Künstliche Intelligenz & die DSGVO
Künstliche Intelligenz (KI) ist als Begriff innerhalb der Europäischen Datenschutz-Grundverordnung (EU-DSGVO) nicht explizit zu finden. Jedoch ist die DSGVO grundsätzlich so konzipiert, dass sie technologieneutral gilt und damit auch neuartige Technologien wie KI einschließt.
Eröffnet wird der Geltungsbereich der DSGVO, sobald eine Technologie personenbezogene Daten – das heißt alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen – verarbeitet. Möchte ein Unternehmen in diesem Kontext ein KI-gestütztes System einsetzen, muss es bestimmte datenschutzrechtliche Vorgaben beachten. Demnach sollten KI und Datenschutz von Beginn an gemeinsam gedacht und sowohl bei der Entwicklung als auch bei der Implementierung und Nutzung berücksichtigt werden. Zudem ist es ratsam, versierte Datenschutzexpert:innen einzubinden, damit die Grenzen beachtet werden, die der Datenschutz auferlegt.
Frage nach der datenschutzrechtlichen Verantwortung
Werden durch ein KI-basiertes System personenbezogene Daten verarbeitet, ist zunächst zu klären, wer für die Datenverarbeitung verantwortlich ist. Denn daraus leiten sich unterschiedliche Rechte und Pflichten ab. Folgende Konstellationen sind grundsätzlich möglich:
- Alleinige Verantwortlichkeit: Wird ein KI-basiertes System beispielsweise selbst entwickelt oder in die eigenen Prozesse integriert, ist das entsprechende Unternehmen auch für die Datenverarbeitung verantwortlich. Hintergrund ist, dass das Unternehmen selbstständig über die Zwecke und Mittel der Verarbeitung entscheidet bzw. entscheiden kann.
- Gemeinsame Verantwortlichkeit: Verfolgen zwei oder mehr Parteien (z. B. Unternehmen und KI-Anbieter) gemeinsame Ziele und entscheiden über die Zwecke und Mittel oder sind hinsichtlich der Verarbeitungsvorgänge untrennbar miteinander verbunden, liegt eine gemeinsame Verantwortlichkeit vor. In diesem Falle ist eine Vereinbarung über die gemeinsame Verantwortlichkeit zu schließen.
- Auftragsverarbeitung: Verarbeitet ein KI-Anbieter personenbezogene Daten auf seinem Server, allerdings im Auftrag eines anderen Unternehmens (Verantwortlichen) oder Dienstleisters, handelt es sich um ein Auftragsverarbeitungsverhältnis. Ein Beispiel stellt die Verwendung eines bereits bestehenden KI-Systems eines Cloud-Dienstanbieters dar. Notwendig ist in diesem Kontext die Schließung eines Auftragsverarbeitungsvertrages.
Mögliche Verarbeitungsphasen, die in diesem Zusammenhang einzeln betrachtet und bewertet werden müssen, sind:
- Die Erhebung von Trainingsdaten für KI,
- die Verarbeitung von Daten für das Training von KI,
- das Bereitstellen von KI-Anwendungen,
- die Nutzung von KI-Anwendungen sowie
- die Nutzung von KI-Ergebnissen.
Um personenbezogene Daten verarbeiten zu dürfen, sind Unternehmen auf eine gültige Rechtsgrundlage angewiesen. Dies ist in der Regel der Fall, wenn eine rechtskonforme Einwilligung der betroffenen Personen für eindeutig festgelegte Zwecke vorliegt. In diesem Zusammenhang müssen die betroffenen Personen darüber informiert werden, welche Daten für welche Zwecke wie und von wem verarbeitet werden und wer die Empfänger sind. Auf dieser Informationsgrundlage können sie dann entscheiden, ob sie ihre Einwilligung erteilen möchten. Ein berechtigtes Interesse reicht an dieser Stelle nicht aus. Unternehmen sollten sicherstellen, dass die gewählte Rechtsgrundlage den Anforderungen der DSGVO entspricht.
Grundsätze der Datenverarbeitung
- Rechte von Betroffenen: Informations-, Berichtigungs- und Löschungsrechte hinsichtlich personenbezogener Daten müssen respektiert werden. Insbesondere das Recht auf Löschung kann im Zusammenhang mit KI eine Herausforderung darstellen, da sich der Verlust von Daten auf die Funktionsfähigkeit des KI-Systems auswirken kann oder das System mitunter gar nicht in der Lage dazu ist, bestimmte Daten zu vergessen.
- Transparenz: Auch in Bezug auf den Einsatz von KI-basierten Systemen gelten Transparenzanforderungen im Hinblick auf die Funktionsweise sowie die Verarbeitung personenbezogener Daten. Diese ergeben sich einerseits aus der DSGVO und andererseits aus dem EU-Gesetz zur künstlichen Intelligenz (AI Act).
- Zweckbindung: Künstliche Intelligenz darf nur für verfassungsrechtlich legitimierte Zwecke eingesetzt werden. Aus diesem Grund – und mit Blick auf Informationspflichten – muss eindeutig sein, welchem Zweck die durch das KI-System verarbeiteten Daten zugeführt werden. Sollte sich der ursprüngliche Zweck ändern, bedarf es einer weiteren Rechtsgrundlage.
- Datenminimierung: Bei Datenein- und -ausgaben sollte darauf geachtet werden, dass die Verwendung personenbezogener Daten auf ein für die Zwecke der Verarbeitung notwendiges Maß reduziert wird. Beispielsweise ist in diesem Zuge eine vollständige Anonymisierung oder Pseudonymisierung der Daten denkbar. Sinnvoll ist es, den Grundsatz der Datenminimierung bereits bei der Entwicklung zu berücksichtigen (Privacy by Design/Privacy by Default).
- Technische & organisatorische Maßnahmen: Personenbezogene Daten müssen mit geeigneten implementierten technischen und organisatorischen Maßnahmen geschützt werden.
Geht die Nutzung einer KI mit einer potenziellen Diskriminierungsgefahr einher ist gemäß Art. 35 DSGVO eine Datenschutz-Folgenabschätzung (DSFA) durchzuführen. Gleiches gilt, wenn aufgrund der Art, des Umfangs, der Umstände oder der Zwecke der Datenverarbeitung ein besonders hohes Risiko für die Rechte und Freiheiten von Personen besteht.
Ob eine DSFA durchgeführt werden muss, wird anhand einer Abschätzung der Risiken der Verarbeitungsvorgänge entschieden. Ergibt sich daraus ein voraussichtlich hohes Risiko, gilt eine DSFA-Pflicht. Das ist in der Regel der Fall, wenn eine KI beispielsweise automatisierte Entscheidungen trifft oder persönliche Aspekte einer natürlichen Person systematisch und umfassend bewertet.
An die DSFA-Pflicht ist zudem die Verpflichtung zur Benennung eines bzw. einer Datenschutzbeauftragten (DSB) geknüpft.
Fragen, die Unternehmen sich in Bezug auf KI & Datenschutz stellen sollten:
- Welche Phase der Datenverarbeitung wird betrachtet?
Beispielsweise: Erhebung von Trainingsdaten für KI, Verarbeitung von Daten für das Training von KI, Bereitstellen von KI-Anwendungen, Nutzung von KI-Anwendungen, Nutzung von KI-Ergebnissen
- Werden durch die KI personenbezogene Daten verarbeitet?
Ja: Der Anwendungsbereich der DSGVO ist eröffnet.
Nein: Die DSGVO findet keine Anwendung.
- Wer ist für die Datenverarbeitung verantwortlich?
Alleinige Verantwortlichkeit? Gemeinsame Verantwortlichkeit? Auftragsverarbeitung?
- Liegt eine Rechtsgrundlage für die Datenverarbeitung (Informierte Einwilligung der betroffenen Personen) vor? Für welche Phase(n) der Datenverarbeitung besteht diese?
- Ist eine Datenschutzfolgeabschätzung durchzuführen?
- Wird ein:e (externe) Datenschutzbeauftragte:r benötigt?
Fazit: Datenschutz bei KI-Nutzung von Anfang an mitdenken
Zusammenfassend lässt sich sagen, dass der Einsatz von KI-gestützten Systemen für Unternehmen immer auch mit datenschutzrechtlichen Fragen und Herausforderungen einhergeht. Der verabschiedete AI Act zielt in diesem Kontext nicht darauf ab, die Datenschutzvorgaben der DSGVO zu ersetzen, sondern ist als ergänzende Regulierung zu sehen. Auch wenn es derzeit grundsätzlich rechtliche Vorgaben gibt, können sich die Rahmenbedingungen mit dem weiteren Fortschritt von KI-Technologien jederzeit verändern. Aus diesem Grund ist es sinnvoll, mit einem wachsamen Auge auf aktuelle Entwicklungen zu blicken.
Darüber hinaus empfiehlt es sich, Datenschutzaspekte bei der Entwicklung, Implementierung und Nutzung von Anfang an zu berücksichtigen. Welche Anforderungen dabei konkret einzuhalten sind, ergibt sich aus dem jeweiligen Anwendungsfall. Hier kann das frühzeitige Hinzuziehen eines Datenschutzexperten oder einer Datenschutzexpertin ratsam sein.
Der Beitrag stellt eine Momentaufnahme in Bezug auf den aktuellen Stand zum Thema KI und Datenschutz dar und erhebt keinen Anspruch auf Vollständigkeit.