Vorsicht Falle: KI-Systeme und externe Dienstleister
Gefühlt hat man als DSB täglich mit dem Prüfen von Verträgen zur Auftragsverarbeitung zu tun. Dabei rückt das Thema „KI-Einsatz beim Auftragnehmer“ in den Vordergrund. Denn das eigene, beauftragende Unternehmen bleibt der Verantwortliche im Sinne der DSGVO.
Spätestens wenn man im eigenen Unternehmen alles im Griff hat, was mit künstlicher Intelligenz (KI) zu tun hat, sollte man sich die Frage stellen: „Haben wir auch an unsere Auftragsverarbeiter gedacht?“ Die externen Dienstleister arbeiten auf Weisung und nach den Vorgaben des Unternehmens. Nicht, dass im Unternehmen alles im grünen Bereich ist und beim Auftragsverarbeiter die Daten über einen kostenfreien privaten Account bei ChatGPT in den USA landen.
Das Unternehmen bliebt verantwortlich im Sinne der Datenschutz-Grundverordnung (DSGVO). Somit sollte es wissen, ob der Dienstleister für die Datenverarbeitung auch künstliche Intelligenz einsetzt. Wenn ja, ist zu prüfen, ob er alle Vorgaben einhält und ob beim Auftragsverarbeiter KI-Kompetenz vorhanden ist. Es ist weithin gut zu wissen, welches Tool zum Einsatz kommt und wie der Dienstleister das KI-System nutzt.
AV-Verträge anpassen
Da der Auftragsverarbeiter die Daten nach Weisung verarbeitet, kann das auftraggebende Unternehmen den Einsatz von KI bei der Verarbeitung verbieten, wenn es Risiken identifiziert. Es ist eine gute Idee, eine entsprechende Passage in die Auftragsverarbeitungsverträge aufzunehmen. Und zwar auch bei bestehenden Verträgen. Die meisten AV-Verträge kommen zu Beginn der Zusammenarbeit zustande, schlummern dann aber in irgendwelchen Ordnern und kommen nur noch selten aus der Schublade.
Die DSGVO sieht die Überprüfung der externen Dienstleister während des gesamten Vertragsverhältnisses vor – Art. 28 DSGVO lässt grüßen. Somit empfiehlt es sich, das Thema „KI“ bei der Prüfung der Auftragsverarbei…
Weiterlesen mit Abo