|
Bremen (ots) - Die DSGVO ist in vielen Unternehmen längst umgesetzt, doch mit
der EU-KI-Verordnung kommt eine neue Regulierung hinzu, die zahlreiche Fragen
aufwirft. Welche Unterschiede zwischen beiden Regelwerken bestehen und was
Unternehmen jetzt wissen müssen, erklärt Dietmar Niehaus, Geschäftsführer der
IDD GmbH.
Viele Unternehmen haben in den vergangenen Jahren erhebliche Ressourcen in die
Umsetzung der DSGVO investiert. Verarbeitungsverzeichnisse wurden angelegt,
Datenschutzerklärungen formuliert und interne Prozesse angepasst. Doch mit der
EU-KI-Verordnung kommt nun ein weiteres Regelwerk hinzu, das den Einsatz von
Künstlicher Intelligenz erstmals umfassend reguliert. "Viele Unternehmen
unterschätzen erheblich, in welchem Umfang KI-Systeme Nutzerdaten erfassen,
speichern und auswerten", warnt Dietmar Niehaus, Geschäftsführer der IDD GmbH.
"Wer das ignoriert, riskiert nicht nur Bußgelder, sondern auch Haftungsrisiken
und Reputationsschäden."
"Datenschutz wird im Unternehmensalltag leider häufig entweder vollständig
ignoriert oder übermäßig formalistisch behandelt", erklärt Dietmar Niehaus. Der
Geschäftsführer der IDD GmbH verfügt über 17 Jahre Erfahrung in den Bereichen
Datenschutz, IT-Sicherheit und Compliance und begleitet Unternehmen bei der
rechtssicheren Umsetzung regulatorischer Anforderungen. Welche Unterschiede
zwischen DSGVO und EU-KI-Verordnung bestehen und welche Fragen Unternehmen jetzt
klären sollten, erläutert er im Folgenden.
DSGVO und EU-KI-Verordnung: Zwei Regelwerke mit unterschiedlichen Schwerpunkten
Die Datenschutz-Grundverordnung und die EU-KI-Verordnung verfolgen
unterschiedliche Ansätze und ergänzen sich, ohne einander zu ersetzen. Die DSGVO
konzentriert sich ausschließlich auf die Verarbeitung personenbezogener Daten
und legt fest, unter welchen Voraussetzungen solche Daten erhoben, gespeichert,
verarbeitet und weitergegeben werden dürfen. Die EU-KI-Verordnung richtet den
Blick hingegen auf den Einsatz von Künstlicher Intelligenz insgesamt. Sie
bewertet KI-Systeme danach, welches Risiko sie für Grundrechte, Sicherheit und
Transparenz darstellen.
Auf dieser Grundlage werden Anwendungen in verschiedene Risikokategorien
eingeteilt. Je nach Einstufung gelten unterschiedliche Anforderungen, etwa bei
Dokumentation, Sicherheitsmaßnahmen oder Transparenz. In bestimmten Fällen
können einzelne KI-Anwendungen sogar vollständig untersagt sein. "Unternehmen
müssen daher zunächst prüfen, ob und in welcher Form sie KI-Systeme einsetzen
und in welche Risikokategorie diese Systeme fallen", betont Dietmar Niehaus,
Geschäftsführer der IDD GmbH. Gerade bei sogenannten Hochrisiko-Systemen seien
umfangreiche Prüf-, Dokumentations- und Überwachungspflichten zu beachten. Viele
Unternehmen hätten diese Anforderungen bislang noch nicht ausreichend im Blick.
Welche Pflichten sich aus der KI-Verordnung ergeben
Neben der grundsätzlichen Einordnung von KI-Systemen bringt die EU-KI-Verordnung
für Unternehmen auch konkrete Pflichten mit sich. Eine davon ist die gesetzlich
verankerte Schulungspflicht: Seit dem 1. Februar 2025 müssen Mitarbeiter, die
mit KI-Systemen arbeiten, entsprechend geschult werden. Ziel ist es, Risiken zu
erkennen und die rechtlichen Vorgaben beim Einsatz von KI im Arbeitsalltag
einzuhalten. Die Verordnung macht dabei jedoch keine detaillierten Vorgaben zum
Umfang der Schulungen. Unternehmen müssen daher selbst festlegen, welche Inhalte
vermittelt werden und wie Mitarbeiter für den Umgang mit KI-Systemen
sensibilisiert werden.
Darüber hinaus schreibt die EU-KI-Verordnung Transparenz vor. Nutzer müssen
erkennen können, wenn sie mit einem KI-System interagieren. Wird beispielsweise
ein Telefon-Bot eingesetzt, sollte daher bereits zu Beginn klar kommuniziert
werden, dass es sich um eine digitale Assistenz handelt. Eine einfache
Vorstellung wie "Guten Tag, ich bin Helga, die digitale Assistentin von ..."
kann bereits ausreichen, damit Anrufer wissen, dass sie mit einer KI sprechen.
Werden Gespräche aufgezeichnet oder ausgewertet, muss auch darüber informiert
werden. Entsprechende Hinweise können zusätzlich in der Datenschutzerklärung auf
der Unternehmenswebseite aufgenommen werden.
Eine weitere zentrale Frage betrifft den Umgang mit Daten, die in KI-Systeme
eingegeben werden. "Datenrechte liegen häufig bei den Plattformbetreibern der
KI-Systeme", erklärt Dietmar Niehaus. Welche Rechte Unternehmen an eingegebenen
Daten oder generierten Ergebnissen behalten, hängt häufig von den vertraglichen
Regelungen und Nutzungsbedingungen der jeweiligen Anbieter ab. Unternehmen
sollten daher sorgfältig prüfen, welche Daten sie in ein System eingeben.
Vertrauliche Unternehmensinformationen, personenbezogene Daten oder besonders
sensible Inhalte sollten grundsätzlich nicht verwendet werden, solange keine
geeigneten Schutzmaßnahmen bestehen. Ist eine Verarbeitung sensibler Daten
unvermeidbar, müssen technische und organisatorische Maßnahmen sicherstellen,
dass ein unbefugter Zugriff oder eine Weitergabe ausgeschlossen wird.
Rechte an KI-Ergebnissen: geistige Leistung und Nutzungsrechte
Neben Fragen rund um Dateneingaben und Transparenz beschäftigt viele Unternehmen
auch ein weiterer Punkt: Wem gehören eigentlich die Ergebnisse, die mit Hilfe
von Künstlicher Intelligenz entstehen? Die Antwort darauf hängt wesentlich davon
ab, welche geistige Leistung in das Ergebnis eingeflossen ist. Entscheidend ist,
ob ein Mensch durch seinen Input das Resultat maßgeblich geprägt hat oder ob das
Ergebnis überwiegend durch die automatisierte Verarbeitung des KI-Systems
entstanden ist.
Ist der menschliche Beitrag entscheidend und beeinflusst das Resultat
wesentlich, können entsprechende Rechte beim Unternehmen oder beim Nutzer
liegen. Beruht das Ergebnis dagegen vor allem auf der Funktionsweise des
eingesetzten KI-Systems, spielen häufig die Nutzungsbedingungen und
vertraglichen Regelungen des jeweiligen Anbieters eine zentrale Rolle.
Unternehmen sollten deshalb genau prüfen, welchen Anteil eigene geistige
Leistungen an den erzeugten Ergebnissen haben und welche Regelungen für das
verwendete KI-System gelten.
Weitere Regulierung: NIS2, Hinweisgeberschutz und praktische Umsetzung
Neben der EU-KI-Verordnung stehen Unternehmen vor weiteren regulatorischen
Anforderungen. Dazu gehört unter anderem die NIS2-Richtlinie, die neue
Mindeststandards für die Cybersicherheit festlegt. Unternehmen müssen
sicherstellen, dass ihre IT-Systeme ausreichend geschützt sind. Die
Verantwortung endet dabei nicht bei der eigenen Infrastruktur. Auch Lieferanten
und externe Dienstleister müssen angemessene Sicherheitsstandards einhalten,
insbesondere wenn Systeme oder Netzwerke miteinander verbunden sind.
Hinzu kommt das Hinweisgeberschutzgesetz, das Unternehmen verpflichtet, sichere
interne Meldestellen einzurichten. Über diese Kanäle sollen Mitarbeiter und
externe Personen mögliche Rechtsverstöße oder Missstände melden können, ohne
Nachteile befürchten zu müssen. "Diese Regelungen verfolgen inhaltlich
nachvollziehbare Ziele. In der praktischen Umsetzung stellen sie Unternehmen
jedoch häufig vor erhebliche Herausforderungen", erklärt Dietmar Niehaus. Eine
sachgerechte Umsetzung beginne deshalb immer mit einer Analyse der bestehenden
Prozesse und Systeme. Auf dieser Grundlage lasse sich feststellen, welche
Anforderungen bereits erfüllt sind und an welchen Stellen Anpassungen notwendig
werden. Anschließend können Maßnahmen entwickelt werden, die sowohl die
Anforderungen der DSGVO als auch der EU-KI-Verordnung und weiterer
regulatorischer Vorgaben berücksichtigen.
Sie möchten künstliche Intelligenz sicher und rechtskonform in Ihrem Unternehmen
einsetzen - ohne dabei den Datenschutz aus den Augen zu verlieren? Vereinbaren
Sie jetzt einen Termin mit Dietmar Niehaus und dem Team des Instituts für
Datenschutz & Datensicherheit (https://www.institut-datensicherheit.de/) und
bringen Sie Ihr Unternehmen fit für die digitale Zukunft.
Pressekontakt:
IDD GmbH - Institut für Datenschutz und Datensicherheit
Dietmar Niehaus
E-Mail: mailto:info@institut-datensicherheit.de
Webseite: https://www.institut-datensicherheit.de/
Weiteres Material: http://presseportal.de/pm/173971/6241059
OTS: IDD GmbH - Institut für Datenschutz und Datensicherheit
|
