Künstliche Intelligenz erobert den Arbeitsalltag in einer beispiellosen Geschwindigkeit. In vielen Unternehmen vollzieht sich die digitale Transformation jedoch nicht in einem strategisch geplanten Wandel, sondern unter dem Radar der Führungskräfte. Häufig nutzen Mitarbeitende generative KI-Systeme ohne das Wissen der Unternehmensführung oder der IT-Abteilung. Man spricht in solchen Fällen von Schatten-KI, die für das Unternehmen zu einem großen Risiko werden kann.  

Ein Thema, das dabei im Zentrum der Nutzung von Schatten-KI steht, ist der Datenschutz. Dieser ist in der Datenschutzgrundverordnung (DSGVO) verankert und wird durch die Bundesdatenschutzgesetz (BDSG) ergänzt.   

Um ein Verständnis dafür zu entwickeln, wann der Datenschutz nach der DSGVO überhaupt betroffen ist, ist eine saubere Datenklassifikation notwendig. 

Datenschutzrechtliche Risiken bei der Verwendung von Schatten-KI  

Doch wo genau finden sich die datenschutzrechtlichen Risiken bei der unkontrollierten Verwendung von Schatten-KI? 

Ein Großteil der öffentlich zugänglichen generativen KI-Modellen wie ChatGPT oder Gemini sind darauf ausgelegt mit den Eingaben (Prompts) der Nutzer weiter zu trainieren. Die eingegebenen Daten verlassen somit den geschützten Raum des Unternehmens und geraten in den Trainingspool des Anbieters. Dies stellt ein beträchtliches Risiko dar, wenn Mitarbeitende Geschäftsgeheimnisse, Strategiepapiere und personenbezogenen Kundendaten mit einer KI teilen. Das Unternehmen verliert die Kontrolle über die Daten, sodass der Datenschutz für die eingegeben Daten dann nicht mehr gewährleistet ist, was rechtliche Konsequenzen haben kann.  

Insbesondere KI-Modelle mit Sitz in den USA (z.B. ChatGPT, Gemini) stellen datenschutzrechtlich ein erhebliches Problem dar, da diese nicht an europäische Datenschutzvorgaben gebunden sind. In den USA gibt es kein einheitliches, bundesweites Datenschutzgesetz, was den Schutz personenbezogener Daten erschwert. Gelangen personenbezogene Daten somit auf einen Server in den USA, können die europäischen Standards aus der DSGVO nicht mehr eingehalten werden, obwohl europäische Unternehmen dazu verpflichtet sind, personenbezogene Daten nach den Regeln der DSGVO zu verarbeiten.   

Hinzu kommt, dass selbst wenn sich die Mitarbeitenden den datenschutzrechtlichen Risiken von Künstlicher Intelligenz bewusst sind und darauf bedacht sind, keine sensiblen Daten zu teilen, häufig unterschätzt wird, dass in Zeiten von Künstlicher Intelligenz die Hürden für eine vollständige Anonymisierung von Daten sehr hoch ist. Moderne Algorithmen können Muster in Daten finden, die zu einer De-Anonymisierung führen können, sodass aus vermeintlich anonymen Daten wieder personenbezogene Daten werden.   

Es zeigt sich somit, dass die unkontrollierte Verwendung von Schatten-KI durch die Mitarbeitenden erhebliche rechtliche Risiken für den Arbeitgeber birgt, selbst wenn keine böse Absicht dahinter steckt.   

Handlungsempfehlungen für Arbeitgeber  

KI-Anwendungen pauschal zu verbieten, ist in der heutigen Arbeitswelt weder effektiv noch zeitgemäß und würde die Mitarbeitenden nur weiter in die Nutzung von Schatten-KI treiben. Doch welche Möglichkeiten hat man als Arbeitgeber stattdessen, die datenschutzrechtlichen Risiken, die von Schatten-KI ausgehen, zu minimieren?  

Durch diese strukturierte Herangehensweise können die datenschutzrechtlichen Risiken reduziert werden und Künstliche Intelligenz kontrolliert als effiziente Unterstützung im Arbeitsalltag genutzt werden.