Der Einsatz von generativer Künstlicher Intelligenz (KI) wirft für Unternehmen, Organisationen und Behörden zunehmend rechtliche Fragen auf.
Die Deutsche Datenschutzkonferenz hat einen umfassenden Leitfaden veröffentlicht, der speziell auf die Nutzung von Large Language Models (LLMs) und anderen KI-Modellen abzielt. Der Leitfaden ist in drei zentrale Bereiche unterteilt: Einsatzfelder und Zwecke der KI-Anwendungen, deren Implementierung sowie die konkrete Nutzung.
Ein Kernpunkt des Leitfadens ist die DSGVO-konforme Anwendung von KI. Laut der Datenschutzkonferenz müssen personenbezogene Daten nur dann verwendet werden, wenn es unbedingt notwendig ist. Dies ist besonders bei LLMs problematisch, da diese Daten häufig im Trainingsmaterial integriert sind. Unternehmen müssen daher sicherstellen, dass sie die Datenschutzrichtlinien strikt einhalten und keine ungewollten Datenverarbeitungen stattfinden.
Zudem legt der Leitfaden fest, dass jede Verarbeitung personenbezogener Daten eine entsprechende Rechtsgrundlage erfordert. Entscheidungen, die Personen betreffen, dürfen nicht ausschließlich von KI-Systemen getroffen werden. Transparenzpflichten und das Recht auf Berichtigung und Löschung müssen durch organisatorische und technische Maßnahmen sichergestellt werden, auch wenn dies bei LLMs nur eingeschränkt möglich ist. Ein weiteres wichtiges Thema ist die rechtliche Verantwortung bei der Implementierung von KI-Systemen. Unternehmen müssen klare Richtlinien für ihre Mitarbeiter aufstellen, um eigenmächtige und datenschutzwidrige Nutzung von KI-Anwendungen zu verhindern. Datenschutz-Folgenabschätzungen und die Einhaltung aller IT-Anforderungen, von Bedienbarkeit bis Cybersecurity, sind ebenfalls essentiell.