Die DSGVO, die sogenannte Datenschutz-Grundverordnung, gibt seit dem 25.05.2018 in Europa den Ton an, wenn es um Datenschutz geht. Ein für Verbraucher wichtiger Unterschied ist, dass die Strafen für Datenschutzvergehen durch Firmen deutlich höher geworden sind: Die Bußgelder können bis zu € 20 Mio. bzw. bis zu 4 % des erzielten Jahresumsatzes des Vorjahres betragen. Das ist auch der Grund, warum der Begriff „Schatten-KI“ in jeder Firma bekannt sein sollte!
Disclaimer: Dies ist keine Rechtsberatung, sondern der Versuch einer verständlichen Darstellung durch einen Laien, der sich informiert hat. Ich bin kein Anwalt. Es ist immer wichtig, sich durch Anwälte beraten zu lassen, die sich mit dem jeweiligen Thema auskennen, um rechtskonform unterwegs zu sein!
Was ist Schatten-KI?
Schatten-KI nennt man es, wenn Mitarbeiter im Unternehmen private Accounts bei KI-Anbietern für ihre Arbeit benutzen. Meistens ist das der Fall, wenn es keine „erlaubten“ internen KI-Lösungen gibt. Und hier entsteht das Problem: bloß weil der Mitarbeiter die KI ohne Wissen des Unternehmens nutzt, befreit das das Unternehmen nicht von seinen Pflichten, die DSGVO einzuhalten. Hier greift die sogenannte Rechenschaftspflicht des Unternehmens (Art. 5 Abs. 2 DSGVO), nach der die Firma jederzeit nachweisen muss, dass sie den Datenschutz im Griff hat.
Das DSGVO-Risiko ist sehr real!
Das Problem entsteht in dem Moment, in dem ein Mitarbeiter – ohne es besser zu wissen – einfach eine E-Mail inkl. personenbezogener Daten in eine Cloud-KI kopiert und eine Frage dazu stellt. In diesem Moment sind personenbezogene Daten in eine KI übertragen worden, ohne dass zwischen dem Unternehmen und dem Cloud-KI-Anbieter ein Auftragsverarbeitungsvertrag besteht. Dieser beschreibt, einfach gesagt, dass der Cloud-KI-Anbieter so gut auf die Daten aufpasst, wie der Besitzer (also der Verantwortliche im Sinne der DSGVO) damit umgehen will. In Privatkundenverträgen bietet das weder OpenAI für ChatGPT an, noch Google für Gemini. Auch nicht in den teureren Tarifen wird das angeboten – nur in den Business-Tarifen. Zusätzlich lauert hier das Problme der Drittlandübermittlung (Art. 44 ff. DSGVO). Da Anbieter wie OpenAI in den USA sitzen, müssten ohne spezielle Business-Verträge oft zusätzliche Sicherheitsgarantien, wie Standardvertragsklauseln, geprüft werden – was bei privaten Accounts nicht angeboten wird.
Jetzt kann man sagen: wo kein Kläger, da kein Richter. Stimmt. Aber was passiert, wenn OpenAI ein Daten-Leak hat und genau die E-Mail, die der oben genannten Firma gehört, im Datensatz gefunden wird. Dann ist der DSGVO-Verstoß da und wird womöglich zu diesem Moment das erste Mal dem Unternehmen bekannt. Es gibt eine Untersuchung. Im Worst Case könnte das zu folgenden Problemen führen:
- Bußgeld wegen Verstoß gegen die DSGVO:
bis zu € 20 Mio. bzw. bis zu 4 % des erzielten Jahresumsatzes des Vorjahres
Eine interne Regelung gegen die Nutzung von privater Cloud-KI reicht übrigens wohl gemäß des EuGH nicht aus, s. Urteil C-741/21 – Juris GmbH von 2024.
Im oben genannten Urteil stelte der Europäische Gerichtshof klar, dass Unternehmen auch für Fehler von Mitarbeitern haften können, wenn sie nicht nachweisen können, dass sie alle „angemessenen“ technischen Maßnahmen zur Verhinderung des Verstoßes getroffen haben. Verhinderungsmaßnahmen wären z.B. die Sperrung des Zugriffs auf ChatGPT & Co.
Nach dem AI Act sind Unternehmen, die KI einsetzen, dazu verpflichtet, ihre Mitarbeiter zu schulen. Direkte Bußgelder für unterlassene Schulungen sind dort nicht genannt, kommen aber sicherlich bei der Bemessung der Bußgelder zur Geltung. Setzt der Mitarbeiter aber Schatten-KI ein, würde ich als Laie vermuten, dass bei der Bußgeldbemessung nach DSGVO der zusätzliche Verstoß gegen den AI Act negativ zum Tragen kommt. Das würde ich insbesondere erwarten, da eine Schulung zu KI auch als grundsätzliche Erwartung an die in der DSGVO genannten „technischen und organisatorischen Maßnahmen“ (TOM) zum Schutz der personenbezogenen Daten spätestens zum weitestgehenden Inkrafttreten des der Pflicht zur KI-Kompetenz gemäß AI Act ab dem 02.02.26 erwartet werden kann.
Aber wie gesagt: ich bin kein Anwalt und zusätzlich ist man auf hoher See und vor Gericht in Gottes Hand!
Und was nun?
Meine klare Empfehlung ist, die Mitarbeiter zu KI zu schulen und diese Schulung sauber zu dokumentieren. Zusätzlich sollten KI-Lösungen für typische Use Cases der Mitarbeiter bereitgestellt werden, die sicherstellen, dass die DSGVO eingehalten wird. Es sollte also einen Auftragsverarbeitungsvertrag mit dem Anbieter geben oder eine lokale KI genutzt werden – das ist sowieso das sicherste Vorgehen. Zusätzlich scheint es gemäß des oben genannten EuGH Urteils sinnvoll zu sein, zumindest alle gängigen KI-Dienste wie ChatGPT, Gemini, Claude etc im Firmennetz zu sperren. Alternativ könnte man zumindest einen transparenten Prozess einführen, wie neue Tools beantragt werden können, um die „Schattenbildung“ von vornherein zu verhindern.
Disclaimer: Dies ist keine Rechtsberatung, sondern der Versuch einer verständlichen Darstellung durch einen Laien, der sich informiert hat. Ich bin kein Anwalt. Es ist immer wichtig, sich durch Anwälte beraten zu lassen, die sich mit dem jeweiligen Thema auskennen, um rechtskonform unterwegs zu sein!
