KI-Guideline §3: Kundenbezogene Daten und KI

§3 Kundinnen und Kunden über den Einsatz von KI aufklären

Vor der Nutzung von KI-Anwendungen im Rahmen von Projekten mit Kundinnen und Kunden werden diese über den geplanten Einsatz von KI informiert und aufgeklärt. Ab August 2026 gelten gemäß AI Act erweiterte Dokumentationspflichten für Hochrisiko-Systeme.

Erläuterungen

Die aktuellen Entwicklungen im Bereich KI bringen eine Reihe von Herausforderungen für den Schutz von Unternehmens- und personenbezogenen Daten sowie der Privatsphäre mit sich. Sowohl die Bestimmungen des AI Act als auch weitere aktuell geltende Vorschriften – etwa zum Datenschutz, zum Urheberrecht oder zu Markenrechten – sind einzuhalten, und vertrauliche Informationen sind mit größter Sorgfalt zu behandeln. Welche Daten auf welche Weise in KI-Anwendungen eingegeben werden dürfen, muss im Unternehmen klar geregelt sein.

Im Umgang mit Kundendaten ist es immer nötig, eine Grundlage für die Verarbeitung dieser Daten zu haben. Das kann ein Vertrag sein (z. B. eine entsprechende Regelung im Vertrag mit den Kundinnen und Kunden). Generell wird empfohlen, keine sensiblen Unternehmensdaten, Geschäftsgeheimnisse und idealerweise auch keine personenbezogenen Daten (Namen, Adressen, Telefonnummern o. Ä.) in KI-Tools einzupflegen. Derartige Informationen können nur sehr schwer oder gar nicht wieder gelöscht werden. Sollten diese Informationen jedoch mit KI verarbeitet werden, muss für sensible Daten von Kundinnen und Kunden (z. B. Gesundheitsdaten, Gewerkschaftszugehörigkeit o. Ä.) eine Einwilligung für die Verarbeitung via KI eingeholt werden. Gleiches gilt für die Verarbeitung von Geschäfts- und Betriebsgeheimnissen.

Nehmen Sie die Bedenken von Kundinnen und Kunden, Lieferunternehmen und anderen Geschäftskontakten ernst und zeigen Sie Einfühlungsvermögen. Bedenken entstehen oft, wenn es an Wissen über neue Technologien mangelt. Informieren Sie Ihr Gegenüber deshalb darüber, was künstliche Intelligenz ist, in welche Prozesse KI integriert ist und unter welchen Rahmenbedingungen sie in Ihrem Unternehmen eingesetzt wird. Vermeiden Sie übermäßigen Fachjargon und erklären Sie die Prozesse auf verständliche Weise. Nur so kann sich Ihr Gegenüber ein klares Bild davon machen, ob und inwieweit es mit dem Einsatz von KI-Anwendungen einverstanden ist.

Tipps für die Praxis

• Überlegen Sie von Fall zu Fall: Welche Informationen dürfen geteilt werden – und welche nicht?
• Beachten Sie, dass Sie bei vielen kostenlos frei verfügbaren KI-Tools implizit der Weiterverarbeitung der eingegebenen Daten durch das anbietende Unternehmen zustimmen.
• Achten Sie darauf, dass beim Kopieren von Daten in die Zwischenablage häufig auch persönliche Informationen mitkopiert werden.
• Eine gute Lösung ist die Anonymisierung der Daten, um keine Rückschlüsse auf kundenbezogene Daten ziehen zu können (durch Entfernung von Namen und anderen Identifikatoren).
• Wenn keine vollständige Anonymisierung möglich ist, sollen Daten pseudonymisiert werden, um Datensicherheitsstandards einzuhalten (z.B. Ersetzen der realen Daten durch randomisierte Namen).
• Eine Datenverarbeitung personenbezogener Daten durch KI-Systeme muss in der Datenschutzerklärung an Kundinnen und Kunden, aber auch in jener für Mitarbeitende, falls deren Daten erfasst sind, ausgewiesen werden. Das gilt auch für pseudonymisierte Daten.
• Zeigen Sie Verständnis für Bedenken der Kundinnen und Kunden, Lieferunternehmen und sonstiger geschäftlicher Kontakte.
• Schaffen Sie Klarheit und Transparenz zu internen Arbeitsweisen und kommunizieren Sie auf verständliche Art und Weise, um Missverständnisse zu vermeiden.
• Fördern Sie den Dialog mit den Kundinnen und Kunden und ermutigen Sie diese zum Feedback als Chance zur Beziehungsverbesserung und Prozessoptimierung.
• Werden Daten außerhalb des EWR gehostet, müssen Vorschriften des Internationalen Datenverkehrs beachtet werden.