News

Die datenschutzrechtliche Dokumentation von KI-Anwendungen

19/12/2024

Auch der Einsatz von KI-Anwendungen im Unternehmen kann eine Verarbeitungstätigkeit sein, die nach der DSGVO zu dokumentieren ist:

Verarbeitungsverzeichnis (VVT): Sämtliche Prozesse, bei denen KI-Tools personenbezogene Daten verarbeiten, sind im VVT zu dokumentieren. KI-Tools, die keine personenbezogenen Daten verarbeiten, aber zur Unterstützung bzw. als Mittel einer Verarbeitungstätigkeit genutzt werden, sollten ebenfalls dokumentiert werden.

Durchführung einer Datenschutz-Folgenabschätzung (DSFA): Erstellen Sie eine DSFA, wenn personenbezogene Daten durch das KI-Tool verarbeitet werden. Prüfen Sie dabei insbesondere die Auswirkungen auf die Rechte und Freiheiten der betroffenen Personen und entwickeln Sie Maßnahmen zur Risikominderung. Sofern Sie keine personenbezogenen Daten mit der KI verarbeiten, ist trotzdem eine Risikoanalyse sinnvoll.

Auftragsverarbeitungsvertrag  (AVV): Sofern ein externer Anbieter bzw. Dienstleister ein KI-Tool bereitstellt, ist ein AVV zu schließen. Gegebenenfalls sind die Verträge zu aktualisieren.

Betroffenenrechte: Informieren Sie die betroffenen Personen über den Einsatz der KI. Überlegen Sie sich Maßnahmen, wie dem Recht auf Auskunft oder auf Löschung nachgekommen werden kann.    

Interne Richtlinien: Entwickeln Sie Richtlinien zum Einsatz von KI. Stellen Sie sicher, dass alle betroffenen Beschäftigten entsprechend informiert und geschult werden


Alle Artikel anzeigen