Künstliche Intelligenz (KI) kann den Arbeitsalltag vereinfachen, Kreativität fördern und Prozesse effizienter gestalten.

KI bringt aber auch neue Herausforderungen mit sich – insbesondere im Hinblick auf Datenschutz, Qualitätssicherung und ethische Verantwortung.

Diese 8 Gebote bieten allen Mitarbeitenden eine klare Orientierung für den sicheren, verantwortungsvollen und sinnvollen Umgang mit KI im Unternehmen.

1. Gebot: Du sollst nur freigegebene KI-Tools nutzen

Verwende ausschließlich KI-Anwendungen, die von deiner IT-Abteilung oder Datenschutzstelle freigegeben wurden. Nicht geprüfte oder frei verfügbare Tools können Daten missbrauchen oder gegen gesetzliche Vorgaben verstoßen.

2. Gebot: Du sollst Ergebnisse der KI kritisch prüfen

KI liefert keine Wahrheiten – sie erstellt Vorschläge auf Basis von Wahrscheinlichkeiten. Überprüfe deshalb alle Inhalte, Fakten oder Empfehlungen sorgfältig, bevor du sie nutzt oder weiterverbreitest.

3. Gebot: Du sollst keine sensiblen oder personenbezogenen Daten in KI Systeme eingeben

Gib niemals Namen, E-Mail-Adressen, Fotos, Audio- oder Videoaufnahmen von Personen in KI-Systeme ein – auch nicht intern. Gleiches gilt für vertrauliche Informationen, Geschäftsgeheimnisse oder geschützte Dokumente. Nutze Anonymisierung und Datenreduktion als Standard.

4. Gebot: Du sollst Transparenz schaffen und DeepFakes vermeiden

Kennzeichne KI-generierte Inhalte entsprechend den gesetzlichen Vorgaben. Simuliere keine menschliche Kommunikation, wo tatsächlich eine KI antwortet.
Achtung! Die bewusste Nachbildung geschützter Werke (z. B. Texte, Bilder, Musik) ist sogar verboten.

5. Gebot: Du sollst Kontrolle behalten und Entscheidungen selbst treffen

KI kann unterstützen, aber nicht entscheiden. Du bist für das Ergebnis verantwortlich – nicht die Maschine. Nutze KI als Werkzeug, nicht als Ersatz für dein Urteilsvermögen.

6. Gebot: Du sollst deine Kompetenzen stetig erweitern

Lerne, wie KI funktioniert und wo ihre Grenzen liegen. Nimm an Schulungen teil, probiere aus und tausche dich mit Kolleg*innen aus. Nur wer versteht, wie KI denkt, kann sie sicher und sinnvoll einsetzen.

7. Gebot: Du sollst den sozialen Zusammenhalt im Team wahren

Beobachte, wie KI die Zusammenarbeit verändert. Achte darauf, dass zwischenmenschliche Beziehungen, Kreativität und gemeinsames Lernen nicht durch Automatisierung ersetzt werden. Technologie ist Mittel zum Zweck – nicht umgekehrt.

8. Gebot: Du sollst mit Offenheit und Verantwortung experimentieren

Der Umgang mit KI ist neu – deshalb braucht es Mut zum Ausprobieren, aber auch klare Leitplanken. Teile Erfolge und Misserfolge, entwickle Prozesse weiter und bleibe reflektiert.

Der bewusste Umgang mit KI soll Teil der Unternehmenskultur sein.

Hinweis für Arbeitgeber

Der Einsatz von KI in Unternehmen erfordert klare Richtlinien, die bei Haftungsklagen nachgewiesen werden müssen.
Hier finden Sie eine mögliche Textvorlage für Richtlinien zur Nutzung von KI im Unternehmen.

Frage Tulos Consulting Experten für weitere Informationen zu Künstlicher Intelligenz (KI)!

Hinweise für Datenschutzbeauftragte „Künstliche Intelligenz“

1.   Verarbeitung personenbezogener Daten mit KI-Systemen

Die Verarbeitung personenbezogener Daten mit KI-Systemen muss immer den Vorschriften der DSGVO entsprechen. Daher sind sowohl die Richtlinien der KI-Verordnung (KI-VO) als auch die der DSGVO zu beachten.

1.1. Beispiele für die Verarbeitung personenbezogener Daten mit KI:

• Training von KI-Systemen mit Datensätzen, die personenbezogene Daten enthalten.
• Eingabe personenbezogener Daten in den Prompt eines Sprachmodells.
• Verwendung eines KI-Systems zur Zusammenfassung von Dokumenten mit personenbezogenen Daten.
• Auswertung von Gesundheitsdaten in einer Fitness-App mithilfe von KI.

Besonders wichtig ist, dass für jede Datenverarbeitung eine rechtliche Grundlage vorhanden ist. Bei der Verarbeitung besonderer Kategorien personenbezogener Daten gemäß Artikel 9 Absatz 1 DSGVO müssen zusätzliche Anforderungen erfüllt werden.

2.   Automatisierte Einzelfallentscheidungen

Automatisierte Einzelfallentscheidungen, die rechtliche Wirkung entfalten oder die betroffene Person erheblich beeinträchtigen, sind gemäß Artikel 22 DSGVO grundsätzlich verboten. Menschen sollen nicht ausschließlich von Maschinen getroffenen Entscheidungen abhängig sein.

Wenn KI-Systeme in diesem sensiblen Bereich eingesetzt werden sollen, müssen folgende Voraussetzungen erfüllt sein:

• Es muss eine der Ausnahmen aus Artikel 22 Absatz 2 DSGVO vorliegen.
• Die Anforderungen aus Artikel 22 Absatz 4 DSGVO müssen bei der Verarbeitung besonderer Kategorien personenbezogener Daten eingehalten werden.
• Die Transparenzanforderungen aus Artikel 22 Absatz 3 DSGVO sowie gegebenenfalls aus § 31 Bundesdatenschutzgesetz (BDSG) müssen erfüllt werden.

3.   Informationspflichten und Transparenzpflichten

Die Informationspflichten gemäß Artikel 13 und 14 DSGVO sowie die Transparenzpflichten der KI-VO müssen unabhängig voneinander eingehalten werden.

Möglicherweise muss laut Artikel 13 DSGVO über die KI als Empfänger von personenbezogenen Daten informiert werden.

Das KI-System muss im Verzeichnis von Verarbeitungstätigkeiten gemäß Artikel 30 DSGVO aufgeführt werden.

4.   Datenschutz-Folgenabschätzung

Eine Datenschutz-Folgenabschätzung (Artikel 35 DSGVO) ist notwendig, wenn KI-Systeme als „neue Technologie“ eingesetzt werden und ein hohes Risiko für die Rechte und Freiheiten von Personen besteht.

Öffentliche Einrichtungen und private Anbieter öffentlicher Dienste müssen vor dem Einsatz eines KI-Systems möglicherweise auch eine Grundrechte-Folgenabschätzung (Artikel 27 KI-VO) durchführen. Dies gilt insbesondere, wenn KI-Systeme zur Kreditprüfung, Bonitätsbewertung oder Risikoprüfung bei Versicherungen eingesetzt werden sollen.

5.   Auskunftsrecht

Die Rechte der betroffenen Personen nach den Artikeln 12 bis 23 DSGVO stellen für Betreiber von KI-Systemen eine erhebliche Herausforderung dar. Besonders das Auskunftsrecht erfordert aufwändige Prozesse, um sicherzustellen, dass Anfragen korrekt und zeitnah beantwortet werden.

6.   Drittlandtransfer

Werden personenbezogene Daten außerhalb der EU und des EWR verarbeitet, müssen die Anforderungen an die Übermittlung in Drittländer (Artikel 44 ff. DSGVO) eingehalten werden.

Das neue HinSchG: Ein Meilenstein für die Bekämpfung von Missbrauch

Mit dem verabschiedeten, sogenannten Whistleblower-Gesetz müssen Organisationen aktive Maßnahmen gegen Missbrauch von Mitarbeitenden umsetzen.

Dieser Tulos Blog erklärt, was das HinSchG für Unternehmen bedeutet und wie sie den Anforderungen in der Praxis umsetzen, Schritt für Schritt.

Schritt 1.

Alle Unternehmen müssen allen Mitarbeitenden einen Kanal bieten, um Missstände innerhalb des Unternehmens zu melden.

Bei Unternehmen mit weniger als 50 Mitarbeitenden ist dieser Kanal eine externe Meldestelle, in der Regel bei einer Bundes- oder Landesbehörde, wie beispielsweise die BaFin, das Bundeskartellamt oder das Bundesamt für Justiz.

Unternehmen ab 50 Mitarbeitenden müssen dagegen eine interne Meldestelle einrichten. Für diese Organisationen ist die Einrichtung einer internen Meldestelle ist verpflichtend.

Schritt 2

Ernennung einer unparteiischen Kontaktperson

Um sicherzustellen, dass eingehende Hinweise fair und neutral behandelt werden, müssen Unternehmen eine unparteiische Person ernennen. Diese ist für die Bearbeitung des Hinweises und die Kommunikation mit dem hinweisgebenden Mitarbeitenden verantwortlich. Dadurch wird gewährleistet, dass Hinweisgeberinnen und Hinweisgeber Vertrauen in den Meldemechanismus haben und ihre Informationen in sicheren Händen wissen. Die unparteiische Person kann sowohl ein unparteiischer Beschäftigter als auch eine externe Vertrauensperson sein.

Für viele Unternehmen ist es gar nicht so einfach eine wirklich neutrale Person intern zu finden, daher bietet sich eine externe Datenschutzbeauftragte oder ein externer Datenschutzbeauftragter an. Diese sind auf Grund ihrer Rolle neutral und sie kennen das Unternehmen mit seinen Mitarbeitende.

Tulos-Datenschutzbeauftragte sind bei vielen Unternehmen als Kontaktperson anerkannt.

In jedem Fall ist sicherzustellen, dass die Vertraulichkeit der Identität des Whistleblowers und der in der Meldung erwähnten Dritten gewahrt bleibt. Wichtig ist die Implementierung wirksamer Verschlüsselungstechnologien sowie eines Rollen- und Berechtigungskonzepts im Meldeablauf. Es sollte niemals eine E-Mail-Adresse sein, aber immer eine Telefonnummer, die man anonym anrufen kann.

Schritt 3

Zeitnahe Reaktion und Feedback sind erforderlich

Innerhalb von sieben Tagen muss der Hinweisgeberin oder dem Hinweisgeber eine Eingangsbestätigung gesendet werden, um sie oder ihn über den Eingang des Hinweises zu informieren. Anschließend sind konkrete Folgemaßnahmen zu ergreifen. Das Unternehmen muss den Hinweis überprüfen und Nachforschungen über den gemeldeten Missstand anstellen. Schließlich ist der Hinweisgeberin oder dem Hinweisgeber innerhalb von drei Monaten nach Meldungseingang Feedback über die ergriffenen Maßnahmen zu geben.

Tulos begleitet alle Erfordernisse und selbstverständlich auch die technischen Maßnahmen, die eine Meldestelle benötigt.

Tulos schult Mitarbeitende, wie sie mit Missbrauch im Unternehmen umgehen und zeigt ihnen, wo sie sich melden können.

Schritt 4

 Dokumentation und Nachweis

Alle eingegangenen Hinweise sowie die ergriffenen Maßnahmen sind zu dokumentieren. Eine lückenlose Dokumentation ist essenziell, um den Nachweis zu erbringen, dass das Unternehmen die erforderlichen Schritte unternommen hat und die Unternehmensintegrität ernst nimmt. Tulos prüft oder erstellt alle erforderlichen Dokumentationen und Nachweise.

Vermeiden Sie Verstöße und Bußgelder

Das HinSchG sieht unterschiedliche Bußgelder für Verstöße vor. Wenn beispielsweise kein Meldekanal zur Verfügung gestellt wird, beträgt das Bußgeld bis zu 20.000,00 €. Wer versucht, eine Meldung zu verhindern, wird mit einem Bußgeld von bis zu 50.000,00 € belegt. In bestimmten Konstellationen sind für das Unternehmen im schlimmsten Fall bis zu 500.000 € fällig.

 Fazit

Das HinSchG markiert einen bedeutenden Fortschritt in der Bekämpfung von Missbrauch. Unternehmen sollten sich der neuen Anforderungen bewusst sein und angemessene Maßnahmen ergreifen, um den Meldemechanismus zu implementieren.

Eine offene Unternehmenskultur, in der Mitarbeitende geschützt werden und Missstände konsequent angegangen werden, ist entscheidend. Durch die Umsetzung des HinSchG kommen Unternehmen nicht nur ihren gesetzlichen Verpflichtungen nach, sie stärken auch das Vertrauen ihrer Mitarbeitenden Lieferanten und Kunden.

 Wozu benötigt man einen Datenschutzbeauftragten?

Datenschutz ist heute wichtiger denn je, um rechtliche Sanktionen, Bußgelder und Reputationsschäden zu verhindern. Die Digitalisierung erhöht das Risiko von Missbrauch und Datenpannen. Erfahrene Datenschutzbeauftragte unterstützen bei der Vermeidung von Datenschutzverletzungen.

Wer benötigt einen Datenschutzbeauftragten?

Organisationen mit mehr als 20 Mitarbeiterinnen und Mitarbeitern, die personenbezogene Daten verarbeiten, sollten einen Datenschutzbeauftragten ernennen. Dies gilt insbesondere für Branchen wie Arztpraxen und Anwaltskanzleien, die vertrauliche Informationen handhaben. Datenschutzbeauftragte müssen die Abläufe und Technologien der Organisation verstehen.

Was macht ein Datenschutzbeauftragter?

– Überwachung der Einhaltung von Datenschutzgesetzen zur Risikominimierung.

– Beratung und Schulung der Mitarbeiter*Innen für sichere Datenverarbeitung.

– Durchführung von Datenschutz-Folgenabschätzungen für mehr Sicherheit.

– Erstellung klarer Datenschutzdokumentationen zur Einhaltung von Richtlinien.

– Regelmäßige Datenschutzprüfungen und -überwachung zur Früherkennung von Verletzungen.

– Schnelles Handeln im Falle einer Datenschutzverletzung zur Schadensbegrenzung.

– Ansprechpartner für Datenschutzanfragen zur Kundenzufriedenheit.

– Zusammenarbeit mit Aufsichtsbehörden zur Risikoreduzierung.

– Proaktive Risikobewertung und -management.

– Effiziente Verwaltung von Datenschutzanfragen zur Kundenzufriedenheit.

Fazit:

Insgesamt ist die Bestellung eines Datenschutzbeauftragten entscheidend, um Datenschutzverletzungen zu verhindern und die Einhaltung der Datenschutzgesetze sicherzustellen. Datenschutz ist ein essenzieller Aspekt des modernen Geschäftslebens, der ernst genommen werden sollte.