Künstliche Intelligenz (KI) und Datenschutz: Was ist zu beachten?

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat am 6. Mai 2024 die Orientierungshilfe „Künstliche Intelligenz und Datenschutz“ veröffentlicht. Diese richtet sich an Unternehmen, die KI‐Anwendungen einsetzen möchten, und gibt einen Überblick über die allgemeinen Datenschutzanforderungen, wie wir sie aus der EU-Datenschutzgrundverordnung (DSGVO) kennen.

Die Orientierungshilfe liefert insoweit keine bahnbrechenden neuen Erkenntnisse, kann aber verwendet werden, um sich checklistenartig an dieser entlang zu hangeln. Dies könnte in etwa wie folgt aussehen:  

Vorüberlegungen – Use Case-bezogene Betrachtung erforderlich:

• Für welchen Zweck soll die KI-Anwendung eingesetzt werden?
• Wie lange werden die Daten zu diesem Zweck benötigt?
• Welche Daten(arten) werden verarbeitet?
• Wessen Daten sollen verarbeitet werden?
• Sind personenbezogene Daten erforderlich oder können anonymisierte Daten verwendet werden? D. h. weder enthalten Eingabe- und Ausgabedaten personenbezogene Daten noch kann aufgrund der Datenmenge ein Personenbezug durch die KI hergestellt werden.
• Wer ist zu informieren und wie mache ich das am besten?
• Wer soll auf die KI-Anwendung Zugriff haben – handelt es sich um ein geschlossenes oder offenes System? D. h. soll nur ein eng begrenzter Personenkreis Zugriff auf die KI‐Anwendung haben? Oder handelt es sich bspw. um eine öffentliche Cloud-Anwendung, bei der eine Kontrolle über die Ein‐ und Ausgabedaten unmöglich ist?
• Wie kann ich sicherstellen, dass nur befugte Personen auf die Daten zugreifen? Und wer muss/darf überhaupt auf die Daten zugreifen?
• Erfüllt die KI-Anwendung die unternehmensinternen IT-Sicherheitsstandards?
• Bringt der KI-Einsatz mehr Vor- oder Nachteile für die betroffenen Personen mit sich?
• Welche Auswirkungen hat der Einsatz der KI-Anwendung auf die betroffenen Personen?
• Wie stehen meine Beschäftigten zu dem KI-Einsatz?
• Übernimmt die KI Funktionen im Rahmen von Entscheidungsprozessen oder fungiert sie lediglich als „einfaches Hilfsmittel“?
• Haben die betroffenen Personen die Möglichkeit, die Verarbeitung ihrer Daten proaktiv zu verhindern oder können sie die Verarbeitung zumindest stoppen?
• Ist der Anbieter der KI-Anwendung vertrauenswürdig? Stellt er insbesondere ausreichend Informationen zur KI-Funktionalität zur Verfügung? Hat der Anbieter relevante Zertifizierungen?
• Ist bekannt, welche Trainingsdaten der KI-Anwendung zugrunde liegen? Sind diese für den verfolgten Zweck vielsprechend oder könnten die Ausgaben bspw. mangels Diversität der Trainingsdaten fehleranfällig sein?
• Welche Restrisiken bestehen – z. B. mangels ausreichender Anbieterinformationen, wahrscheinlicher Anwendungsfehler, rechtlicher Unklarheiten, …? Stehen diese Risiken im Verhältnis zu dem Nutzen?  

Datenschutzrechtliche Voraussetzungen:

☐ Der  KI-Einsatz kann auf eine Rechtsgrundlage gestützt werden.

• „Diskussionspapier: Rechtsgrundlagen im Datenschutz beim Einsatz von Künstlicher Intelligenz“ des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg vom 07.11.2023

☐ Durch die KI wird keine automatisierte Letztentscheidung getroffen (Art. 22 Abs. 1 DSGVO) oder es liegt hierfür eine Einwilligung der Betroffenen vor.

• Rn. 12 der Orientierungshilfe: „Erarbeitet eine KI‐Anwendung Vorschläge, die für eine betroffene Person Rechtswirkung entfalten, muss das Verfahren so gestaltet werden, dass dem entscheidenden Menschen ein tatsächlicher Entscheidungsspielraum zukommt und nicht maßgeblich aufgrund des KI-Vorschlags entschieden wird. Unzureichende Personalressourcen, Zeitdruck und fehlende Transparenz über den Entscheidungsweg der KI‐gestützten Vorarbeit dürfen nicht dazu führen, dass Ergebnisse ungeprüft übernommen werden. Eine lediglich formelle Beteiligung eines Menschen im Entscheidungsprozess ist nicht ausreichend.“

☐ Die Informations‐ und Transparenzpflichten sind erfüllt, insbesondere:

• Die Informationen sind so gestaltet, dass die betroffenen Personen die Funktionsweise der KI-Anwendung verstehen.
• Die betroffenen Personen haben mindestens eine Information über die geplante weitere Nutzung zu Trainingszwecken, der vorhandenen Eingabehistorie etc. erhalten (dann Rechtsgrundlage sicherstellen); vorzugswürdig: die betroffenen Personen haben die Wahl, ob die Nutzung der Daten für Trainingszwecke in Ordnung ist, die Eingaben gespeichert werden dürfen und somit ggf. für andere Nutzende sichtbar sind – hierüber wurden die betroffenen Personen informiert.

☐ Die Betroffenenrechte können erfüllt werden (Löschung, Berichtigung, Auskunft, Widerspruch/Widerruf, …).

• Löschung meint, dass die Wiederherstellung des Personenbezugs dauerhaft unmöglich gemacht wird. (Anmerkung: Dies stellt in der Praxis, insbesondere bei komplexen KI-Anwendungen, in deren Wissen sich die bisherigen Eingaben in der Regel fortsetzen, eine teils unlösbare Herausforderung dar.)

☐ Eine Einbeziehung von unternehmensinternen Stakeholdern ist erfolgt, insbesondere Datenschutz, Betriebsrat, IT-/ Unternehmenssicherheit.

☐ Mit dem Anbieter wurden erforderliche Verträge abgeschlossen.

• Mit dem Anbieter wurden etwaige erforderliche Datenschutzverträge abgeschlossen, insbesondere wenn die Nutzung nicht auf eigenen Servern, sondern in der Cloud erfolgt (Auftragsverarbeitungsvereinbarung).
• Beispiel für eine gemeinsame Verantwortlichkeit in der Orientierungshilfe (Rn. 33): Kooperationen mehrerer Stellen – etwa, wenn eine KI‐Anwendung mit unterschiedlichen Datensätzen gespeist oder trainiert oder auf der Plattform einer Stelle ihre KI‐Anwendung von anderen Stellen zu neuen KI‐Anwendungen weiterentwickelt wird.

☐ Es wurden unternehmensinterne Nutzungsvorgaben getroffen und veröffentlicht, insbesondere:

• In welchen Bereichen darf KI eingesetzt werden;

• welche inhaltlichen Vorgaben bestehen an die Eingaben (u. a. Stichwort Geheimhaltung);

• wie ist mit den Ausgaben umzugehen – ggf. Prüferfordernis für Ausgaben je nach Bereich, bspw. auf Richtigkeit; Diskriminierung bei Anwendung im HR-Bereich etc.;

• sind private oder unternehmensinterne Accounts zu verwenden – insoweit ist ggf. auf Gefahren, wie die Möglichkeit der Erstellung von Nutzungsprofilen anhand der Eingaben hinzuweisen;

•  (soweit möglich) Risikoreduzierung durch Verwendung von Filterkriterien, die den Inhalt der Ausgaben beschränken;

• Abschluss einer Betriebsvereinbarung.

☐ Die Beschäftigten werden regelmäßig zum Umgang mit den KI-Anwendungen sensibilisiert, bspw. durch Schulungen.

☐ Die unternehmensinternen IT-Sicherheitsstandards sind gewährleistet.

• Es wurden ggf. zentrale Datenschutzgrundeinstellungen von den Admins vorgenommen (keine Eingabehistorien etc.) – jedenfalls sind die Beschäftigten über Gefahren und Einstellungsmöglichkeiten informiert.

☐ Es besteht ein unternehmensinternes Managementsystem zur Verfolgung der rechtlichen und technischen Entwicklungen (neue Anforderungen an KI-Systeme, Updates des Anbieters, Einhaltung der Vorgaben etc.).

☐ Die DSGVO-Dokumentationspflichten sind erfüllt.

• Eine Datenschutz-Folgenabschätzung (DSFA) wurde erstellt oder im Zuge einer Vor-Prüfung festgestellt und dokumentiert, dass eine DSFA nicht erforderlich ist.
• Es wurde eine Verfahrensdokumentation erstellt – ggf. einschließlich Interessenabwägung, wenn der Einsatz auf berechtigte Interessen gestützt wird.

Hinweis: Die obige „Checkliste“ beruht auf den Ausführungen der DSK in der Orientierungshilfe „Künstliche Intelligenz und Datenschutz“. Obgleich wir zu einigen Punkten weitere Aspekte ergänzt haben, erhebt die Checkliste keinen Anspruch auf Vollständigkeit, um sämtliche Anforderungen, die an den rechtskonformen Einsatz einer KI-Anwendung bestehen, abzubilden.

Sprechen Sie uns gern an, wenn Sie Fragen dazu haben, welche weiteren Schritte im Einzelfall notwendig sein können.