
Kombination von Mitarbeiterfotos mit Marvel-Charakteren (Avengers) durch externe KI-Software, ähnlich Deepfakes.
ISO/IEC 42001:2023 als Standard für KI-Managementsysteme mit Fokus auf vertrauenswürdige und verantwortungsvolle KI-Nutzung.
Ganzheitliche Bewertung der geplanten KI-Anwendung und Ableitung geeigneter Maßnahmen zur Risikominimierung.
Bewertung hinsichtlich Privatsphäre, Persönlichkeitsrechten und allgemeinem Wohlbefinden (z.B. ob sich Mitarbeiter durch die Bildmanipulation bloßgestellt fühlen könnten).
Identifikation von Risiken bezüglich Datenschutz (DSGVO/BDSG-Konformität), Persönlichkeitsrechten (Recht am eigenen Bild) und Unternehmensethik.
Definition notwendiger technischer und organisatorischer Maßnahmen, um identifizierte Risiken auf ein akzeptables Maß zu reduzieren.
Sicherstellung der Einhaltung der DSGVO, des BDSG sowie relevanter ISO 42001-Prinzipien bei Planung und Betrieb der KI-Anwendung.
Externe KI-Bildsoftware auf Basis von Deep-Learning-Algorithmen kombiniert Mitarbeiterfotos mit Marvel-Charakteren. Personenbezogene Bilddaten werden an einen externen KI-Dienst übermittelt.
Die KI analysiert Gesichtszüge und passt diese an den Stil oder Körper der Avengers-Figur an. Es werden personenbezogene Daten in Form von Bildern verarbeitet, die als biometrische Daten im weiteren Sinne gelten.
Unklar ist, ob die externe Software die Fotos nach Verarbeitung speichert oder weiterverwendet. Es wird angenommen, dass ein Datenabfluss möglich ist, da die Kontrolle bei einem externen Cloud-Service liegt.
Hauptbetroffene, deren Fotos verwendet werden. Sie haben ein Recht auf Schutz ihrer personenbezogenen Daten und darauf, dass ihr Bild nur mit ihrer Zustimmung und in angemessener Weise verwendet wird.
Trägt die rechtliche Verantwortung für die Datenverarbeitung und kann im Falle von Verstößen gegen Datenschutz oder Persönlichkeitsrechte haftbar gemacht werden.
Kann indirekt betroffen sein, falls der KI-Einsatz intern oder extern Kritik hervorruft und zu Reputationsschäden führt.
Unternehmensinternes Projekt zur Teambildung oder für eine Marketing-Aktion, bei der Mitarbeiter kreativ als "Avengers-Team" dargestellt werden. Es handelt sich um eine freiwillige Zusatzanwendung mit Unterhaltungswert.
Eine informierte Einwilligung der Mitarbeiter ist notwendig, bevor deren Fotos verwendet werden. Bei Zweckentfremdung bestehender Fotos ist eine neue Zustimmung erforderlich.
Die erzeugten Bilder sollen voraussichtlich intern (Intranet, Präsentationen, Aushang) genutzt werden. Eine externe Veröffentlichung würde das Risiko und die rechtlichen Anforderungen weiter erhöhen.
Personenbezogene Bilddaten werden an einen Dritten übermittelt, was ohne angemessene Vorkehrungen das Recht auf informationelle Selbstbestimmung der Mitarbeiter verletzen kann.
Risiko der unkontrollierten Speicherung oder Weiterverwendung der Fotos durch den Anbieter, z.B. zu KI-Trainingszwecken, wodurch die Kontrolle über die Daten verloren gehen könnte.
Jedes übermittelte Foto stellt einen Datenabfluss dar, der im Falle eines unsicheren Dienstes zu Privacy Leaks führen könnte – etwa wenn der Anbieter kompromittiert wird.
Ohne gültige Einwilligung oder eine andere Erlaubnis nach Art. 6 DSGVO wäre die Verarbeitung unrechtmäßig. Im Beschäftigungskontext reicht ein pauschales "berechtigtes Interesse" nicht aus.
Wahrung der Persönlichkeitsrechte und Würde der Mitarbeiter. Manche könnten sich unwohl fühlen, als Superhelden dargestellt zu werden.
Bilder könnten in falsche Hände geraten oder in einem nicht zugestimmten Kontext verwendet werden.
Risiko negativer PR, falls das Unternehmen als datenschutzignorant wahrgenommen wird.
Mensch muss letzte Instanz bleiben. Diversität und Fairness bei Charakterzuordnungen beachten.
KI-Systeme sind nur so objektiv wie ihre Trainingsdaten. Es besteht die Gefahr von Bias in den Ergebnissen, wobei bestimmte Stereotype reproduziert werden können.
Die KI könnte mit manchen Gesichtern besser funktionieren als mit anderen. Mitarbeiter, die vom Trainingsdatensatz abweichen (ältere Personen, andere Ethnizität, Geschlecht), könnten weniger akkurate oder unvorteilhafte Ergebnisse erhalten.
Weibliche Mitarbeiter könnten sexualisierter oder "verschönert" dargestellt werden, während männliche Mitarbeiter heroischer aussehen – ein im Arbeitskontext höchst problematischer Effekt.
Risiko von Datenlecks oder Hackerangriffen auf den KI-Anbieter
Unzureichende Kontrolle des internen Zugriffs auf die Ergebnisse
Missbrauch für falsche Identitäten oder unautorisierte Darstellungen
Angriffsflächen bei der Datenübertragung an externe Dienste
Nichtverfügbarkeit des externen Dienstes oder Datenverlust
Kritische Auswahl eines Dienstes, der Datenschutz durch Technik unterstützt – idealerweise ein europäischer Anbieter mit DSGVO-Konformität oder ein Dienst mit lokaler Installation.
Einsatz starker Verschlüsselungsverfahren für die Übertragung (HTTPS/TLS) und etwaige Zwischenlagerung der Bilder auf Servern.
Pseudonymisierung der Fotos durch Zuweisung eines anonymen Identifikators anstelle des Namens, um den Personenbezug für den Dienstleister zu erschweren.
Begrenzung des Zugriffs auf Originalfotos und generierte Bilder auf einen eng begrenzten Personenkreis durch Berechtigungsmanagement.
Prüfung, ob der Anbieter eine Opt-out-Möglichkeit für die Nutzung der Daten zu Trainingszwecken bietet, damit Mitarbeiterfotos nicht ungewollt in den Trainingspool der KI einfließen.
Nach Verarbeitung und Nutzung für den definierten Zweck sind die Fotos sowohl beim Anbieter als auch intern wieder zu löschen, um unnötige Kopien zu vermeiden.
Versehen der Ergebnisbilder mit einem Wasserzeichen oder Vermerk (z.B. "internes KI-Generat"), damit bei unbeabsichtigter Weitergabe erkennbar ist, dass es sich um ein KI-erzeugtes Bild handelt.
Protokollierung, wer wann welche Daten an den Dienst sendet, um im Nachhinein Unregelmäßigkeiten nachvollziehen zu können.
Transparenter, dokumentierter Einwilligungsprozess
Auftragsverarbeitungsvertrag (AVV) mit dem KI-Anbieter
Interne Nutzungsrichtlinien für den Umgang mit den Bildern
Sensibilisierung der beteiligten Mitarbeiter
Jeder betroffene Mitarbeiter muss vorab und freiwillig zustimmen, dass sein Foto für den beschriebenen Zweck verwendet wird. Diese Einwilligung sollte schriftlich oder elektronisch eingeholt und protokolliert werden. Wichtig ist der Hinweis, dass die Teilnahme völlig freiwillig ist und eine Verweigerung keinerlei negative Konsequenzen hat.
In der Einwilligungserklärung müssen der Zweck (Kombination mit Marvel-Charakteren zur internen Verwendung), der Umfang der Verarbeitung, der eingesetzte externe Dienstleister (mit Kontakt/Datenschutzinfos) sowie die vorgesehenen Verwendungsorte der Bilder klar benannt werden.
Freiwilligkeit bedeutet, dass Alternativen angeboten werden können: Beispielsweise könnte man vorschlagen, dass wer nicht abgebildet werden möchte, stattdessen einen generischen Avatar bekommt, damit kein Gruppenzwang entsteht.
Es muss darauf hingewiesen werden, dass eine einmal erteilte Einwilligung jederzeit widerrufen werden kann – in der Praxis müsste man dann das entsprechende Foto aus dem KI-System entfernen und keine weiteren Verwendungen des erstellten Bildes vornehmen.
Mit dem KI-Anbieter sollte ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO geschlossen werden. Darin wird festgelegt, wie lange die Bilder gespeichert werden, dass sie nur für den definierten Zweck genutzt und anschließend gelöscht werden.
Die Datenschutzinformationen für Mitarbeiter müssen aktualisiert oder ergänzt werden, um diese spezifische Verarbeitungstätigkeit abzudecken (Art. 13 DSGVO Informationspflicht).
Eine Vorab-Prüfung durch den Datenschutzbeauftragten oder die Rechtsabteilung sollte durchgeführt werden, um alle Compliance-Aspekte zu bewerten.
Gegebenenfalls ist eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO durchzuführen, da neuartige Technologien in Verbindung mit personenbezogenen Daten zum Einsatz kommen.
Frühzeitig vor Projektstart sollten alle potenziell beteiligten Mitarbeiter über das Vorhaben informiert werden. Dies beinhaltet eine leicht verständliche Erklärung des Zwecks, den Ablauf sowie die freiwillige Natur der Teilnahme.
Jede Verarbeitung personenbezogener Daten muss im Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO) dokumentiert werden, einschließlich aller relevanten Details wie Zweck, Kategorie der Daten und Rechtsgrundlage.
Eine klare Anlaufstelle für Datenschutzfragen muss benannt werden, an die sich Mitarbeiter bei Fragen oder zur Ausübung ihrer Rechte wenden können – in der Regel der betriebliche Datenschutzbeauftragte.
Die Risikobewertung auf einer Skala von 1-10 (10 = höchstes Risiko) zeigt, dass durch die vorgeschlagenen technischen und organisatorischen Maßnahmen die Risiken deutlich reduziert werden können, bleiben aber teilweise bestehen.
Ohne Maßnahmen: 8/10
Mit Maßnahmen: 3/10
Ohne Maßnahmen: 9/10
Mit Maßnahmen: 4/10
Ohne Maßnahmen: 6/10
Mit Maßnahmen: 2/10
Ohne Maßnahmen: 7/10
Mit Maßnahmen: 3/10
Ohne Maßnahmen: 8/10
Mit Maßnahmen: 3/10
Die geplante Nutzung einer externen KI zur Kombination von Mitarbeiterfotos mit Marvel-Charakteren ist technisch machbar, geht aber mit erheblichen Risiken einher, insbesondere im Bereich Datenschutz, Ethik, Bias/Diskriminierung und Sicherheit.
Durch die identifizierten technischen und organisatorischen Gegenmaßnahmen lassen sich die Risiken auf ein akzeptables Maß reduzieren. Wichtig ist, dass alle vorgeschlagenen Maßnahmen konsequent umgesetzt werden.
Entscheidend ist, dass die Mitarbeiter das Projekt freiwillig unterstützen und der Anbieter vertrauenswürdig agiert – unter diesen Voraussetzungen bleiben die möglichen negativen Folgen begrenzt und beherrschbar.
Aus Sicht der ISO/IEC 42001-konformen KI-Risikobetrachtung wird empfohlen, das Vorhaben nur unter strengen Auflagen durchzuführen. Zunächst muss ein rechtskonformer Rahmen geschaffen werden.
Vor dem Live-Einsatz sind Tests angebracht, um die KI-Ergebnisse auf Qualität und etwaige Bias zu prüfen. Bei Bedarf muss manuell nachgebessert oder im Zweifel auf die Darstellung einzelner Personen verzichtet werden.
Sollte sich herausstellen, dass der gewählte KI-Dienst die Datenschutzanforderungen nicht erfüllt, wäre vom Einsatz abzuraten, bis ein alternativer, konformer Dienst gefunden wird.
Es empfiehlt sich, die Aktion im kleinen Rahmen (Pilot) zu starten und bei Erfolg und Einhaltung aller Compliance-Vorgaben auszubauen. Nach Durchführung sollte eine Nachbetrachtung erfolgen.
Diese Analyse untersucht die Risiken beim Einsatz einer externen KI-Software, die Mitarbeiterfotos mit Marvel-Charakteren kombiniert. Wir betrachten datenschutzrechtliche, ethische und technische Aspekte nach ISO/IEC 42001:2023 und geben konkrete Handlungsempfehlungen.