 Rechtsgrundlagen

Welche Rechtsgrundlagen erlauben die Datenverarbeitung?

 Pflichten

Welche Pflichten gelten für die Videoueberwachung?