Cyber Security für Unternehmen in Österreich ganzheitlich durchdacht mit HoliSec!
Kontakt

KI und Datenschutz

Philipp Krenn

·

·

In schrift Links steht AI ACT. Rechts ist ein Bild von einem Face Scan abgebildet. Datenschutz und KI

Generative KI ist in vielen Unternehmen längst Alltag – doch mit der zunehmenden Nutzung wachsen auch die Herausforderungen für Datenschutz und Datensicherheit. Der im März 2024 verabschiedete EU AI Act setzt erstmals einen globalen Rechtsrahmen für den Einsatz von KI-Technologien und wirft gleichzeitig neue Fragen auf, etwa zum Urheberrecht. Die Datenschutzbehörde (DSB) hat nun einen FAQ-Leitfaden veröffentlicht, der ihre Position zum sicheren und rechtskonformen Umgang mit KI zusammenfasst. Hier findest du die wichtigsten Bestimmungen im Überblick.

Leitfaden: KI und Datenschutz – Die wichtigsten Punkte im Überblick

1. Was ist ein KI-System?
Ein KI-System ist ein Computerprogramm, das Aufgaben übernimmt, die normalerweise menschliche Intelligenz erfordern. Es kann lernen, Entscheidungen treffen und mit seiner Umgebung interagieren. Laut EU-KI-Verordnung sind KI-Systeme maschinengestützte Systeme, die autonom agieren und sich anpassen können.

2. Was ist generative KI?
Generative KI kann selbstständig digitale Inhalte wie Texte, Bilder, Audio oder Videos erstellen – bekannte Beispiele sind ChatGPT und DALL·E. Sie benötigt ein umfangreiches Training mit Daten und wird durch Nutzereingaben („Prompts“) gesteuert.

3. Rechtlicher Rahmen für KI-Systeme
Die Nutzung von KI wird durch die EU-KI-Verordnung (EU AI Act) geregelt. Diese Verordnung schafft einen rechtlichen Rahmen für vertrauenswürdige KI und wird zwei Jahre nach ihrer finalen Verabschiedung in Kraft treten. Die Umsetzung wird vom Europäischen AI-Büro überwacht.

4. KI-Regulierung in Österreich
In Österreich werden nationale Marktüberwachungsbehörden sicherstellen, dass KI-Systeme den Vorgaben der KI-Verordnung entsprechen. Wer diese Aufgabe übernimmt, ist noch offen. Bereits eingerichtet wurde eine KI-Servicestelle bei der Rundfunk- und Telekommunikations-Regulierungsbehörde (RTR) als erste Anlaufstelle für Informationen rund um KI.

5. Verhältnis der KI-Verordnung zur DSGVO KI-Systeme verarbeiten oft personenbezogene Daten und müssen daher die Bestimmungen der DSGVO und des Datenschutzgesetzes (DSG) einhalten. In Österreich ist die Datenschutzbehörde (DSB) für die Durchsetzung zuständig. Beschwerden wegen Datenschutzverstößen durch KI können direkt bei der DSB eingereicht werden.

Laut KI-Verordnung (Art. 74 Abs. 8) ist die Datenschutzbehörde zudem für die Marktüberwachung von KI-Systemen mit hohem Risiko zuständig, insbesondere in sensiblen Bereichen wie Strafverfolgung, Grenzverwaltung, Justiz und Demokratie.

6. Datenschutzrechtliche Besonderheiten der KI-VO Die DSGVO gilt unabhängig von der verwendeten Technologie – also auch für KI-Systeme. Deshalb verweist die KI-Verordnung regelmäßig auf die DSGVO, insbesondere bei Begriffen wie „personenbezogene Daten“, „biometrische Daten“ oder „Profiling“.

Gleichzeitig erweitert die KI-Verordnung einige datenschutzrechtliche Regeln. So kann die Verarbeitung sensibler Daten (Art. 9 DSGVO) unter bestimmten Umständen erlaubt sein, um Verzerrungen („Biases“) in KI-Systemen zu erkennen. Solche Daten müssen jedoch mit einer Begründung im Verzeichnis der Verarbeitungstätigkeiten gemäß Art. 30 DSGVO dokumentiert werden (Art. 10 Abs. 5 KI-VO).

7. Wichtige Datenschutzprinzipien
Da KI-Systeme oft personenbezogene Daten verarbeiten, müssen sie die DSGVO-Grundsätze einhalten und deren Umsetzung nachweisen (Art. 5 Abs. 1 & 2 DSGVO). Dazu gehören:

  • Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
  • Zweckbindung (Daten nur für festgelegte Zwecke verwenden)
  • Datenminimierung (nur notwendige Daten erfassen)
  • Richtigkeit (Daten aktuell und korrekt halten)
  • Speicherbegrenzung (Daten nicht länger als nötig speichern)
  • Integrität und Vertraulichkeit (Schutz vor unbefugtem Zugriff)

Rechtmäßigkeit der Verarbeitung
Die Verarbeitung personenbezogener Daten erfordert eine Rechtsgrundlage gemäß Art. 6 Abs. 1 DSGVO, z. B.:

  • Einwilligung
  • Vertragserfüllung
  • Erfüllung einer rechtlichen Verpflichtung
  • Schutz lebenswichtiger Interessen
  • Erfüllung öffentlicher Aufgaben
  • Berechtigtes Interesse

Für sensible Daten (z. B. Gesundheitsdaten, politische Meinungen) gelten zusätzliche Anforderungen nach Art. 9 DSGVO.

Transparenz und Fairness
Personenbezogene Daten dürfen nicht missbräuchlich verarbeitet werden. Betroffene müssen über die Verarbeitung informiert werden. Unfaire oder unerwartete Datenverarbeitung ist unzulässig.

Richtigkeit & Herausforderungen bei generativer KI
Daten müssen korrekt sein. Besonders generative KI-Systeme wie ChatGPT können falsche oder irreführende Inhalte erzeugen, was eine besondere Verantwortung beim Einsatz mit sich bringt.

Sicherheit & Zugriffsschutz
KI-Systeme müssen angemessene Sicherheitsmaßnahmen erfüllen, um unbefugten Zugriff oder Datenverlust zu verhindern.

Automatisierte Entscheidungen & Betroffenenrechte
Betroffene haben das Recht, nicht ausschließlich durch KI-gestützte Entscheidungen beeinträchtigt zu werden (Art. 22 DSGVO). Dies gilt besonders in Bereichen wie Bewerberauswahl oder Kreditvergabe. Falls automatisierte Entscheidungen getroffen werden, müssen Betroffene informiert werden und eine menschliche Überprüfung verlangen können.

8. Gilt die DSGVO auch für Nutzer fremder KI-Anwendungen?
Kurz gesagt: Ja.

Sobald eine Person oder ein Unternehmen über die Zwecke und Mittel der Datenverarbeitung entscheidet, gilt sie als datenschutzrechtlich Verantwortliche und muss die DSGVO einhalten. Auch wenn die technischen Vorgaben vom Anbieter kommen, bleibt die Verantwortung für die Einhaltung der Datenschutzvorschriften beim Nutzer des KI-Systems.

9. Datenschutz beim Einsatz von KI-Drittanbietern
Wer ein KI-System eines Drittanbieters nutzt, muss sicherstellen, dass keine personenbezogenen Daten unrechtmäßig weitergegeben oder Geschäftsgeheimnisse gefährdet werden. Besonders kritisch ist die Datenübermittlung an den Anbieter oder Dritte.

Die Datenschutzbehörde empfiehlt daher:

  • Interne Regeln aufstellen, welche Daten mit KI-Systemen verarbeitet werden dürfen.
  • Prüfen, ob der Drittanbieter DSGVO-konform arbeitet.
  • Gegebenenfalls On-Premise-Lösungen nutzen, um volle Kontrolle über die Daten zu behalten.

Fazit

Der Einsatz von KI-Systemen bringt viele Chancen, aber auch erhebliche Datenschutzrisiken mit sich. Die DSGVO bleibt auch für KI-Technologien maßgeblich und setzt klare Regeln für die Verarbeitung personenbezogener Daten. Unternehmen und Nutzer sollten sich daher intensiv mit den rechtlichen Vorgaben auseinandersetzen, um Datenschutzverstöße zu vermeiden und KI verantwortungsvoll einzusetzen.

Du willst KI einsetzen und brauchst Unterstützung beim Datenschutz?

Kontaktiere uns und wir helfen dir!

Kontakt

Quellen 🔗

  1. Datenschutzbehörde Österreich – Künstliche Intelligenz & Datenschutz
  2. Trend.at – KI und Datenschutz: Leitfaden der Datenschutzbehörde DSB
  3. WIFI Wien – KI und Datenschutz | Herausforderungen
  4. Universität Wien – Datenschutz im Zeitalter von KI
  5. Wirtschaftskammer Österreich (WKO) – Rechtliche Rahmenbedingungen für KI
  6. WEKA.at – Datenschutz beim Einsatz von KI
  7. Dorda.at – DSB veröffentlicht erstmals FAQ zu Künstlicher Intelligenz
  8. arXiv – Datensouveränität für Verbraucher:innen: Technische Ansätze durch KI-basierte Transparenz und Auskunft im Kontext der DSGVO
  9. Wikipedia – ARGE Daten
  10. Wikipedia – Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten
, , , ,

Philipp Krenn

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert