Datenschutzbehörden: KI-Nutzung in Unternehmen unter bestimmten Bedingungen datenschutzkonform möglich
Unternehmen müssen bei der Implementierung und Nutzung von KI-Anwendungen insbesondere auch die strengen Vorgaben des Datenschutzrechts beachten. Die Datenschutzkonferenz der deutschen Datenschutzbehörden hat nun Anfang Mai 2024 in einer Orientierungshilfe ausgeführt, welche datenschutzrechtlichen Bedingungen für die Planung, den Einsatz und die Nutzung von KI-Anwendungen in Unternehmen erfüllt sein müssen. Wir stellen die Vorgaben in diesem Beitrag vor.
Inhaltsverzeichnis
- I. Large Language Models (LLMs), sonstige künstliche Intelligenz und der Datenschutz
- II. Datenschutzrechtliche Erwägungen der Datenschutzkonferenz
- III. Datenschutz vor dem Einsatz von KI-Anwendungen in Unternehmen
- 1. Vor dem Einsatz von KI-Anwendungen
- 2. Rechtmäßigkeit des Einsatzes von KI-Anwendungen
- 3. Festlegung der Zwecke der KI-Nutzung
- 4. Vermeidung der Verarbeitung von personenbezogenen Daten
- 5. Training von KI im Einklang mit dem Datenschutz
- 6. Letztentscheidungen nicht durch KI-Anwendung
- 7. Transparenz der Datenverarbeitung durch KI
- 8. Betroffenenrechte beim Einsatz von KI
- IV. Datenschutz bei Implementierung von KI-Anwendungen in Unternehmen
- 1. Implementierung von KI-Anwendungen
- 2. Definition von Verantwortlichkeiten und Rollen für die KI-Nutzung
- 3. Erstellung und Pflege von internen Datenschutzrichtlinien zum Umgang mit KI
- 4. Notwendigkeit von Datenschutz-Folgenabschätzungen
- 5. TOMs, Privacy by Design und by Default
- 6. Training der KI-Anwender (Mitarbeitende)
- 7. Gewährleistung der Datensicherheit
- V. Datenschutz bei Nutzung von KI-Anwendungen in Unternehmen
- 1. Nutzung von KI-Anwendungen
- 2. Eingabe von personenbezogene Daten in KI-Anwendungen
- 3. Ausgabe von personenbezogenen Daten in KI-Anwendungen
- 4. Gewährleistung der Richtigkeit von Daten
- 5. Diskriminierungsfreiheit der Ergebnisse der Nutzung von KI-Anwendungen
- VI. Das Wichtigste in Kürze
I. Large Language Models (LLMs), sonstige künstliche Intelligenz und der Datenschutz
Die EU hat im Frühjahr 2024 eine umfassende Gesetzgebung für künstliche Intelligenz, den sog. AI Act (=KI-Gesetz) verabschiedet, das künftig die Rahmenbedingungen für die Entwicklung, den Einsatz sowie die Nutzung von künstlicher Intelligenz (KI bzw. im Englischen Artificial Intelligence = AI) regeln soll. Dieses Gesetz ist zwar bereits in Kraft getreten, wird aber erst im Jahr 2026 Anwendung finden.
Allerdings sind KI-spezifische Gesetze nicht das Einzige, was bei der Entwicklung, beim Einsatz und bei der Nutzung von KI-Anwendungen beachtet werden muss. Viel mehr müssen KI-Anwendungen auch die bereits heute geltenden gesetzlichen Vorgaben beachten. Aktuell spielt dabei vor allem das Datenschutzrecht eine bedeutende Rolle. Denn sowohl bei der Entwicklung, also beim Training von KI Anwendungen, als auch beim Einsatz als auch bei jeder einzelnen Nutzung in Unternehmen, also etwa der Eingabe von Fragen bzw. Kommandos einerseits und bei der Ausgabe von Antworten bzw. Ergebnissen andererseits kann es zur Verarbeitung von personenbezogenen Daten kommen, die durch das Datenschutzrecht geschützt und geregelt wird. Dabei müssen zwingend die datenschutzrechtlichen Vorgaben, insbesondere die der EU-Datenschutz-Grundverordnung (DSGVO) eingehalten werden.
Zuletzt kamen in vielen Bereichen Fragen auf, wie Unternehmen, etwa auch Online-Shops, bei Einsatz von bestimmten KI-Anwendungen, wie z.B. Chatbot in der Kundenkommunikation, das Datenschutzrecht konkret einhalten sollen, also welche spezifischen Vorgaben dabei einzuhalten sind. Dies betrifft KI im Allgemeinen, aber insbesondere aktuell so genannte Large Language Models (LLMs), wofür ChatGPT das Anbieters Open AI ein weithin bekanntes Beispiel ist. Dabei sind solche KI-Anwendungen, die als Cloud-Lösungen angeboten werden, aus Sicht des Datenschutzrechts problematischer als bloße On-Premise-Lösungen, bei denen keine Daten das Unternehmen verlassen, das die KI-Anwendung einsetzt und nutzt.
II. Datenschutzrechtliche Erwägungen der Datenschutzkonferenz
Die seit etwa ein bis zwei Jahren besonders intensiv diskutierten Fragen zum Schutz von personenbezogenen Daten im Zusammenhang mit KI-Anwendungen hat die Datenschutzkonferenz (=Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder in Deutschland), also ein Zusammenschluss und ein Gremium der 16 Landesdatenschutzaufsichtsbehörden sowie des Bundesdatenschutzbeauftragten, zum Anlass genommen, die datenschutzrechtlichen Rahmenbedingungen im Hinblick auf KI-Anwendungen herauszuarbeiten. In einer am 6. Mai 2024 veröffentlichten sog. Orientierungshilfe wird ein Überblick über die wichtigsten datenschutzrechtlichen Anforderungen gegeben, die bei
- der Planung und Konzeption des Einsatzes von KI-Anwendungen in Unternehmen,
- der ersten Implementierung von KI-Anwendungen sowie auch bei
- deren konkreter Nutzung
aus Sicht des Datenschutzrechts, insbesondere aufgrund der strengen Vorgaben der DSGVO, zu beachten sind.
Diese Orientierungshilfe dient also nicht etwa als Blaupause oder Datenschutzmodell für die datenschutzkonforme Entwicklung und das Training von KI bzw. KI-Anwendungen. Vielmehr geht es lediglich um den konkreten Einsatz von Anwendungen im Alltag von Unternehmen, also etwa auch im Alltag von Online-Businesses, die bestimmte KI-Tools bzw. KI-Anwendung in bestimmten Bereichen, wie der Kundenkommunikation, oder der Organisation, Analyse und Auswertung von Daten, einsetzen wollen. Bei Durchsicht der Orientierungshilfe wird schnell deutlich, dass eine datenschutzkonforme Verwendung und Implementierung bzw. eine datenschutzkonformen Nutzung von KI-Tools und KI-Anwendungen im Unternehmen nicht ohne weiteres möglich ist, sondern eines gewissen Aufwandes und insbesondere auch einer Vorbereitung bedarf.
Hinweis: Die Datenschutzbehörden betonen allerdings, dass das Datenschutzrecht alleine nicht die einzigen gesetzlichen Anforderungen enthält, die bei Einsatz und Nutzung von KI-Anwendungen beachtet werden müssen. Vielmehr müssen auch andere rechtliche Rahmenbedingungen im Blick behalten werden. Dies betrifft z.B.
- die Rechte des geistigen Eigentums (insbesondere Urheberrechte, aber auch Patent- und Markenrechte),
- allgemeine und besondere Persönlichkeitsrechte, aber auch
- den Schutz von Geschäftsgeheimnissen (Trade Secrets) und schließlich auch das
- Anti-Diskriminierungsrecht
Diese und andere sind beim Einsatz und bei der Nutzung von KI-Anwendungen von besonderer Bedeutung und müssen beachtet werden.
III. Datenschutz vor dem Einsatz von KI-Anwendungen in Unternehmen
1. Vor dem Einsatz von KI-Anwendungen
Die Orientierungshilfe der Datenschutzkonferenz geht zunächst auf die Vorgaben des Datenschutzrechts in der Phase vor der Implementierung von KI-Anwendungen in Unternehmen ein, also wenn es um die Planung und Konzeption des Einsatzes von KI-Anwendungen geht. Denn nicht nur die eigentliche Nutzung von KI-Anwendungen stellt ein datenschutzrechtliches Thema dar, sondern zuvor bereits deren Planung und Implementierung. Da greifen schon datenschutzrechtliche Vorgaben ein, die zwingend zu beachten sind.
2. Rechtmäßigkeit des Einsatzes von KI-Anwendungen
Vor der Anschaffung Implementierung und Nutzung von KI-Anwendungen müssen die hierfür datenschutzrechtlich Verantwortlichen prüfen, ob aus datenschutzrechtlicher Sicht oder sonstigen rechtlichen Gesichtspunkten diese KI-Anwendungen für den geplanten Einsatz bzw. in dem Einsatzgebiet überhaupt verwendet werden dürfen. Während der Einsatz in der Kundenkommunikation, z.B. im Rahmen von Chatbots von Webshops grundsätzlich unter gewissen Umständen erlaubt ist, könnte dies in bestimmten anderen, sensibleren Bereichen - etwa im Medizinbereich - ggf. auch anders sein. Dies soll an dieser Stelle aber keine vertiefte Darstellung in diesem Beitrag finden.
3. Festlegung der Zwecke der KI-Nutzung
Aus datenschutzrechtlicher Sicht ist unbedingt erforderlich, dass die aus datenschutzrechtlicher Sicht Verantwortlichen bereits im Vorfeld der Implementierung von KI-Anwendungen festlegen, für welche konkreten Zwecke sie die KI-Anwendungen im Unternehmen bzw. in ihrem Business-Alltag einsetzen wollen. Hintergrund hierfür ist, dass das Datenschutzrecht erfordert, dass die Verarbeitung von personenbezogenen Daten stets für einen bereits im Vorfeld festgelegten, ganz bestimmten Zweck erforderlich sein muss, um rechtmäßig zu sein. Ist eine Datenverarbeitung hingegen nicht erforderlich, so ist sie in der Regel nicht zulässig und muss unterlassen werden.
4. Vermeidung der Verarbeitung von personenbezogenen Daten
Das Datenschutzrecht fordert zur Datensparsamkeit auf. Wo und wie irgend möglich muss daher auf die Verarbeitung von personenbezogenen Daten verzichtet werden, insbesondere wo dies zur Erreichung desselben Ergebnisses vermieden werden kann. Daher müssen aus Sicht der Datenschutzbehörden Unternehmen im Vorfeld der Implementierung und Nutzung von KI-Anwendungen zwingend prüfen, ob sie die jeweils mit dem Einsatz der KI vorgesehenen Zwecke auch dadurch erreichen können, dass sie keine oder weniger personenbezogene Daten im Rahmen von KI-Anwendungen verarbeiten.
5. Training von KI im Einklang mit dem Datenschutz
Die Datenschutzbehörde stellen sich weiter vor, dass Unternehmen ebenso bereits vor Einführung von KI-Anwendungen im Business-Alltag prüfen, ob diese in datenschutzkonformer Weise entwickelt worden sind, insbesondere, ob sie unter Einhaltung der Datenschutzgesetze trainiert worden sind. Sind KI-Anwendungen unter Verstoß gegen das Datenschutzrecht entwickelt worden, dürfen sie möglicherweise auch nicht im Unternehmen implementiert und genutzt werden.
Dies bedeutet zwar nicht, dass bei der Entwicklung bzw. beim Training von KI-Anwendungen, d.h. wenn sie mit Daten gefüttert werden, um sich gewissermaßen zu entwickeln, überhaupt keine personenbezogenen Daten eingesetzt werden dürfen. Vielmehr ist nur wichtig, dass möglichst wenige personenbezogene Daten hierfür eingesetzt wurden, und dass dies auf einer hinreichenden Rechtsgrundlage und zu einem legitimen Zweck erfolgt ist.
Ein Problem an dieser Wunschvorstellung der Datenschutzbehörden ist allerdings, dass ein Unternehmen, das von einem Anbieter eine KI-Anwendung implementiert, selbst zunächst einmal nicht unmittelbar wissen kann, ob der Entwickler der KI das Datenschutzrecht in Gänze eingehalten hat. Außer der Prüfung von entsprechenden Informationen des Anbieters, wie Werbung und in den Vertragsunterlagen, und Nachfrage beim Anbieter, stehen dem potentiellen Nutzer von KI-Anwendungen in der Regel kaum Möglichkeiten zur Verfügung, den datenschutzkonformen Entwicklungsstand der KI-Anwendung tatsächlich und ernsthaft selbst zu überprüfen.
6. Letztentscheidungen nicht durch KI-Anwendung
Die Datenschutz-Grundverordnung sieht in Art. 22 DSGVO vor, dass Technik bzw. datenverarbeitende Systeme nicht dazu verwendet werden dürfen, Entscheidungen über Personen mit rechtlichen Auswirkungen vollkommen automatisiert zu treffen. Eine letzte Entscheidung muss am Ende immer ein Mensch treffen, so jedenfalls die aktuellen datenschutzrechtlichen Vorgaben. Dabei ist entscheidend, dass ein Mensch nicht nur formell eine bereits durch Technik getroffene Entscheidung bloß freigibt, etwa durch eigenhändige Unterzeichnung eines ausgedruckten Dokuments. Vielmehr ist gefordert, dass ein Mensch noch einen relevanten eigenen Entscheidungsspielraum hat.
Wird KI also eingesetzt, um Entscheidungen, auch mit Auswirkungen auf Personen zu treffen oder zumindest vorzubereiten, so muss beachtet werden, dass im Prozess am Ende immer noch ein Mensch involviert ist, der die vorbereitete Entscheidung zumindest ernsthaft überprüft und im Rahmen seines eigenen Entscheidungsspielraums anpassen kann.
7. Transparenz der Datenverarbeitung durch KI
Kommt es bei dem Einsatz und Nutzung von KI-Anwendungen auch zur Verarbeitung von personenbezogenen Daten, so greift das datenschutzrechtliche Transparenzgebot. Konkret bedeutet dies, dass Unternehmen, die KI-Anwendungen einsetzen und in diesem Zusammenhang personenbezogene Daten verarbeiten, über diese Datenverarbeitung hinreichend transparent informieren müssen.
Im Rahmen ihrer Datenschutzerklärungen bzw. Datenschutzhinweise müssen diese Unternehmen daher zum einen insbesondere über
- die jeweiligen Rechtsgrundlagen für die Verarbeitung der personenbezogenen Daten und zum anderen auch über
- den Zweck der Datenverarbeitung
informieren. Dies stellt nicht selten eine hohe Hürde für die Unternehmen dar, die von anderen Unternehmen entwickelte und trainierte KI-Anwendungen bloß zu ihren Zwecken im Unternehmen einsetzen und nutzen wollen. Denn sie haben häufig keine hinreichenden eigenen Kenntnisse über die Datenverarbeitungsprozesse und Logiken im Zusammenhang mit der KI-Anwendung, um vollständige und richtige Datenschutzhinweise in der Datenschutzerkärung geben zu können.
Ist die Datenschutzerklärung aber unvollständig oder falsch, ist dies grundsätzlich als ein Datenschutzvorstoß anzusehen, der von den Datenschutzbehörden verfolgt und geahndet werden kann oder auch zu Unterlassungs- und ggf. auch Schadensersatzansprüchen von betroffenen Personen führen kann, deren personenbezogene Daten verarbeitet werden.
8. Betroffenenrechte beim Einsatz von KI
Ein essenzieller Bestandteil der Datenschutz Grundverordnung sind die sog. Betroffenenrechte, mit denen das Datenschutzrecht den betroffenen Personen, deren personenbezogene Daten verarbeitet werden, wichtige Tools an die Hand gibt, mit denen sie die Verarbeitung ihrer personenbezogenen Daten kontrollieren und steuern können.
So können betroffene Personen etwa mit ihrem Auskunftsrecht aus Art. 15 DSGVO vom Verantwortlichen verlangen, dass er ihnen Informationen über die Verarbeitung ihrer personenbezogenen Daten bereitstellt. Auch sieht die Datenschutz-Grundverordnung vor, dass falsche personnebzogene Daten berichtigt werden müssen (Art. 16 DSGVO) und Daten unter bestimmten Umständen gelöscht werden müssen (Art. 17 DSGVO). Dabei ist das Recht auf Berichtigen besonders wichtig, weil KI-Anwendungen typischerweise technisch bedingt immanent ist, auch falsche Ergebnisse und daher ggf. auch falsche personenbezogene Daten auszugeben.
Setzen Unternehmen KI-Anwendungen ein, die personenbezogene Daten verarbeiten, müssen sie sicherstellen, dass die betroffenen Personen ihre Betroffenenrechte geltend machen können und Prozesse existieren, die dazu führen, dass die Betroffenenrechte tatsächlich im Rahmen der datenschutzrechtlichen Vorgaben eingehalten und erfüllt werden.
IV. Datenschutz bei Implementierung von KI-Anwendungen in Unternehmen
1. Implementierung von KI-Anwendungen
Haben Unternehmen den Einsatz und die Nutzung von KI-Anwendungen in ihrem Unternehmen in datenschutzkonformer Weise geplant und konzipiert, so müssen diese im nächsten Schritt auch datenschutzkonform implementiert werden. Dabei meint Implementierung nicht nur das Aufspielen der Software auf den Unternehmenserver oder die Arbeitsplätze der einzelnen Mitarbeitenden, sondern insbesondere auch die richtige Einbettung der Nutzung der KI-Anwendungen in die Datenschutzstruktur und Datenschutzrichtlinien des Unternehmens.
So muss möglicherweise der betriebliche oder externe Datenschutzbeauftragte mit einbezogen werden. Zudem müssten Mitarbeitende, die mit KI-Anwendungen in Berührung kommen sollen, in die Datenschutztrainings einbezogen werden, um hinsichtlich der Einhaltung der strengen datenschutzrechtlichen Vorgaben geschult zu werden.
2. Definition von Verantwortlichkeiten und Rollen für die KI-Nutzung
Bestimmung der datenschutzrechtlichen Verantwortlichkeit
Unternehmen müssen prüfen und schließlich festlegen, welche datenschutzrechtliche Verantwortlichkeiten im Zusammenhang mit der Einführung, d.h. Implementierung und Nutzung von neuen KI-Anwendungen bestehen.
Verantwortlich i.S.d. Datenschutzrechts ist stets derjenige, der die Mittel und Zwecke der Datenverarbeitung bestimmt. Das dürfte in der Regel das Unternehmen sein, dass die KI-Anwendung zur eigenen Nutzung einführt.
Bei KI-Anwendungen in Form von Cloud-Lösungen, bei denen die Anwender die KI-Anwendung direkt in der Cloud-Umgebung des Anbieters nutzen, bedarf es im Falle der Verarbeitung von personenbezogenen Daten im Zusammenhang mit der KI-Anwendung typischerweise des Abschlusses einer sog. Auftragsverarbeitungsvereinbarung (AVV) gemäß Art. 28 Abs. 3 DSGVO zwischen dem Anbieter der KI-Anwendung und dem Unternehmen, das diese zu eigenen Zwecken nutzt. Eine Vorlage für diese Auftragsverarbeitungsvereinbarung dürfte in der Regel der Anbieter der KI-Anwendung vorlegen.
Allerdings ist auch denkbar, dass ein Unternehmen, das KI-Anwendungen implementiert und nutzt, zusammen mit dem Unternehmen, das die KI entwickelt und trainiert hat, in datenschutzrechtlicher Hinsicht gemeinsam verantwortlich ist i.S.d. Art. 26 DSGVO. In diesem Fall müssten die datenschutzrechtlichen Verantwortlichkeiten zwischen diesen beiden gemeinsam Verantwortlichkeiten verbindlich in einem Vertrag vereinbart werden.
Verantwortlichkeiten im Unternehmen
Wie stets bei Einführung von neuen Systemen bzw. von Software müssen auch die strukturellen und personellen Verantwortlichkeiten im Unternehmen für die Implementierung und auch für die spätere alltägliche Nutzung von KI-Anwendungen geklärt werden.
Hierzu zählt etwa, welche Abteilungen und welche Positionen und dementsprechend auch, welche konkreten Personen für welche Teile der Implementierung und Nutzung von KI-Anwendungen im Hinblick auf die Einhaltung des Datenschutzrechts verantwortlich sein sollen. Dabei geht es zum einen um die übergeordnete datenschutzrechtliche Verantwortlichkeit. Zum anderen ist damit aber auch gemeint, wer für einzelne datenschutzrechtlich erforderliche Schritte bei der Implementierung und etwa auch Dokumentation, und später auch bei der Nutzung der KI-Anwendungen Verantwortung trägt.
3. Erstellung und Pflege von internen Datenschutzrichtlinien zum Umgang mit KI
Sowohl die strukturellen und personellen Verantwortlichkeiten als auch wiederum die datenschutzrechtlichen Prozesse sind in die bestehenden Datenschutzverfahren und Datenschutzrichtlinien des Unternehmens im Hinblick auf den Einsatz und die Nutzung von KI-Anwendungen einzugliedern.
Konkret betrifft dies etwa das Verarbeitungsverzeichnis nach Art. 30 DSGVO, in das selbstverständlich auch solche KI-Anwendungen aufzunehmen sind, durch die personenbezogene Daten verarbeitet werden. Darüber hinaus sind beispielsweise Datenschutzprozesse anzupassen, die vorsehen, dass der Datenschutzbeauftragte bei der Einführung neuer Software mit Personenbezug zu konsultieren ist. Schließlich müssen die KI-Anwendungen, die auch personenbezogene Daten verarbeiten, z.B. in die Prozesse im Zusammenhang mit der Bearbeitung und Erfüllung der datenschutzrechtlichen Betroffenerechte als auch in die Verfahren zur Meldung von Datenschutzverstößen aufgenommen werden.
4. Notwendigkeit von Datenschutz-Folgenabschätzungen
Auch darf das mögliche Erfordernis der Durchführung einer Datenschutz Folgenabschätzung nicht vergessen werden. So müssen Unternehmen bereits vor Implementierung von KI-Anwendungen im Rahmen einer Vorabprüfung prüfen, ob sie hinsichtlich der Art, des Umfangs, des Zwecks sowie der Umstände der Datenverarbeitung verpflichtet sind, nach Art. 35 DSGVO eine sog. Datenschutz-Folgenabschätzung durchzuführen. Dies ist immer dann der Fall, wenn in der Vorabprüfung festgestellt wird, dass die Datenverarbeitung voraussichtlich mit einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen verbunden ist. Zur Durchführung der Datenschutz-Folgenabschätzung bedarf das Unternehmen dann allerdings der hinreichenden Dokumentation und sonstige Informationen des Anbieters der KI-Anwendung.
Ergibt diese Prüfung der Unternehmen, dass bei Einführung und Implementierung bestimmter AI-Anwendungen eine Datenschutz Folgenabschätzung vorzunehmen ist, muss diese auch im Rahmen der Vorgaben der Datenschutz-Grundverordnung als auch der internen Unternehmensrichtlinien durchgeführt werden. Ohne eine solche Datenschutz-Folgeabschätzung wäre die Implementierung der betreffenden KI-Anwendung ansonsten ein Datenschutzverstoß.
5. TOMs, Privacy by Design und by Default
Nach Art. 24, 32 DSGVO müssen datenschutzrechtlich verantwortliche Unternehmen unter Berücksichtigung von
- Art,
- Umfang,
- den Umständen und
- der Zwecke der Datenverarbeitung sowie
- der unterschiedlichen Eintrittswahrscheinlichkeit und der Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen
geeignete technische und organisatorische Maßnahmen (TOMs) umsetzen, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß der Datenschutz-Grundverordnung erfolgt. Hierzu zählen insbesondere die Zuverlässigkeit und Bedienbarkeit sowie die Sicherheit der KI-Anwendungen, einschließlich der Gewährleistung der Vertraulichkeit, Integrität, Verfügbarkeit sowie Resilienz von personenbezogenen Daten im Zusammenhang mit dem Einsatz und der Nutzung von KI-Anwendungen.
In Art. 25 DSGVO sieht das Datenschutzrecht zudem die Prinzipien des Privacy by Design und des Privacy by Dafault vor:
- Privacy by Design meint, dass schon bei der Entwicklung von datenschutzverarbeitenden Systemen das Datenschutzrecht beachtet werden muss, so dass dem späteren Anwender eine datenschutzkonformen Nutzung des Systems möglich ist. Schon bei der Entwicklung von Systemen soll sichergestellt werden, dass keine bzw. möglichst wenige bzw. diese in datenschutzkonformer Weise Daten verarbeitet werden.
- Privacy by Default meint hingegen, dass Systeme so hergestellt und eingerichtet bzw. eingestellt sein müssen, dass standardmäßig datenschutzschonende Maßnahmen wirken, d.h. möglichst keine bzw. wenige personenbezogene Daten verarbeitet werden. Konkret bedeutet dies, dass Unternehmen bei der Implementierung von KI-Anwendungen vorsehen müssen, dass deren Parameter so eingestellt werden, dass bei der Nutzung der KI-Anwendung später möglichst wenige personenbezogene Daten verarbeitet werden.
6. Training der KI-Anwender (Mitarbeitende)
Zu den technischen und organisatorischen Maßnahmen nach Art. 24, 32 DSGVO zählen u.a. auch die
- Erstellung von Handlungsanleitungen und die
- Schulung von Mitarbeitenden, die im Unternehmen mit der Verarbeitung von personenbezogenen Daten zu tun haben.
Werden durch KI-Anwendungen potentiell auch personenbezogene Daten verarbeitet, so müssen diejenigen, die mit diesen in Berührung kommen, in die datenschutzrechtlichen Schulungen mit einbezogen werden, so dass sie hinreichende Datenschutzkenntnisse erlangen, um die KI-Anwendungen möglichst datensparsam und in jedem Fall datenschutzkonform nutzen zu können.
7. Gewährleistung der Datensicherheit
Schließlich müssen die technischen und organisatorischen Maßnahmen (TOMs) so getroffen werden, dass die KI-Anwendung nach ihrer Implementierung sicher genutzt werden kann, d.h. keine Datenschutzvorfälle produziert, die als Datenschutzverstöße erhebliche Auswirkungen für betroffene Personen und das Unternehmen haben können.
V. Datenschutz bei Nutzung von KI-Anwendungen in Unternehmen
1. Nutzung von KI-Anwendungen
Selbstverständlich sind datenschutzrechtliche Anforderungen nicht nur bei der Planung und Konzeption und bei der konkreten Implementierung von KI-Anwendungen im Unternehmen zu berücksichtigen, sondern insbesondere auch bei der alltäglichen Nutzung durch die einzelnen Nutzer.
2. Eingabe von personenbezogene Daten in KI-Anwendungen
Betroffen ist insbesondere die Eingabe von personenbezogenen Daten in KI-Anwendungen. Stellt ein Mitarbeiter der KI-Anwendung durch Eingabe eines Textes u.a. auch personenbezogene Daten, z.B. den Namen und die Adresse einer bestimmten Person, zur Verfügung, etwa um durch die KI einen Brief mit einem bestimmten Inhalt erstellen zu lassen (z.B. ein Arbeitszeugnis), so muss dies datenschutzrechtlich gerechtfertigt werden können.
Konkret bedeutet dies insbesondere, dass
- für die Eingabe dieser Daten eine hinreichende Rechtsgrundlage gemäß den Vorgaben der Datenschutz-Grundverordnung oder gemäß sonstigen anwendbaren Datenschutzgesetzen vorliegen muss
- die Eingabe für einen bereits im Vorfeld festgelegten legitimen Zweck erfolgt und
- die Eingabe zur Erreichung dieses Zwecks erforderlich ist.,
Wichtig: Auch muss die mit der Eingabe von personenbezogene Daten verbundene Datenverarbeitung in der Datenschutzerklärung des Unternehmens transparent gemacht werden, d.h. die betroffenen Personen müssen über diese Möglichkeit der Datenverarbeitung informiert werden.
Führt die Eingabe von personenbezogene Daten in die KI-Anwendung zugleich möglicherweise zu deren Offenlegung gegenüber dem Anbieter der KI-Anwendung oder sonstigen Dritten (sog. offene Systeme), so handelt es sich hierbei typischerweise um eine Datenverarbeitung, die ihrerseits einer hinreichenden Rechtsgrundlage bedarf und über die ebenso in der Datenschutzerklärung des Unternehmens informiert werden muss.
Aus Sicht der Datenschutzbehörden sind allerdings sog. geschlossene KI-Anwendungen bzw. KI-Systeme solchen offenen Systeme aus datenschutzrechtlicher Sicht vorzuziehen, da geschlossene System weniger datengetrieben sind. Auch kann es bei offenen Systemen zu einer unkontrollierten Verarbeitung und Weitergabe von personenbezogenen Daten durch den Anbieter der KI-Anwendung und in der Folge auch durch Dritte kommen, die das Unternehmen, das die KI-Anwendung nutzt und für deren Nutzung auch datenschutzrechtlich verantwortlich ist, nicht mehr kontrollieren kann.
3. Ausgabe von personenbezogenen Daten in KI-Anwendungen
Nicht nur bei der Eingabe von Informationen in die KI-Anwendung können personenbezogene Daten verarbeitet werden, sondern auch bei der Ausgabe, also wenn die KI-Anwendung ihre Ergebnisse ausspuckt.
Enthalten die Ergebnisse der KI-Anwendungen auch personenbezogene Daten, so dürfen diese nur gespeichert und verarbeitet werden, wenn ebenso
- hierfür eine hinreichende Rechtsgrundlage vorliegt und
- die Verarbeitung der Daten zu einem legitimen Zweck erfolgt,
- für dessen Erreichung die Datenverarbeitung auch erforderlich ist.
Dies mag im Einzelfall keine allzu große datenschutzrechtliche Hürde sein. Dennoch muss dies in den Datenschutzprozessen des Unternehmens, insbesondere auch in der Datenschutzerklärung hinreichend Berücksichtigung finden.
Dabei wird das Unternehmen typischerweise auch auf Dokumentation und sonstigen Information des Anbieters der KI-Anwendung angewiesen sein. Dies gilt insbesondere bei solchen KI-Anwendungen, die automatisierte Entscheidungsfindungen beinhalten. Hier sieht Art. 22 DSGVO vor, dass das Unternehmen, dass solche Tools nutzt, auch über die Logik der Algorithmen informieren muss. Da das Unternehmen hierüber in der Regel keine eigene Kenntnis haben dürfte, kommt es für die Sicherstellung hinreichender Transparenz über die Datenverarbeitung entscheidend darauf an, dass der Anbieter der KI-Anwendung dem Unternehmen eine ausreichende Dokumentation und sonstige hierfür erforderliche Informationen bereitstellt.
4. Gewährleistung der Richtigkeit von Daten
Ein wichtiger Grundsatz des Datenschutzrechts sind die Grundsätze der Datenwahrheit und Datenklarheit, d.h. personenbezogene Daten müssen stets richtig sein bzw. - wenn sie es nicht sind - berichtigt werden.
Bei der Nutzung von KI-Anwendungen mit personenbezogenen Daten muss somit sichergestellt werden, dass stets nur richtige personenbezogene Daten ein- und ausgegeben werden und Kontrollroutinen und -mechanismen vorgesehen sind, mit denen festgestellt werden kann, ob die Daten richtig sind. Zudem muss eine Möglichkeit geben, falsche personenbezogene Daten zu korrigieren.
5. Diskriminierungsfreiheit der Ergebnisse der Nutzung von KI-Anwendungen
Zwar ist dies kein unmittelbarer Bestandteil des Datenschutzrechts, dennoch war es der Datenschutzkonferenz ein besonderes Anliegen, in ihrer Orientierungshilfe auf die Wichtigkeit der Diskriminierungfreiheit von KI-Anwendungen hinzuweisen.
Aufgrund der Art der Entwicklung und des Trainings von KI Anwendungen besteht das latente Risiko, dass KI-Anwendungen Menschen diskriminieren. Hintergrund hiervon ist, dass KI-Anwendungen aufgrund von bestehenden Daten trainiert werden, d.h. sie lernen aufgrund großer Datenbestände, wie bestimmte Entscheidungen in der Vergangenheit in bestimmten Konstellationen ausgefallen sind. Sind in bestimmten Konstellationen somit Personen mit bestimmten Merkmalen oder unter bestimmten Umständen diskriminiert worden, so lernt dies die KI aufgrund der Trainingsdaten, und birgt in der Folge das Risiko, diese Diskriminierungen bei künftigen Nutzungen wieder in den von ihr ausgeworfen Ergebnissen gewissermaßen fortzusetzen.
VI. Das Wichtigste in Kürze
- Die Datenschutzkonferenz der unabhängigen deutschen Datenschutzbehörden hat am 6. Mai 2024 eine Orientierungshilfe für die Planung und Konzeption, die Implementierung und die Nutzung von KI-Anwendungen unter Einhaltung des Datenschutzrechts veröffentlicht.
- Diese Orientierungshilfe bietet Unternehmen, etwa auch Webshop-Betreibern, einen Überblick und eine Anleitung, die sie bereits bei Planung und Implementierung und somit noch vor Nutzung von KI-Anwendungen unbedingt beachten müssen.
- Einerseits sind in der Orientierungshilfe nicht wenige datenschutzrechtlichenVorgaben abgebildet, die zu beachten sind. Andererseits sind die Ausführungen der Datenschutzkonferenz in vielen Fällen doch recht allgemein gehalten, so dass nicht immer ganz klar wird, welche konkreten datenschutzrechtlichen Vorgaben und Maßnahmen für einen datenschutzkonformen Einsatz bzw. Nutzung von KI-Anwendungen eingehalten werden müssen.
- Letztlich gilt auch beim Einsatz und der Nutzung von KI-Anwendungen aus Sicht des Datenschutzrecht, was bereits beim Einsatz und der Nutzung von sonstigen datenverarbeiteten Systemen gilt: Es bedarf einer hinreichenden Rechtsgrundlage für die Datenverarbeitung, die Datenverarbeitung muss für den mit ihr verfolgten Zweck erforderlich sein und die betroffenen Personen müssen in transparenter Weise in der Datenschutzerklärung über die Datenverarbeitung informiert werden.
- In jedem Fall müssen Unternehmen, die KI nutzen, die weiteren künftigen tatsächlichen, technischen und rechtlichen Entwicklungen eng verfolgen, um jeder Zeit auch kurzfristig reagieren und insbesondere die technischen Gegebenheiten, Prozesse und Dokumentation für die Implementierung und Nutzung der KI-Anwendungen im eigenen Unternehmen anpassen zu können.
Tipp: Fragen zum Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook .
Link kopieren
Als PDF exportieren
Per E-Mail verschicken
Zum Facebook-Account der Kanzlei
Zum Instagram-Account der Kanzlei
0 Kommentare