Datenschutz-Newsletter Februar 2024

11.03.2025, 12:01 Uhr

Unternehmen sollten die zulässige Nutzung von KI aktiv steuern

Unternehmen sollten den Umgang von KI durch Mitarbeiter am besten pro-aktiv steuern. Wir empfehlen, mit den Mitarbeitern gemeinsam KI-Programme auszuwählen, die für das Unternehmen von Vorteil sind. Die zulässige Nutzung der KI sollte dann in einer klar definierten KI-Nutzerrichtlinie mit den Mitarbeitern vereinbart werden. Beim Auswahlprozess einer KI unterstützen wir unsere Mandanten aktiv in rechtlicher Hinsicht.

Stellt das Unternehmen eine KI-Nutzerrichtlinie auf, haben die Mitarbeiter Klarheit, welche KI-Programme in welcher Weise genutzt werden können. Dies soll verhindern, dass Mitarbeiter heimlich Programme wie ChatGPT, Deepl Write, Microsoft Translater oder Microsoft Copilot in einer kostenlosen Version nutzen und ggf. sogar sensible Daten eingeben, die von der KI dann direkt zum Training und Weiterentwicklung in die KI-Datenbank übernommen werden.

Die Endbenutzerversion von KI-Tools zeichnet sich nämlich häufig dadurch aus, dass die Nutzung der Programme zwar kostenlos ist, aber dafür die eingegebenen Daten zum aktiven Training und zur Verbesserung der KI benutzt werden. Eine Übernahme der Trainingsdaten kann oft durch die Auswahl des richtigen KI-Pakets verhindert werden. Werden vermeintlich kostenfreie Services genutzt, ist die Wahrscheinlichkeit groß, dass Trainingsdaten mit Geschäftsgeheimnissen oder personenbezogenen Daten dauerhaft in der Datenbank landen. Das Löschen von einmal in eine KI-Datenbank eingegebenen Daten ist ebenfalls nur schwierig durchzuführen und derzeit Teil intensiver Forschung.

Unternehmen sollten die KI-Tools also gezielt auswählen und auch die rechtliche Seite, bestehend aus der Beachtung der Nutzungsbedingungen, Datenschutzerklärung und weiteren Verträgen, beachten. Die Nutzungsbedingungen sollten keine für das Unternehmen allzu rechtlich nachteilhaften Klauseln enthalten.

Wir unterstützen Sie bei Bedarf gerne bei der Erstellung entsprechender Dokumente.

Pflicht zur KI-Schulung für Mitarbeitende ab Februar 2025 gemäß Art. 4 KI-Verordnung

Die KI-Verordnung (AI Act) führt schrittweise umfassende Regelungen für Anbieter und Betreiber von KI-Systemen ein. Ab Februar 2025 tritt eine wichtige Neuerung in Kraft: Unternehmen, die KI einsetzen, sind dann verpflichtet, ihre Mitarbeiter im Umgang mit KI zu schulen und ihnen KI-Kompetenz zu vermitteln. Ziel ist es, den sicheren Betrieb und die Einhaltung gesetzlicher Vorgaben wie der KI-Verordnung, DSGVO und Urheberrechtsgesetz zu gewährleisten und Schäden durch rechtswidrige Nutzung von KI am Arbeitsplatz zu verhindern. Die KI-Verordnung, deren erste Vorgaben im Februar 2025 in Kraft getreten sind, regelt die Vermittlung von KI-Kompetenz in Art. 4 KI-Verordnung für alle Unternehmen, die KI einsetzen, ob gewollt oder ungewollt. Denn bei Verstößen, etwa gegen Urheberrechte oder Datenschutzbestimmungen, trägt das Unternehmen in der Regel die Verantwortung. Durch gezielte Schulungsmaßnahmen können solche Regelverstöße präventiv vermieden und Risiken minimiert werden.

Die KI-Verordnung gibt keine konkreten Schulungsinhalte vor. Dennoch sollten Schulungen relevante Vorschriften wie DSGVO, Urheberrecht, Arbeitsrecht, Betriebsverfassungsgesetz und Geschäftsgeheimnisschutz berücksichtigen und praxisnahe KI-Probleme behandeln.

Wenn Sie Schulungsbedarf haben, sprechen Sie uns bitte an.

Kennzeichnung von Deepfakes notwendig

Viele Unternehmen gehen davon aus, dass alle KI-generierten Inhalte wie Bilder oder Videos – ob Social-Media-Posts oder Inhalte auf Unternehmenswebseiten – zwingend als KI-Inhalt gekennzeichnet werden müssen. Tatsächlich ist eine Kennzeichnungspflicht nur in bestimmten Fällen vorgeschrieben. Die Kennzeichnungspflicht für KI-generierte Bilder und Videos ergibt sich aus Art. 50 Abs. 4 der KI-Verordnung (AI ACT – Verordnung (EU) 2024/1689). Sie gilt für sogenannte Deepfakes, also täuschend echt wirkende KI-Inhalte, die als real wahrgenommen werden können.

Informationen über die Kennzeichnung von KI-generierten Texten werden wir Ihnen im nächsten Newsletter zukommen lassen.

Unternehmen, die KI-Tools wie z.B. ChatGPT, DALL-E, Adobe Firefly oder Canva einsetzen, gelten als Betreiber von KI im Sinne des Art. 3 Abs. 4 KI-VO und sind zur Kennzeichnung verpflichtet, wenn die folgenden Voraussetzungen erfüllt sind.

Deepfakes sind durch KI erzeugte oder manipulierte Bild-, Ton- oder Videoinhalte, die echten Personen, Gegenständen oder Ereignissen ähneln und als real wahrgenommen werden könnten. Werden solche Inhalte auf Social Media verwendet, müssen sie klar als KI-generiert gekennzeichnet werden. KI-generierte Bilder oder Videos, die offensichtlich künstlich wirken und keine Verwechslungsgefahr mit realen Personen oder Szenen bergen, sowie künstlerische, kreative, satirische oder fiktionale KI-Inhalte sind hingegen eher nicht kennzeichnungspflichtig. Es kommt bei jedem Post auf eine Einzelfallabwägung an. Ob es trotz der klaren Kennzeichnungspflicht der KI-Verordnung genügt, einen Hinweis in der Bildbeschreibung oder im Begleittext eines Social-Media-Posts oder in Hashtags zu platzieren, ist derzeit umstritten.

Höhere Anforderungen an die Kennzeichnung gelten insbesondere für schutzwürdige Nutzergruppen wie Kinder oder ältere Personen sowie für Inhalte mit kurzer Aufmerksamkeitsspanne, beispielsweise bei Reels oder TikTok-Videos. Zudem müssen Kennzeichnungen den Barrierefreiheitsanforderungen gemäß dem Barrierefreiheitsstärkungsgesetz (BFSG) und der EU-Richtlinie zur Barrierefreiheit (EAA) entsprechen.

Datenschutzaufsichtsbehörde kündigt Prüfung des Einsatzes von KI in HR-Tools an

Die Bayerische Landesdatenschutzbehörde (BayLDA) hat eine Prüfung des Einsatzes von Künstlicher Intelligenz (KI) in Personalabteilungen angekündigt, insbesondere im Bereich der Bewerberauswahl. Viele Unternehmen setzen zunehmend KI-gestützte HR-Tools ein, um Bewerbungsprozesse zu optimieren und Mitarbeiterdaten zu verwalten. Diese Tools verarbeiten jedoch oft personenbezogene, sensible Daten, was datenschutzrechtlich problematisch ist. Besonders in Bewerbungsprozessen gelten strenge Datenschutzvorgaben.

Das BayLDA fordert, dass Unternehmen KI-Tools in das Verarbeitungsverzeichnis gemäß Art. 30 DSGVO aufnehmen und gegebenenfalls eine Datenschutzfolgeabschätzung durchführen. KI-Systeme dürfen keine personenbezogenen Bewerberdaten als Trainingsdaten verwenden, es sei denn, diese sind anonymisiert oder es liegt eine ausdrückliche Rechtsgrundlage vor. Eine solche Rechtsgrundlage dürfte jedoch im Kontext des sozialen Abhängigkeitsverhältnisses im Arbeitsverhältnis schwer zu begründen sein.

Ein weiteres Problem ist die Speicherung von Bewerberdaten in Bewerberpools, die nur mit klarer Rechtsgrundlage erfolgen darf und nicht ohne Zustimmung der Bewerber für das KI-Training genutzt werden darf.

Es ist nicht ausgeschlossen, dass andere Landesdatenschutzbehörden dem Beispiel der bayrischen Behörde folgen und KI-Tools prüfen.

Sicherheitsbedenken gegen chinesischen KI-Dienst DeepSeek

Nach der Veröffentlichung des chinesischen KI-Dienstes DeepSeek haben Unternehmen und Behörden den Dienst einer ersten Prüfung unterzogen und dabei Sicherheitsbedenken geäußert. DeepSeek ist, ähnlich wie ChatGPT, ein Large Language Model (LLM), das realistische textbasierte Eingaben und Ausgaben ermöglicht. Erste Bedenken betreffen das Tracking des Nutzers während der Nutzung des Dienstes auch in unbeabsichtigten Momenten. Der Dienst trackt die Nutzerinteraktionen, Mausgesten und nicht abgesendeten Eingaben des Nutzers. Diese Daten könnten in einem Profil zusammengeführt und in China gespeichert werden, was Bedenken über die Nutzung zur Überwachung ausländischer Bürger weckt.

Europäische Unternehmen können DeepSeek also wohl nicht datenschutzkonform nutzen, da ohne ein Datenschutzabkommen mit China zusätzliche Garantien wie Standarddatenschutzklauseln erforderlich wären. Ob DeepSeek solche Vereinbarungen anbietet und eine rechtssichere Verarbeitung gewährleistet, ist höchst fraglich.

Frankreich errichtet zusammen mit den Vereinigten Arabischen Emiraten große KI-Datencenter in Europa

Die Vereinigten Arabischen Emirate investieren zwischen 30 und 50 Milliarden Euro in den Bau von Europas größtem KI-Datenzentrum in Frankreich, die Teil einer neuen KI-Vereinbarung zwischen den beiden Ländern ist. Der neue KI-Campus wird mit einer Kapazität von bis zu einem Gigawatt ausgestattet und soll die Grundlage für souveräne KI- und Cloud-Infrastrukturen in Frankreich und den VAE bilden. Frankreichs Regierung hat zudem 35 potenzielle Standorte für neue Rechenzentren identifiziert, wobei der Fokus auf der Nutzung der Atomkraft als Energiequelle liegt.