Künstliche Intelligenz (KI)… ist gekommen um zu bleiben! – Was ist zu tun? Welcher Rechtsrahmen besteht? Was sagt die Mitbestimmung?Was darf ich, was nicht!`?
Die Missachtung der KI-VO kann gravierende Folgen haben.
– was Sie als Unternehmen wissen müssen –
„Falschparken“ bei KI kann teuer werden
Ein Verstoß gegen datenschutzrechtliche Vorschriften kann im Ernstfall teuer werden, denn die bisherige Bußgeldpraxis ändert sich substantiell mit der DS-GVO — mit drastischen Folgen auch für KI! Die KI-VO ist seit Februar 2025 in Kraft (Phase 1) und lässt weitere Phasen folgen.
Ende der „Schonzeit“ bei KI | gab es eine?
Das Thema KI hatte in Deutschlands und Europas Unternehmen jahrelang kaum Bedeutung – seit ChatGPT und CoPilot kommt das Thema indes von allen Seiten in die Unternehmen „geflogen“… um zu bleiben!
Die „Schonzeit“ im Umgang mit KI ist vorbei, wenn es überhaupt eine gab 😉
Aufsichtsbehörden sind angehalten zu prüfen
Die Aufsichtsbehörden dürfen und sollen nun auch von sich aus ermitteln – und nicht wie bisher ausschließlich aufgrund eines konkreten Anlasses. Zudem können sie nun Zwangsgelder verhängen, Bußgeldverfahren einleiten und Strafantrag stellen. Die Aufsichtsbehörden werden sich bei der Berechnung von Bußgeldern im Zweifelsfall eher an dem gruppenweiten Umsatz als an dem des Unternehmens orientieren.
KI | generell
Wenn es um das Thema Künstliche Intelligenz und seinen Mehrwert geht, scheiden sich immer noch die Geister. Für die einen ist KI nicht mehr als eine „bessere Autovervollständigung“, andere wiederum gehen davon aus, dass KI am Ende die „Menschheit retten“ wird.
Ob die Wahrheit tatsächlich an einem der beiden Pole dieser Ansichten zu finden sein wird, oder wie so oft in der Mitte, werden die nächsten Jahre zeigen.
Was sich jedoch jetzt schon attestieren lässt:
Es gibt zahlreiche KI-getriebene Verfahren, die bereits von den Verantwortlichen genutzt werden, und die Datenschutz-Aufsichtsbehörden müssen sich mit diesen Auseinandersetzen.
Als Instrumente zur Regelung und Bewertung von KI-Verfahren nutzen sie die Werkzeuge,
die Ihnen die Datenschutz-Grundverordnung (DS-GVO) an die Hand gibt.
Ob es um die KI-gestützte Erstellung von Briefen, Textgenerierung/Textrecherche in der
Verwaltung oder die Erkennung von Ertrinkenden geht: Die Aufsichtsbehörden haben sich
dieser „neuen Thematik“ angenommen und beraten in gewohnter Manier, soweit sich diese
mit den „alten Mitteln“ des Datenschutzes lösen lässt.
On-Top kommt die KI-VO und alsbald wohl auch Rechtsprechung.
Es bleibt also spannend… und wir helfen Ihnen hier gerne durch den „KI Irr-Wald“!
KI | und die Aufsichtsbehörden
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat jüngst im Berichtsjahr 2024/2025 mehrere KI-gestützte Systeme unter datenschutzrechtlichen Gesichtspunkten begleitet und bewertet. Die Anwendungen betreffen sowohl den öffentlichen
Sektor als auch den Gesundheitsbereich und zeigen exemplarisch, welche Herausforderungen mit dem Einsatz lernender Systeme verbunden sind.
Prüfkriterien | der DPA (Data Protection Authority)
Prüfkriterien der Datenschutzaufsicht unter anderem:
• die datenschutzrechtliche Verantwortlichkeit,
• die Zulässigkeit des KI-Trainings auf Basis von Art. 9 Abs. 2 Ziff. J
DS-GVO i. V. m. § 12 Hamburgisches Krankenhausgesetz (HmbKHG),
• die Sicherstellung von Betroffenenrechten und
• die Qualität der Pseudonymisierung sowie Anonymisierung nach
dem Training.
Des Weiteren wurde geprüft, die Verantwortlichkeitsverteilung zwischen Senatskanzlei und Fachbehörden,
• die Umsetzung von Betroffenenrechten, insbesondere im Prompting und bei Logdaten,
• die Notwendigkeit einer Datenschutz-Folgenabschätzung sowie
• die geplante zentrale Protokollierung und deren mögliche Verstöße
gegen das Trennungsprinzip.
KI im Schwimmbad | Erkennung von Ertrinkenden
Im Billebad testet die Stadt Hamburg das System „Lynxight“, das mithilfe maschinellen Lernens Bewegungsmuster erkennt, die auf drohende Ertrinkungsunfälle hinweisen.
Der HmbBfDI begleitet den Pilotbetrieb unter besonderer Beachtung:
• der Zweckbindung und Datenminimierung,
• der räumlichen Begrenzung der Videoüberwachung,
• des Verzichts auf Cloud-Speicherung,
• der Gestaltung der Alarmierung (anonymisiert auf Smartwatch) sowie
• der datenschutzkonformen Kalibrierung.