Der Einsatz von KI-Anwendungen ist durch verschiedene Rechtsbereiche geregelt, insbesondere durch die europäische KI-Verordnung. Zusätzlich spielen u.a. Urheberrecht und vor allem auch der Datenschutz eine wichtige Rolle. Der Fokus der folgenden Ausführungen liegt auf praxisrelevanten Datenschutzaspekten beim Einsatz von KI Tools, die als Ergänzung zu bestehenden KI-Handreichungen verstanden werden sollen. 

Wann ist Datenschutz beim Einsatz von KI zu beachten?

Datenschutz wird beim Einsatz von KI nur dann relevant, wenn personenbezogene Daten verarbeitet werden. Personenbezogene Daten sind alle Informationen, die Rückschlüsse auf eine lebende Person zulassen. Ohne die Nutzung solcher Daten findet der Datenschutz keine Anwendung. Grundsätzlich ist zu empfehlen, bei der KI-Nutzung auf die Verwendung personenbezogener Daten zu verzichten.

Welche Datenschutzmaßnahmen sind zu ergreifen?

Wenn der Einsatz von KI die Verarbeitung personenbezogener Daten erfordert, müssen Datenschutzvorgaben eingehalten werden. Vor der Einführung sollte daher stets der Datenschutzbeauftragte eingebunden werden.

• Verantwortlichkeit klären

  Bei der Verarbeitung personenbezogener Daten durch KI ist das Handwerksunternehmen datenschutzrechtlich verantwortlich. Um Verantwortungsprobleme zu vermeiden, sollte die Nutzung nur über dienstliche Geräte erfolgen, private Geräte sind auszuschließen. Bei Drittanbieter-Tools ist ein Datenschutz-Auftragsverarbeitungsvertrag erforderlich, der bei großen Anbietern meist bereits in den Nutzungsbedingungen enthalten ist.

• Rechtsgrundlage bestimmen

  Die Verarbeitung personenbezogener Daten erfordert stets eine rechtliche Grundlage, also entweder eine gesetzliche Erlaubnis oder die Einwilligung der betroffenen Person. Jeder Schritt bei der Nutzung von KI, wie Datensammlung, Training und Ausgabe von Antworten, braucht eine eigene Rechtsgrundlage. Einwilligungen können z.B. über Betriebsvereinbarungen oder direkt vom Antragsteller eingeholt werden. Ist dies nicht praktikabel, muss eine gesetzliche Ermächtigung genutzt werden, etwa Art. 6 Abs. 1 lit. f DSGVO. 

• Daten minimieren

  Beim Einsatz von KI zur Verarbeitung personenbezogener Daten gilt der Grundsatz der Datenminimierung: Es dürfen nur die unbedingt erforderlichen Daten genutzt werden. Beispielsweise sind bei KI-gestützter Betriebsberatung Finanz- und Wirtschaftsdaten notwendig, während Angaben wie Firmenname oder Inhabername für diesen Zweck nicht relevant sind.

• Technische und organisatorische Maßnahmen (TOMs) ergreifen

  Bei der Datennutzung müssen geeignete technische und organisatorische Maßnahmen (TOMs) getroffen werden, um Datenschutzvorfälle wie Datenlecks, unbefugte Zugriffe oder missbräuchliche Nutzung zu verhindern. Bei KI-Tools ist besonders wichtig, dass nur zulässige Daten für das Training verwendet werden und neue Eingaben nicht ins Training einfließen. Dies lässt sich meist mit kostenpflichtigen Pro-Versionen sicherstellen. Zudem wird empfohlen, KI-Anwendungen zu nutzen, die in der EU gehostet sind, um die Einhaltung der DSGVO zu gewährleisten.

• Verbot automatisierter Entscheidungen beachten

  Die DSGVO und die europäische KI-Verordnung untersagen Entscheidungen mit rechtlicher Wirkung, die ausschließlich automatisiert getroffen werden. Daher dürfen weder Verwaltungsentscheidungen der Handwerkskammern noch rechtlich relevante Empfehlungen in der Betriebsberatung allein auf KI-Ergebnissen basieren, sondern müssen stets durch eine menschliche Mitentscheidung ergänzt werden.

Interne Maßgaben zur KI-Nutzung

Der Einsatz von KI sollte klar geregelt werden. Dazu zählen Vorgaben, welche KI-Tools in welchem Rahmen und zu welchem Zweck genutzt werden dürfen sowie verbindliche Datenschutzrichtlinien. Wichtige Handlungshinweise sind:

• Keine Nutzung personenbezogener Daten
• Konsequente Datenminimierung
• Vermeidung automatisierter Entscheidungen

Ansprechpartnerin in der Handwerkskammer Chemnitz:
Susann Kleemann | 0371 5364-244 |