Können Wohnungsunternehmen Künstliche Intelligenz und Datenschutz in Einklang bringen? Welche Risiken gibt es – und was ist, wenn Mitarbeiter KI eigenmächtig nutzen? David Hummel, Datenschutzexperte bei der Wohnungswirtschaftlichen Treuhand Stuttgart GmbH, hat die Antworten.

Welche Gefahren birgt die Nutzung von KI-Lösungen für den Datenschutz?

David Hummel: Für KI-Anwendungen ist es essenziell, dass sie sich weiterentwickeln. Dafür werden auch die von Nutzern eingegebenen Inhalte verwendet. Wer beispielsweise Namen oder E-Mail-Adressen von Mietern in das KI-Tool eingibt, verarbeitet personenbezogene Daten. Solche Daten dürfen nur für festgelegte Zwecke genutzt werden. Dies regelt die europäische Datenschutz-Grundverordnung (DSGVO).

Mieterdaten können zum Beispiel nur im direkten Zusammenhang mit dem Mietverhältnis verarbeitet werden. Die Nutzung zum Training und zur Weiterentwicklung einer KI würde eine Zweckänderung darstellen, die eine eigene Rechtsgrundlage erfordert, an der es in der Regel fehlen wird.

Wie kann ein Wohnungsunternehmen die genannten Probleme vermeiden?

Unterschieden wird bei KI-Anwendungen zwischen geschlossenen und offenen Systemen. Bei geschlossenen Systemen werden die Daten in einer eingegrenzten und technisch abgeschlossenen Umgebung verarbeitet. Der Zugriff kann hier auf einen bestimmten Anwenderkreis begrenzt werden. Die Nutzung solcher betriebsinternen KI-Lösungen ist für Unternehmen unproblematisch, sofern ein geeigneter Dienstleister hinzugezogen wird und der Datenschutz vertraglich geregelt ist.

Bei offenen Lösungen wie ChatGPT kann es sein, dass eingegebene Daten je nach Konzeption der KI, von dieser, auch für die Beantwortung von Anfragen anderer Nutzer verwendet werden. Unbefugte Dritte können so Zugriff auf personenbezogene Daten erhalten. Besonders kritisch ist es deshalb zum Beispiel, wenn eine offene KI ein personalisiertes Schreiben an einen Mieter erstellt.

Die öffentlich zugänglichen KI-Anwendungen sollten also aus Datenschutzgründen im Unternehmen nicht genutzt werden?

Die gängigen frei zugängliche KI-Tools sind generell kritisch zu bewerten. Ein Unternehmen darf bei offenen Lösungen auch nicht vernachlässigen, wie mit den sensiblen betrieblichen Daten umgegangen wird. Zudem ist nicht auszuschließen, dass KI-Tools aus Unternehmensdaten eigenständig einen Personenbezug herstellen.

Aktuell entwickeln viele der großen Anbieter kostenpflichtige Angebote, die die genannten Anforderungen zum Datenschutz erfüllen sollen. Inwieweit die vertraglichen Regelungen die tatsächlichen Begebenheiten abbilden, muss sich jedoch erst noch zeigen. Denn viele Anwendungen übermitteln Daten an Drittstaaten mit anderem Datenschutzniveau – vor allem in die USA. Insbesondere die US-Anbieter sind häufig in der Kritik der Aufsichtsbehörden für den Datenschutz. Ein Beispiel ist hier die umstrittene Zulässigkeit von Microsoft 365. Wer eine entsprechende Anwendung im Unternehmen einsetzen will, sollte daher unbedingt den Datenschutzbeauftragten einbinden.

Gibt es auch bei der Nutzung von datenschutzkonformen KI-Anwendungen Fallstricke für Wohnungsunternehmen?

Hier ist vor allem das Thema automatische Entscheidungsfindung zu beachten. Nach der DSGVO dürfen Entscheidungen mit Rechtswirkung grundsätzlich nur von Menschen getroffen werden. Kritisch könnte diese Vorgabe beispielsweise im Vermietungsprozess sein. Hier müsste das Verfahren so gestaltet sein, dass die Vergabe nicht maßgeblich aufgrund des KI-Vorschlags erfolgt, sondern ein Mitarbeiter des Wohnungsunternehmens einen echten Entscheidungsspielraum besitzt.

Arbeitnehmer nutzen immer häufiger eigenmächtig KI-Tools

Was muss ich als Unternehmen beachten, wenn Mitarbeitende KI nutzen?

Arbeitnehmer nutzen immer häufiger eigenmächtig KI-Tools, ohne dass der Arbeitgeber davon Kenntnis hat. Das ist riskant für Unternehmen, die dies tolerieren. Sie könnten für Datenschutzverstöße ihrer Mitarbeiter haften und sogar Bußgelder riskieren.

Das Unternehmen ist in diesem Fall eine "verantwortliche Stelle", die durch technische und organisatorische Maßnahmen sicherstellen muss, dass datenschutzrechtliche Vorgaben eingehalten werden. Wenn davon ausgegangen werden kann, dass Arbeitnehmer entsprechende KI-Tools nutzen, was heutzutage grundsätzlich anzunehmen ist, besteht Handlungsbedarf. Vor diesem Hintergrund ist es unerlässlich, dass betriebliche Regelungen zur Nutzung von KI verabschiedet werden.

Welche Regelungen müssen vereinbart werden, wenn die Nutzung nicht pauschal verboten werden sollte?

Die Eingabe von personenbezogenen Daten in offene KI-Lösungen wie ChatGPT lässt sich nicht in Einklang mit den datenschutzrechtlichen Vorgaben bringen. Es ist daher strikt zu untersagen, dass personenbezogene Daten eingegeben werden dürfen. Abgesehen vom Datenschutz, müssen Unternehmen auch Risiken im Umgang mit dienstlichen Informationen und Unternehmensdaten beachten, die nicht für die Öffentlichkeit bestimmt sind. Auch die Eingabe von solchen sensiblen Daten sollte deshalb verboten werden.

Teilweise erfordern frei zugängliche KI-Anwendungen die Anmeldung mit einer E-Mail-Adresse. Es empfiehlt sich daher auch, zu regeln, ob entsprechende KI-Lösungen genutzt werden dürfen, da über die dienstliche E-Mail-Adresse ein Bezug zum Unternehmen hergestellt werden könnte. Weiter kann nicht ausgeschlossen werden, dass frei verfügbare KI-Tools Sicherheitslücken aufweisen, die Cyberkriminelle zur Einschleusung von Schadsoftware oder Datendiebstahl nutzen könnten. Zur Begrenzung der IT-Risiken sollten daher klare Vorgaben zu zulässigen KI-Anwendungen anhand einer "White-List" gemacht werden. Diese Maßnahmen können auch die Ergebnisqualität verbessern.

Welche Rolle spielt die KI-Verordnung, von der man gerade viel liest?

Die europäische KI-Verordnung ist bereits am 1.8.2024 in Kraft getreten und entfaltet sich auf verschiedenen Stufen. Von Relevanz für Wohnungsunternehmen ist insbesondere die seit dem 2.2.2025 bestehende Vorgabe zur KI-Kompetenz. Danach müssen Unternehmen, deren Mitarbeiter KI-Tools nutzen, dafür sorgen, dass diese über ausreichend KI-Kompetenz verfügen.

Was versteht man unter KI-Kompetenz?

Im Wesentlichen geht es darum, dass Anwender die Systeme sachkundig einsetzen können und sich der Chancen und Risiken von KI und möglicher Schäden, die sie verursachen kann, bewusst sind. Der Gesetzgeber will damit erreichen, dass Unternehmen den verantwortungsvollen Umgang mit KI durch ihre Mitarbeiter sicherstellen. Es ist daher unumgänglich, dass Arbeitnehmer entsprechend geschult und Regelungen für die Nutzung aufgestellt werden, wenn KI-Anwendungen eingesetzt werden.

Einheitliche Standards oder Mindestanforderungen gibt es diesbezüglich zum aktuellen Zeitpunkt allerdings noch nicht. In den kommenden Wochen und Monaten ist jedoch mit weiteren Entwicklungen in diesem dynamischen Umfeld zu rechnen. Es empfiehlt sich daher, diese genau zu verfolgen.

Nutzen Sie persönlich KI in Ihrem beruflichen Alltag?

Ich persönlich nutze beruflich keine KI-Tools. Nach meinen Erfahrungen sind die Ergebnisse bei fachlichen Fragen mit Interpretationsspielraum noch nicht sehr gut. Die Stärke der gängigen KI-Lösungen liegt aktuell bei Standardfragen, die von der Masse gestellt werden. Aus dem persönlichen Umfeld habe ich auch vermehrt gehört, dass KI-Tools hauptsächlich als Schreibhilfe eingesetzt werden. Aufgrund der rasanten Entwicklungen dürfte sich dies aber zeitnah ändern.

Das Interview ist aus der Ausgabe 03/2025 des Fachmagazins "DW Die Wohnungswirtschaft". Das gesamte Heft gibt es auch in der DW-App.

