Grafik für -KI und Datenschutz: Herausforderungen 2025
Management und Führung

KI und Datenschutz: Herausforderungen 2025

Der Einsatz von Künstlicher Intelligenz (KI) ist ein wichtiger Faktor für den wirtschaftlichen Erfolg eines Unternehmens. Da die KI aber kein vertrauenswürdiger oder zuverlässiger Selbstläufer ist, ist es für Unternehmen wichtig zu wissen und zu verstehen, wie sie funktioniert.

Die KI-VO ist seit August 2024 in Kraft und wird „auf Raten“ wirksam. Schon seit Februar 2025 besteht das Verbot für sogenannte „Verbotene KI-Praktiken“ und die Verpflichtung KI-Kompetenz nachweisen zu können.

Verbotene KI-Praktiken

Zu den auch für Unternehmen wichtigen verbotenen KI-Praktiken zählen:

  • KI-Systeme, die das menschliche Verhalten manipulieren; oder die Schwächen von Menschen ausnutzen;
  • KI-Systeme, die auf der Grundlage von Sozialverhalten oder persönlichen Merkmalen Bewertungen vornehmen, die zu einer Schlechterstellung führen können (Social Scoring); oder
  • Emotionserkennung am Arbeitsplatz.

Aber auch Risikobewertungssysteme wie „Predictive Policing“, das ungezielte Auslesen von Gesichtsbildern aus dem Internet, Biometrische Kategorisierungssysteme oder biometrischen Echtzeit-Fernerkennungssystemen sind – teils mit Ausnahmen – untersagt.

KI-Kompetenz

Unternehmen müssen KI-Kompetenz haben bzw. erwerben. Im Zusammenhang mit der KI-Verordnung sollte die KI-Kompetenz die Kenntnisse vermitteln, die erforderlich sind, um die angemessene Einhaltung und die Durchsetzung der KI-Verordnung sicherzustellen.

„KI-Kompetenzen“ sind die Fähigkeiten, sowohl die Kenntnisse als auch das Verständnis, KI-Systeme sachkundig einzusetzen und sich der Chancen und Risiken bewusst zu werden. Die Anbieter und Betreiber von KI-Systemen müssen Maßnahmen ergreifen, um sicherzustellen, dass ihr Personal und andere Personen, die in ihrem Auftrag mit dem Betrieb und der Nutzung von KI-Systemen befasst sind, über ein ausreichendes Maß an KI-Kompetenz verfügen.

Solche Konzepte können umfassen

  • das Verstehen des KI-Systems in der Entwicklungsphase,
  • die bei der Verwendung anzuwendenden Maßnahmen und geeignete Auslegung der Ausgaben des KI-Systems sowie
  • das nötige Wissen, um zu verstehen, wie sich mithilfe von KI getroffene Entscheidungen auswirken werden.

Datenschutz

Sofern personenbezogene Daten verarbeitet werden, sind die bestehenden Datenschutzregeln einzuhalten.

Die Informationspflichten sind auch hinsichtlich KI-Tools zu erfüllen. Falls automatisierte Entscheidungsfindung unter Einsatz von KI-Tools angewandt wird, müssen den Betroffenen weiters aussagekräftige Informationen zum Zustandekommen der Entscheidung, der involvierten Logik und der Tragweite der Verarbeitung gegeben werden.

Immer ist eine Datenschutz-Folgenabschätzung bei voraussichtlich hohem Risiko für Betroffene durchzuführen. Dabei sind insbesondere auch die Notwendigkeit und Verhältnismäßigkeit der Datenverarbeitung abzuwägen, sowie das Risiko für Betroffene zu bewerten und zu reduzieren. Bei hohem Risiko ist die Datenschutzbehörde zu konsultieren, die eine Verarbeitung auch untersagen kann.

Zusammengefasst: Es sind schon jetzt wichtige Teile der KI-VO wirksam und bei der Verarbeitung von personenbezogenen Daten die Datenschutzbestimmungen einzuhalten.


Christian Fritz © Die Fotografen
Dr. Franz Brandstetter ist langjähriger WIFI Trainer, Jurist und Unternehmensberater in den Bereichen Datenschutz und Compliance-Organisation. Er ist als Lehrbeauftragter für Datenschutz an der Westfälische Hochschule Recklinghausen im Fachbereich Wirtschaftsrecht tätig und Autor zahlreicher Publikationen u.a. von 'AGB kompakt' und 'Rechtsabteilung & Unternehmenserfolg'.

Bildcredits: © Blue Planet Studio | stock.adobe.com, © Cayan Simsek (Portrait)