Die DSGVO, die sogenannte Datenschutz-Grundverordnung, gibt seit dem 25.05.2018 in Europa den Ton an, wenn es um Datenschutz geht. Ein für Verbraucher wichtiger Unterschied ist, dass die Strafen für Datenschutzvergehen durch Firmen deutlich höher geworden sind. Die Bußgelder können bis zu 20 Mio. Euro bzw. bis zu 4 % des erzielten Jahresumsatzes des Vorjahres betragen. Das ist auch der Grund, warum der Begriff „Schatten-KI“ in jeder Firma bekannt sein sollte!
Disclaimer: Dies ist keine Rechtsberatung, sondern der Versuch einer verständlichen Darstellung durch einen Laien, der sich informiert hat. Ich bin kein Anwalt. Es ist immer wichtig, sich durch Anwälte beraten zu lassen, die sich mit dem jeweiligen Thema auskennen, um rechtskonform unterwegs zu sein!
Was ist Schatten-KI?
Schatten-KI nennt man es, wenn Mitarbeiter im Unternehmen private Accounts bei KI-Anbietern für ihre Arbeit benutzen. Meistens ist das der Fall, wenn es keine „erlaubten“ internen KI-Lösungen gibt. Ein anderer Grund ist, wenn die offiziell nutzbaren KI-Lösungen für die Anwendungsfälle bzw. Use Cases der Mitarbeiter nicht oder nur schlecht geeignet sind.
Und hier entsteht das Problem. Auch wenn der Mitarbeiter die KI ohne Wissen des Unternehmens nutzt, hilft das dem Unternehmen nicht. Das Unternehmen hat dennoch die Pflicht, die DSGVO einzuhalten. Hier greift die sogenannte Rechenschaftspflicht des Unternehmens (Art. 5 Abs. 2 DSGVO), nach der die Firma jederzeit nachweisen muss, dass sie den Datenschutz im Griff hat. Abgesehen davon gibt es bei Schatten-KI natürlich auch Risiken bezüglich der Daten der Kunden oder Auftraggeber sowie hinsichtlich der Firmengeheimnisse.
Das DSGVO-Risiko ist sehr real!
Das Problem entsteht in dem Moment, in dem ein:e Mitarbeiter:in einfach eine E-Mail inkl. personenbezogener Daten in eine Cloud-KI kopiert. Auch wenn er oder sie nicht weiß, dass das nicht erlaubt ist, hilft das dem Unternehmen nicht. Es ist auch völlig egal, warum die Daten in der KI landen. In diesem Moment sind personenbezogene Daten in eine KI übertragen worden. Und das ist ein DSGVO-Problem, wenn zwischen dem Unternehmen und dem Cloud-KI-Anbieter kein Auftragsverarbeitungsvertrag (AVV) besteht. Dieser beschreibt, einfach gesagt, dass der Cloud-KI-Anbieter so gut auf die Daten aufpasst, wie der Besitzer (also der Verantwortliche im Sinne der DSGVO) damit umgehen will.
In Privatkundenverträgen bietet das keiner der großen Anbieter an, u.a. weder OpenAI für ChatGPT an, noch Google für Gemini. Auch nicht in den teureren Privat-Tarifen wird das angeboten – nur in den Business-Tarifen. Zusätzlich lauert hier das Problem der Drittlandübermittlung (Art. 44 ff. DSGVO). Da Anbieter wie OpenAI in den USA sitzen, müssten ohne spezielle Business-Verträge oft zusätzliche Sicherheitsgarantien, wie Standardvertragsklauseln, geprüft werden – was bei privaten Accounts nicht angeboten wird.
Das finanzielle Risiko
Jetzt kann man sagen: wo kein Kläger, da kein Richter. Stimmt. Aber was passiert, wenn OpenAI ein Daten-Leak hat? Und genau die E-Mail, die oben in einen Chatbot kopiert wurde, im geleakten Datensatz gefunden wird? Dann ist der DSGVO-Verstoß da und wird womöglich zu diesem Moment das erste Mal dem Unternehmen bekannt. Es gibt eine Untersuchung durch die zuständige Datenschutzbehörde. Im Worst Case könnte das zu folgendem Problem führen:
- Bußgeld wegen Verstoß gegen die DSGVO
bis zu 20 Mio. Euro bzw. bis zu 4 % des erzielten Jahresumsatzes des Vorjahres.
Eine interne Regelung gegen die Nutzung von privater Cloud-KI reicht übrigens wohl gemäß des EuGH nicht aus, s. Urteil C-741/21 – Juris GmbH von 2024. Im oben genannten Urteil stellte der Europäische Gerichtshof klar, dass Unternehmen für Fehler von Mitarbeitern haften können. Und zwar, solange sie nicht nachweisen können, dass sie alle „angemessenen“ technischen Maßnahmen zur Verhinderung des Verstoßes getroffen haben. Verhinderungsmaßnahmen wären z.B. die technische Sperrung des Zugriffs auf ChatGPT & Co im Firmennetz.
Disclaimer: Dies ist keine Rechtsberatung, sondern der Versuch einer verständlichen Darstellung durch einen Laien, der sich informiert hat. Ich bin kein Anwalt. Es ist immer wichtig, sich durch Anwälte beraten zu lassen, die sich mit dem jeweiligen Thema auskennen, um rechtskonform unterwegs zu sein!
Schulungen als Lösung
Nach dem AI Act sind Unternehmen, die KI einsetzen, dazu verpflichtet, dass ihre Mitarbeiter kompetent im Einsatz von KI sind („AI Literacy“). Die einfachste Lösung, das nachzuweisen, sind Schulungen. Direkte Bußgelder für mangelnde interne Maßnahmen sind im AI Act zwar nicht genannt. Sie kommen aber vermutlich bei der Bemessung der Bußgelder zur Geltung, wenn etwas schief geht.
Setzt der Mitarbeiter Schatten-KI ein, würde ich als Laie vermuten, dass bei der Bußgeldbemessung nach DSGVO relevant ist. Da wird der zusätzliche Verstoß gegen den AI Act vermutlich negativ zum Tragen kommen. Und der würde nahe liegen, wenn es keinen Nachweis über eine Schulungsmaßnahme zur Sicherstellung der KI-Kompetenz gemäß AI Act gibt. Eine Schulung zu KI würde ich als Erwartung an die in der DSGVO genannten „technischen und organisatorischen Maßnahmen“ (TOM) sehen. Aber wie gesagt: ich bin kein Anwalt und zusätzlich ist man auf hoher See und vor Gericht in Gottes Hand!
Und was nun?
Meine klare Empfehlung ist, die Mitarbeiter zu KI-Themen zu schulen und diese Schulung sauber zu dokumentieren. Idealerweise wiederholt man die Schulungen regelmäßig und passt sie an die aktuellen Entwicklungen in der KI an. Zusätzlich sollten KI-Lösungen für typische Use Cases der Mitarbeiter bereitgestellt werden, die sicherstellen, dass die DSGVO eingehalten wird. Es sollte also einen Auftragsverarbeitungsvertrag mit dem Anbieter geben oder eine lokale KI genutzt werden. Das ist sowieso das sicherste Vorgehen.
Zusätzlich scheint es gemäß des oben genannten EuGH Urteils sinnvoll zu sein, alle gängigen KI-Dienste wie ChatGPT, Gemini, Claude etc im Firmennetz zu sperren, sofern kein Firmen-Business-Account genutzt werden kann. Alternativ könnte man einen transparenten Prozess einführen, wie neue Tools beantragt werden können, um die „Schattenbildung“ von vornherein zu verhindern. So können Mitarbeiter die Tools einfach anmelden, diese Anmeldungen sollten dann aber auch zeitnah geprüft und kommentiert werden.
Disclaimer: Dies ist keine Rechtsberatung, sondern der Versuch einer verständlichen Darstellung durch einen Laien, der sich informiert hat. Ich bin kein Anwalt. Es ist immer wichtig, sich durch Anwälte beraten zu lassen, die sich mit dem jeweiligen Thema auskennen, um rechtskonform unterwegs zu sein!
