Der 30. Tätigkeitsbericht der Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) beleuchtet die aktuellen Herausforderungen, vor denen Unternehmen beim Einsatz von Künstlicher Intelligenz (KI) stehen. Der Fokus liegt dabei auf dem datenschutzkonformen Umgang mit generativen KI-Systemen und der besonders kritischen Bewertung von Emotionserkennungssoftware.
Generative KI-Modelle: Datenschutzrechtlich ein Minenfeld
Die LDI NRW hebt hervor, dass generative KI-Systeme wie Large Language Models (LLMs) häufig große Mengen an personenbezogenen Daten verarbeiten – oft ohne Wissen der betroffenen Personen, etwa durch das automatisierte Auslesen öffentlich zugänglicher Internetinhalte. Auch wenn Unternehmen sich dabei auf das „berechtigte Interesse“ nach Art. 6 Abs. 1 lit. f DSGVO berufen, stellt die LDI NRW klar: Ein sorgfältiger Interessenausgleich ist zwingend erforderlich. Die bloße Veröffentlichung von Daten im Internet rechtfertigt nicht automatisch deren Nutzung zum Training von KI-Modellen.
Besonders problematisch ist laut Bericht das Risiko sogenannter Inferenzfehler: KI-Systeme können falsche oder irreführende Informationen über Personen erzeugen, deren Ursprung und Wahrheitsgehalt sich oft nicht mehr nachvollziehen lässt. Das Löschen oder Korrigieren personenbezogener Daten ist technisch aufwändig und bei generativen Modellen bislang kaum zufriedenstellend gelöst – häufig müsste dazu das gesamte Modell neu trainiert werden.
Emotionserkennungssoftware: Harte Kritik und klare Grenzen
Ein gravierender Fall: In einem Callcenter setzte ein Unternehmen KI-basierte Emotionserkennungssoftware ein, um die Stimmung von Mitarbeitenden und Kunden anhand der Sprachdaten zu analysieren – ohne informierte Einwilligung und ohne Datenschutz-Folgenabschätzung. Die LDI NRW wertet dieses Vorgehen als schweren Eingriff in die Persönlichkeitsrechte und untersagte daher den weiteren Einsatz. Zudem wird eine Sanktion geprüft.
Pflichten für Unternehmen: Klare Regeln für den KI-Einsatz
Der Bericht unterstreicht, dass Datenschutz auch im Zeitalter der Künstlichen Intelligenz nicht verhandelbar ist. Unternehmen, die KI-Systeme entwickeln oder einsetzen, sind verpflichtet:
- Eine klare Rechtsgrundlage für jede Verarbeitung personenbezogener Daten zu schaffen,
- die Betroffenenrechte wie Auskunft, Berichtigung und Löschung wirksam umzusetzen,
- und Datenschutz-Folgenabschätzungen (DSFA) frühzeitig durchzuführen.
Gerade bei generativen KI-Systemen gilt es, die Prinzipien „Privacy by Design“ und „Privacy by Default“ einzuhalten. Im Zweifel wird der Bezug spezialisierter Rechtsberatung empfohlen.
Fazit
Der Tätigkeitsbericht macht deutlich: Künstliche Intelligenz darf kein Risiko für die Rechte und Freiheiten der Menschen darstellen. Für Unternehmen heißt das: Datenschutz ist Pflicht – er ist essenziell, um Bußgelder zu vermeiden und das Vertrauen von Kunden und Belegschaft nachhaltig zu sichern.