Zum Inhalt springen

FM-Solutionmaker: Gemeinsam Facility Management neu denken

Datenschutzrecht im Kontext von KI

Facility Management: AI » Grundlagen » Rechtlicher Rahmen » Datenschutz

Datenschutzrecht im Kontext von Künstlicher Intelligenz im Facility Management

Datenschutzrecht im Kontext von Künstlicher Intelligenz im Facility Management

Im Facility Management (FM) wird der Einsatz von Künstlicher Intelligenz (KI) immer zentraler, um Gebäude und Anlagen effizient zu verwalten. KI-Systeme analysieren Daten aus Sensoren, Überwachungskameras, Gebäudemanagementsystemen (CAFM), Energieverbrauchsanalysen oder Zutrittskontrollen. Der Einsatz dieser Technologien erfordert jedoch eine präzise Einhaltung des Datenschutzrechts, insbesondere der Datenschutz-Grundverordnung (DSGVO). Dies gilt umso mehr, da im FM sowohl personenbezogene als auch betriebsrelevante Daten verarbeitet werden.

Datenschutz in der Künstlichen Intelligenz: Rechtliche Grundlagen und Verantwortung

Im FM sind KI-Systeme auf umfangreiche Datenanalysen angewiesen, die oft personenbezogene Daten beinhalten, z. B.:

  • Zutrittsdaten: Aufzeichnungen, wann und wo Mitarbeitende oder Besucher ein Gebäude betreten haben.

  • Überwachungsaufnahmen: Daten aus Videoüberwachungssystemen.

  • Gebäudenutzungsdaten: Informationen über die Belegung von Räumen und Flächen.

  • Energieverbrauchsdaten: Verbrauchsmuster einzelner Abteilungen oder Arbeitsbereiche.

  • Arbeitszeiterfassung: Daten, die für Sicherheits- oder Personalmanagement verwendet werden.

KI-Systeme im FM benötigen oft große Datenmengen, um effizient zu arbeiten. Die Erfassung und Verarbeitung solcher Datenmengen wirft zentrale Fragen auf:

  • Datenqualität und -herkunft: Die Rechtmäßigkeit der Verarbeitung hängt davon ab, ob die Daten rechtmäßig erhoben wurden und wie sie genutzt werden.

  • Datenminimierung: Die DSGVO fordert, dass nur die minimal notwendigen Daten verarbeitet werden. KI-Systeme neigen jedoch dazu, möglichst viele Daten für bessere Ergebnisse zu benötigen.

Viele KI-Anwendungen im FM erstellen Profile und treffen automatisierte Entscheidungen, z. B.:

  • Zutrittskontrollen: Automatische Erkennung von Sicherheitsrisiken basierend auf Zutrittsmustern.

  • Energieoptimierung: Anpassung von Heizung, Lüftung und Klimaanlagen basierend auf der Gebäudenutzung.

  • Reinigungsmanagement: Automatische Planung von Reinigungszeiten basierend auf der Belegung.

  • Laut Artikel 22 DSGVO haben betroffene Personen ein Recht darauf, nicht ausschließlich automatisierten Entscheidungen unterworfen zu sein, die rechtliche oder ähnliche Auswirkungen haben.

KI-Systeme im FM operieren oft als „Black Box“, was die Transparenzanforderungen der DSGVO erschwert:

  • Erklärbarkeit: Nutzer und betroffene Personen müssen verstehen können, wie Entscheidungen getroffen werden.

  • Informationspflichten: Unternehmen müssen umfassend darüber informieren, welche Daten wie und zu welchem Zweck verarbeitet werden.

Die Sicherheit der verarbeiteten Daten ist im FM besonders kritisch, da es oft um sicherheitsrelevante Informationen wie Zugangsdaten oder Überwachungsaufnahmen geht:

  • Cybersecurity: KI-Systeme müssen gegen Angriffe geschützt werden, da ein Datenleck erhebliche Risiken birgt.

  • Zugriffsrechte: Nur autorisierte Personen dürfen auf die Daten zugreifen können.

Die Verarbeitung personenbezogener Daten durch KI-Systeme muss auf einer der rechtlichen Grundlagen der DSGVO beruhen, wie:

  • Einwilligung der Betroffenen: Besonders relevant bei der Verarbeitung sensibler Daten, wie Überwachungsaufnahmen oder Arbeitszeiterfassung.

  • Berechtigtes Interesse: Die Nutzung von Daten zur Effizienzsteigerung oder Sicherheit kann ein berechtigtes Interesse darstellen, muss aber sorgfältig abgewogen werden.

Bereits bei der Entwicklung und Implementierung von KI-Systemen müssen Datenschutzaspekte berücksichtigt werden:

  • Anonymisierung: Wo möglich, sollten Daten anonymisiert werden, um Rückschlüsse auf Personen zu verhindern.

  • Datenpseudonymisierung: Verknüpfungen zu spezifischen Personen sollten nur unter besonderen Bedingungen möglich sein.

Eine DSFA ist erforderlich, wenn KI-Systeme im FM ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen bergen, z. B.:

  • Videoüberwachung: Systeme, die Personen erkennen und Bewegungsmuster analysieren.

  • Automatisierte Entscheidungen: Anwendungen, die ohne menschliche Intervention Zutrittsrechte gewähren oder verweigern.

Die DSFA sollte folgende Punkte abdecken:

  • Zweck der Verarbeitung: Beschreibung der geplanten Nutzung der KI.

  • Bewertung der Risiken: Einschätzung möglicher Risiken für die Rechte der Betroffenen.

  • Maßnahmen: Festlegung von Maßnahmen zur Risikominderung.

Transparenz ist ein zentraler Bestandteil der DSGVO. Unternehmen müssen sicherstellen, dass:

  • Betroffene informiert werden: Über Zweck, Umfang und Dauer der Datenverarbeitung.

  • Automatisierte Entscheidungen erläutert werden: Wie Algorithmen arbeiten und welche Daten genutzt werden.

Mitarbeiter im FM müssen geschult werden, um den Datenschutz bei der Nutzung von KI-Systemen zu gewährleisten:

  • Erkennung von Datenschutzrisiken: Schulung zur Identifikation potenzieller Risiken bei der Datenverarbeitung.

  • Verantwortlichkeiten: Klare Zuweisung von Verantwortlichkeiten für Datenschutz und IT-Sicherheit.

Viele KI-Systeme im FM werden von externen Anbietern bereitgestellt. Die Einhaltung der DSGVO sollte in den Verträgen geregelt werden:

  • Vertrag über Auftragsverarbeitung (Art. 28 DSGVO): Detaillierte Regelungen zur Verarbeitung, Speicherung und Löschung von Daten.

  • Audit-Klauseln: Möglichkeit, die Einhaltung der DSGVO durch den Anbieter regelmäßig zu überprüfen.

Datenmanagement

  • Dateninventar: Unternehmen sollten ein Inventar führen, welche Daten von welchen KI-Systemen verarbeitet werden.

  • Löschkonzepte: Entwicklung eines klaren Konzepts zur Löschung von Daten nach Ablauf der Speicherfrist.

KI-Systeme im FM müssen durch robuste Sicherheitsmaßnahmen geschützt werden:

  • Verschlüsselung: Daten sollten während der Übertragung und Speicherung verschlüsselt werden.

  • Firewalls und Intrusion Detection: Schutz vor unbefugtem Zugriff.

Monitoring und Audits

Regelmäßige Überwachung der KI-Systeme, um Datenschutzverletzungen frühzeitig zu erkennen.

Rollen- und Berechtigungskonzepte

Nur autorisierte Personen sollten Zugriff auf sensible Daten haben. Zugriffsrechte sollten regelmäßig überprüft werden.

Energieoptimierung

  • Daten: Verbrauchsmuster einzelner Abteilungen.

  • Herausforderung: Sicherstellen, dass Verbrauchsdaten nicht auf einzelne Personen rückführbar sind.

  • Lösung: Nutzung aggregierter und anonymisierter Daten.

Zutrittskontrollen

  • Daten: Zugangsdaten von Mitarbeitenden.

  • Herausforderung: Transparente Information der Betroffenen über die Nutzung ihrer Daten.

  • Lösung: Einsatz pseudonymisierter IDs, die erst bei sicherheitskritischen Ereignissen entschlüsselt werden.

Videoüberwachung

  • Daten: Aufnahmen von Überwachungskameras.

  • Herausforderung: Schutz der Privatsphäre und Vermeidung von unzulässiger Profilbildung.

  • Lösung: Speicherung der Daten nur für einen begrenzten Zeitraum und Zugriff nur bei berechtigtem Interesse.

Der Einsatz von KI im Facility Management bringt zahlreiche Chancen zur Effizienzsteigerung und Verbesserung von Prozessen mit sich, stellt jedoch hohe Anforderungen an den Datenschutz.

Unternehmen im FM müssen technische, organisatorische und vertragliche Maßnahmen ergreifen, um die DSGVO einzuhalten. Transparenz, Datensicherheit und eine enge Zusammenarbeit zwischen Datenschutzbeauftragten, IT-Teams und externen Dienstleistern sind entscheidend, um rechtliche Risiken zu minimieren und das Vertrauen von Mitarbeitenden, Kunden und Partnern zu gewährleisten. Durch eine vorausschauende Planung können die Vorteile von KI im FM verantwortungsvoll genutzt werden.