Der Schutz personenbezogener Daten ist zu einem alltäglichen Bestandteil des Unternehmenslebens geworden. Trotz der Tatsache, dass der Datenschutz in Unternehmen implementiert wurde und zum Standard geworden ist, handelt es sich um einen Prozess, der sich kontinuierlich weiterentwickelt. Eine der neuesten Herausforderungen besteht darin, die Sicherheit personenbezogener Daten im Zusammenhang mit der Nutzung künstlicher Intelligenz zu gewährleisten. Dies ist eine natürliche Entwicklung, da KI Zeit spart und die Effizienz erhöht. Sie kann beispielsweise Rekrutierungsprozesse automatisieren oder die Leistung von Beschäftigten analysieren. Wie jedes andere Instrument bringt auch künstliche Intelligenz neben Vorteilen bestimmte Risiken mit sich. Aus rechtlicher Sicht gilt die DSGVO sowohl für automatisierte als auch für manuelle Verarbeitungstätigkeiten. Die grundlegenden Grundsätze bleiben Rechtmäßigkeit, Transparenz, Zweckbindung, Datenminimierung sowie die Gewährleistung eines angemessenen Schutzniveaus.
Eines der am häufigsten verwendeten und unterstützten KI-Werkzeuge im Unternehmensumfeld ist Copilot, der Bestandteil der Microsoft-365-Suite ist. Wenn Unternehmen im Rahmen ihrer Tätigkeit personenbezogene Daten mittels KI verarbeiten müssen, sollten sie die entsprechende Unternehmenslizenz für Copilot oder ein anderes KI-Modell (ChatGPT, Gemini usw.) verwenden, um ein ausreichendes Datenschutzniveau sicherzustellen. Bei der Nutzung privater Versionen entsteht das Risiko der Offenlegung von Daten gegenüber Dritten sowie des Trainings von KI-Modellen.
Gewährt der Arbeitgeber seinen Beschäftigten Zugang zu Microsoft 365 Copilot, bleibt der Arbeitgeber Verantwortlicher im Sinne der DSGVO, während Microsoft als Auftragsverarbeiter tätig wird. Dieses Verhältnis beruht auf dem vertraglichen Rahmen des Microsoft Data Protection Addendum, das die Anforderungen des Artikels 28 DSGVO erfüllt. In der Praxis bedeutet dies, dass der Arbeitgeber für die Konfiguration des Werkzeugs, die Einrichtung interner Kontrollen und dafür verantwortlich ist, dass Copilot nur solche Daten verarbeitet, die gemäß der DSGVO rechtmäßig verarbeitet werden dürfen.
Aus datenschutzrechtlicher Sicht ist es ebenfalls wesentlich, wirksame technische und organisatorische Maßnahmen festzulegen. In einer Umgebung, in der personenbezogene und besondere Kategorien personenbezogener Daten verarbeitet werden, sollten Unternehmen aktiv Mechanismen zur Verhinderung von Datenverlusten (Data Loss Prevention – DLP) einsetzen, die in der Lage sind, die Verarbeitung besonders sensibler Informationen zu erkennen und zu blockieren. Dazu können beispielsweise Daten über den Gesundheitszustand, die Gewerkschaftszugehörigkeit, politische Meinungen oder religiöse Überzeugungen gehören. Nützlich sind auch sogenannte Sensitivitätsbezeichnungen (Sensitivity Labels), die es ermöglichen, Dokumente nach Vertraulichkeitsstufen zu klassifizieren und den Zugang auf befugte Personen zu beschränken. Das Niveau der präventiven Maßnahmen hängt von der Art der Lizenz ab; grundsätzlich gilt, dass in frei zugängliche Versionen wie Copilot, ChatGPT und ähnliche „Free Versions“ keine personenbezogenen Daten eingegeben werden sollten, da deren Schutzniveau unzureichend ist.
Eine der häufigsten Fragen, die man sich stellen sollte, lautet, wohin die Daten aus Copilot gelangen und wer sie einsehen kann. Bei korrekter Konfiguration werden Prompts, Antworten und kontextbezogene Informationen aus der Microsoft-365-Umgebung ausschließlich innerhalb der ausgewählten Microsoft-Cloud-Infrastruktur verarbeitet. Copilot selbst erstellt keine dauerhaften Kopien von Dokumenten oder E-Mails außerhalb der Organisationsumgebung. Informationen über Interaktionen – also Anweisungen und Antworten – werden derzeit für einen Zeitraum von 30 Tagen für Zwecke der Qualitätssicherung und Diagnostik gespeichert und anschließend automatisch gelöscht.
Die verwendeten Daten werden nicht zum Training großer Sprachmodelle (Large Language Models – LLM) genutzt. Bei der Nutzung der korrekten Lizenz hat Copilot Zugriff nur auf jene Daten, auf die auch die nutzende Person Zugriff hat. Für den Arbeitgeber ist es daher wesentlich, die Zugriffsrechte ordnungsgemäß festzulegen und regelmäßig zu überprüfen. In der Europäischen Union kann der Modus „Advanced Data Residency“ aktiviert werden, in dem Daten innerhalb der EU verarbeitet und gespeichert werden. Diese Garantien ergeben sich aus den Microsoft Product Terms und dem Data Protection Addendum, die auch spezifische Anforderungen gemäß der DSGVO regeln.
Trotz dieser Mechanismen verbleibt die Verantwortung für die ordnungsgemäße Nutzung auf Seiten des Arbeitgebers. Seine Aufgabe besteht darin, technische Maßnahmen einzurichten und fortlaufende Schulungen der Beschäftigten sicherzustellen, die mit dem Werkzeug arbeiten. Diese Pflicht ergibt sich insbesondere aus der DSGVO und wird durch die Regulierung nach dem AI Act sowie gegebenenfalls durch das Cybersicherheitsgesetz oder die DORA-Verordnung für Finanzinstitute ergänzt. Die Transparenz über den Schutz der eingegebenen Daten und deren Verarbeitung durch den Anbieter des KI-Werkzeugs wie ChatGPT, Gemini usw. muss so ausgestaltet sein, dass der Datenschutz gewährleistet bleibt. Wichtig ist zu bedenken, dass es sich um Werkzeuge handelt, die laufend aktualisiert werden und deren Anbieter die Nutzungsbedingungen kontinuierlich anpassen. Das bedeutet, dass es nicht ausreicht, die Nutzung des KI-Werkzeugs einmalig festzulegen; vielmehr ist es erforderlich, das Datenschutzniveau entsprechend der erworbenen Lizenz fortlaufend zu überwachen, um zu vermeiden, dass durch die Aktualisierung der Geschäftsbedingungen personenbezogene Daten beispielsweise für das Training von LLM genutzt werden. Für eine verantwortungsvolle Verarbeitung personenbezogener Daten ist daher eine sorgfältige Einrichtung interner Prozesse, technischer Maßnahmen sowie eine kontinuierliche Aufsicht über die Nutzung von KI-Werkzeugen erforderlich.
Kinstellar ist eine der führenden europäischen Wirtschaftskanzleien mit mehr als 500 Professionals in Deutschland, Europa und den USA. Mit Lösungen für komplexe und anspruchsvolle rechtliche Fragestellungen schaffen wir einen echten Mehrwert für unsere Mandanten. Das Besondere an Kinstellar ist die Verbindung einer breiten fachlichen Exzellenz mit innovativem Denken, internationaler Erfahrung und Industrieexpertise. Auf unseren Rat vertrauen börsennotierte und multinationale Konzerne, große und mittelständische Familienunternehmen ebenso wie Finanzinstitute und internationale Investoren.
Im Austausch mit unseren Mandanten entwickeln wir die passenden Antworten auf alle Fragen des Wirtschaftsrechts einschließlich Gesellschaftsrecht, Mergers & Acquisitions, Wettbewerbs- und Kartellrecht, Bank- und Kapitalmarktrecht, Unternehmensfinanzierung, IP, IT-Recht, Telekommunikationsrecht, Vertriebsrecht, Immobilienrecht, Arbeitsrecht, Insolvenzrecht, Umweltrecht und Prozessvertretung. Darüber hinaus bietet das Team in Bratislava umfassende Unterstützung bei der Strukturierung und Finanzierung von Investitionsvorhaben.
