Zusammenhang zwischen Datenschutz und KI-Compliance
Wann immer KI-Systeme personenbezogene Daten verarbeiten, stellen sich sofort klassische Datenschutzfragen: Welche Daten werden verwendet? Was ist die Rechtsgrundlage? Zu welchem Zweck werden die Daten verarbeitet? Wie lange werden sie gespeichert? Wer hat Zugriff? Und wie werden die Rechte der betroffenen Personen gewahrt?
Gleichzeitig gehen die regulatorischen Erwartungen an KI-Systeme über den Datenschutz hinaus. Sie umfassen Transparenz, Erklärbarkeit, Risikomanagement, menschliche Aufsicht, Datenqualität und klare Verantwortlichkeiten über den gesamten Lebenszyklus des KI-Systems hinweg.
Schnittstelle zwischen DSGVO und EU-KI-Gesetz
Hier überschneiden sich die DSGVO und das EU-KI-Gesetz. Nehmen wir ein einfaches Beispiel: Ein Unternehmen nutzt ein KI-System, um Kundenanfragen, Betrugsrisiken oder Nutzerverhalten automatisch zu bewerten. Aus datenschutzrechtlicher Sicht muss das Unternehmen prüfen, ob personenbezogene Daten rechtmäßig verarbeitet werden und ob die Regeln für automatisierte Entscheidungen gemäß der DSGVO gelten. Aus Sicht der KI-Compliance muss das Unternehmen zudem prüfen, ob das System unter eine Risikokategorie des KI-Gesetzes fällt, welche Dokumentationspflichten gelten und wie die Transparenz gegenüber den Nutzern gewährleistet wird.
Die getrennte Behandlung dieser Bereiche führt zu unnötigen Doppelarbeiten, inkonsistenten Prozessen und potenziellen Lücken in der Rechenschaftspflicht. Unternehmen sollten daher damit beginnen, Datenschutz und KI-Compliance in einem einheitlichen Governance-Rahmen zu vereinen. Dieser sollte insbesondere Folgendes umfassen:
• ein vollständiges Verzeichnis der verwendeten KI-Systeme
• eine Bewertung der Datenkategorien, Verwendungszwecke und Rechtsgrundlagen
• klare Rollen und Verantwortlichkeiten zwischen Geschäftsbereichen, Rechtsabteilung, Datenschutz, IT und Compliance
• einheitliche Prozesse für Risikobewertungen, Genehmigungen und Dokumentation
• transparente Regeln für die Nutzung externer KI-Tools
• regelmäßige Überprüfung von Trainingsdaten, Ergebnissen und Mechanismen zur menschlichen Aufsicht
Die gute Nachricht ist, dass viele Bausteine bereits vorhanden sind. Datenschutz-Folgenabschätzungen, Verzeichnisse der Verarbeitungstätigkeiten, technische und organisatorische Maßnahmen, Lieferantenbewertungen und interne Richtlinien können alle als Grundlage für die KI-Governance dienen.
Wissen Sie, wie KI in Ihrem Unternehmen eingesetzt wird?
KI-Compliance beginnt mit einer einfachen Frage: Weiß das Unternehmen, wo, wie und zu welchem Zweck KI eingesetzt wird?
Bei Chevron Data & IT Compliance, einer spezialisierten Einheit innerhalb der Chevron-Gruppe, unterstützen wir Unternehmen in den Bereichen Datenschutzberatung, IT-Compliance und KI-Compliance – und helfen ihnen dabei, regulatorische Anforderungen mit praktischer Governance und verantwortungsvollem Technologieeinsatz zu verbinden.
Unternehmen, die diese Bereiche jetzt zusammenführen, reduzieren Risiken, stärken die Rechenschaftspflicht und bauen Vertrauen bei Kunden, Partnern, Aufsichtsbehörden und Mitarbeitern auf.
Wie geht Ihr Unternehmen damit um? Ist KI-Governance bereits Teil Ihrer bestehenden Datenschutz- und Compliance-Prozesse? – Oder wird sie noch als separater Arbeitsbereich behandelt? Kontaktieren Sie Alexander Korzen (Alexander-korzen@chevron.group) oder Nikolas Lotz (nikolas@chevron.group) für weitere Informationen.