Datenschutz-Folgenabschätzung bei KI-Systemen

Eine Datenschutz-Folgenabschätzung (­DSFA) durchzuführen, ist immer noch eine Aufgabe, bei der selbst seitens Datenschutzexperten Berührungsängste bestehen. Dabei muss das gar nicht sein – auch wenn eine DSFA im Detail sehr komplex werden kann, ist der Ablauf im Grunde immer gleich.

Beispielszenario: KI auf Webshop

Anhand eines konkreten Fallbeispiels sei die Durchführung einer DSFA bei einer KI-Anwendung skizziert. Ein klassisches Feld, das jetzt schon mit KI-Systemen arbeitet, ist die Beantwortung von Kundenanfragen, sei es in Form eines Chatbots auf der Webseite, bei Anrufen oder auch für die Beantwortung von Bewertungen in Webshops.

Üblicherweise ist bei KI-Systemen nicht nur ein einziger Anbieter involviert. Oftmals bedient sich der Anbieter entsprechender KI-Dienste von Unternehmen wie OpenAI (ChatGPT) oder Microsoft (Copilot), auf denen dann das KI-System basiert. Häufig haben diese Anbieter ihren Hauptsitz oder Server in Drittländern außerhalb der EU/des EWR. Daher müssen Verantwortliche die damit verbundenen datenschutzrechtlichen Probleme ebenfalls betrachten und können sie im Rahmen der Risikoanalyse mit analysieren.

Nehmen wir an, das KI-System läuft über einen europäischen Anbieter mit US-KI. Der Verantwortliche setzt das System auf dem hauseigenen Webshop ein. Im Webshop besteht die Möglichkeit, Produkte zu bewerten und Kommentare abzugeben. Aufgrund der Vielzahl dieser Kommentare soll nun die Anwendung KI-gestützt auf diese Kommentare und Bewertungen reagieren, indem sie Fragen oder Probleme mit dem Produkt…

+

Weiterlesen mit DP+

Sie haben noch kein Datenschutz-PRAXIS-Abo und möchten weiterlesen?

Konzentrieren Sie sich aufs Wesentliche

Profitieren Sie von kurzen, kompakten und verständlichen Beiträgen.

Kein Stress mit Juristen- und Admin-Deutsch

Lesen Sie praxisorientierte Texte ohne Fußnotenapparat und Techniker-Sprech.

Sparen Sie sich langes Suchen

Alle Arbeitshilfen und das komplette Heftarchiv finden Sie online.

Jetzt testen