Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) hat die dritte Ausgabe seiner Reihe „AI in a nutshell“ veröffentlicht, die sich explizit dem Einsatz von LLM-gestützten Chatbots widmet. Diese Handreichung dient als kompakte Ergänzung zur umfassenden Orientierungshilfe „Datenschutz bei KI-Projekten“ und adressiert zentrale rechtliche sowie technische Fragestellungen. Unternehmen erhalten hierdurch eine Orientierung, wie Sprachmodelle im Einklang mit der DSGVO und der neuen KI-Verordnung betrieben werden können.
Welche technischen Weichenstellungen sind bereits bei der Beschaffung entscheidend?
Bereits in der Planungsphase müssen Verantwortliche prüfen, ob der Einsatz eines Chatbots zwingend die Verarbeitung personenbezogener Daten erfordert. Eine wesentliche Differenzierung erfolgt dabei zwischen klassischen regelbasierten Systemen und modernen Large Language Models (LLM), welche Antworten auf Basis von Wahrscheinlichkeiten generieren. Unternehmen stehen vor der Wahl zwischen offenen Cloud-Lösungen und abgeschotteten Systemen. Letztere sind aus Datenschutzsicht regelmäßig vorzuziehen, da die Datenverarbeitung in einer technisch abgeschlossenen Umgebung erfolgt. Zudem ist frühzeitig zu klären, ob Techniken wie Retrieval Augmented Generation (RAG) zur Einbindung externer Datenquellen genutzt werden sollen, was zusätzliche Anforderungen an die Daten-Governance stellt.
Welche Transparenz- und Dokumentationspflichten treffen den Betreiber?
Nach der KI-Verordnung müssen Betreiber ihre Nutzer grundsätzlich darauf aufmerksam machen, dass sie mit einem KI-System interagieren, um eine informierte Entscheidung über die weitere Nutzung treffen zu können. Diese spezifischen Pflichten für Systeme mit begrenztem Risiko bestehen unabhängig von den Transparenzanforderungen der DSGVO, die weiterhin vollumfänglich gelten. Parallel dazu ist die Erstellung einer Datenschutz-Folgenabschätzung sowie eines Verzeichnisses von Verarbeitungstätigkeiten für einen rechtskonformen Betrieb unerlässlich. Bei der Nutzung externer Produkte müssen zudem vertragliche Vereinbarungen wie Auftragsverarbeitungsverträge nach Art. 28 DSGVO die Einhaltung der Datenschutzstandards rechtssicher abbilden.
Wie lassen sich Risiken im laufenden Betrieb technisch minimieren?
Um den Grundsatz der Datensparsamkeit zu wahren, sollten Unternehmen technische Konfigurationen vornehmen, die ein Nachtraining des Modells mit Nutzerdaten sowie die Speicherung einer Historie deaktivieren. Da LLMs zur Generierung falscher oder diskriminierender Inhalte neigen können, ist eine kontinuierliche Qualitätssicherung der Systemausgaben durch den Verantwortlichen erforderlich.
Bei einer internen Nutzung durch Beschäftigte empfiehlt die Aufsichtsbehörde zudem den Erlass klarer Dienstanweisungen und die Durchführung von Schulungen, um den unkontrollierten Umgang mit sensiblen Informationen im Arbeitsalltag zu verhindern. Technische Hilfsmittel wie vorgeschaltete Filter können dabei unterstützen, die Ein- und Ausgabe personenbezogener Daten auf das notwendige Maß zu beschränken.
Schlussfolgerungen und Handlungsbedarf für Unternehmen
Unternehmen haben den Handlungsbedarf, ihre Rollenverteilung gegenüber KI-Anbietern vertraglich eindeutig zu klären und Unterstützungspflichten für die Wahrung von Betroffenenrechten festzuschreiben. Es müssen technische Möglichkeiten für die Berichtigung oder Löschung von Daten geschaffen werden, wobei Verfahren wie Machine Unlearning oder ReLearn an Bedeutung gewinnen. Zudem ist ein proaktives Risikomanagement gefordert. Dieses muss die Dynamik der KI-Entwicklung durch regelmäßige Audits und die Anpassung interner Vorgaben an den Stand der Technik abbilden. Die frühzeitige Einbindung des internen oder externen Datenschutzbeauftragten ist hierbei eine wesentliche Voraussetzung für den Erfolg des Projekts.
Fazit
Die Veröffentlichung des BayLfD verdeutlicht, dass LLM-gestützte Chatbots mit den etablierten Mechanismen des Datenschutzmanagements beherrschbar bleiben. Durch eine konsequente Verzahnung von datenschutzfreundlicher Technikgestaltung und rechtlicher Dokumentation können Unternehmen das Innovationspotenzial der KI nutzen.
KI-Compliance aus einer Hand
Künstliche Intelligenz rechtssicher nutzen & entwickeln
- KINAST KI-Beratung
- KINAST externer KI-Beauftragter
- KINAST KI-Kompetenz-Schulungen
