© ronstik / shutterstock.com
Der Einsatz von KI-gestützten Tools wie beispielsweise ChatGPT, Sprachassistenten oder Gesichtserkennung kann zur Steigerung der Produktivität und Effizienz im beruflichen Alltag beitragen. Dennoch nutzen laut einer Studie des Digitalverbands Bitkom nur 15 % der Unternehmen bereits KI-gestützte Tools. Für 52 % der Firmen ist KI noch gar kein Thema. Ob das Thema Datenschutz eine Barriere hierfür darstellt, erfahren Sie hier.
I. Was ist Künstliche Intelligenz?
Das Europäische Parlament definiert KI als die Fähigkeit einer Maschine, menschliche Fähigkeiten wie logisches Denken, Lernen, Planen und Kreativität zu imitieren. KI ermöglicht es technischen Systemen, ihre Umwelt wahrzunehmen, mit dem Wahrgenommenen umzugehen und Probleme zu lösen, um ein bestimmtes Ziel zu erreichen. Der Computer empfängt Daten (die bereits über eigene Sensoren, zum Beispiel eine Kamera, vorbereitet oder gesammelt wurden), verarbeitet sie und reagiert. KI-Systeme sind zudem in der Lage, ihr Handeln anzupassen, indem sie die Folgen früherer Aktionen analysieren und autonom arbeiten.
II. Warum ist der Datenschutz zu beachten?
Der Einsatz von Tools und Software mit Künstlicher Intelligenz ist mit weiteren Herausforderungen und Risiken verbunden. Nicht nur kann das Ergebnis der KI durch den Verarbeitungsvorgang einen Personenbezug herstellen, wie dies beispielsweise bei der Erstellung von Texten oder Bildern mit real existierenden Personen der Fall ist. Die KI-gestützten Tools weisen teilweise auch Funktionen auf, wie u. a. Profiling oder auch Tracking, welche Gefahren wie die Beeinflussung von Inhalten oder den Verlust der Anonymität bergen. Mit dem sog. KI-Gesetz versucht das Europäische Parlament die KI zu regulieren und so Risiken zu minimieren und wird voraussichtlich 2025 in Kraft treten.
Weiterhin erfordern die Tools in der Regel einen Zugriff auf eine große Menge an Daten, um diese überhaupt trainieren zu können, da die KI nur auf Grundlage der ihr zugeführten Daten im Vorfeld eine Entscheidung treffen kann. Da im Datenschutz der Grundsatz der Datenminimierung herrscht, besteht Konfliktpotenzial. Risikobehaftet ist zudem, dass der Ablauf der involvierten Logik der KI und die entscheidungsrelevanten Prozesse oft nicht nachvollziehbar sind, sog. Blackbox. Denn die KI entscheidet selbst und entzieht sich damit weitgehend dem Einfluss des Verwenders. Notwendig ist folglich neben der Einhaltung des Grundsatzes der Datenminimierung auch ein hohes Maß an Transparenz und Nachvollziehbarkeit und u. a. Einhaltung des Grundsatzes der Zweckbindung bei der Verarbeitung personenbezogener Daten, damit ein datenschutzkonformer Einsatz sichergestellt werden kann.
III. Was für Maßnahmen sind zu ergreifen?
Aufgrund der aufgezeigten Problemfelder sind bei dem Einsatz von KI eine Vielzahl von Maßnahmen zu ergreifen, um die KI datenschutzkonform im Unternehmen nutzen zu können. Neben der Sicherstellung der Rechtmäßigkeit der Datenverarbeitung, dem Abschluss von Verträgen zur Auftragsverarbeitung mit den Anbietern der KI-Tools werden folgende Maßnahmen hervorgehoben:
1. Datenschutz-Folgenabschätzung (DSFA)
Ist der Einsatz von KI im Unternehmen geplant, ist diese Datenverarbeitung voraussichtlich mit einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen wie beispielsweise Diskriminierung, Rufschädigung, Identitätsdiebstahl verbunden. Folglich muss das verantwortliche Unternehmen eine sog. Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO vornehmen. Die Datenschutzkonferenz der Länder (DSK) hat eine Liste von Verarbeitungstätigkeiten veröffentlicht, für die eine DSFA immer durchzuführen ist. In dieser Liste findet sich beispielsweise sowohl die Auswertung von Telefongesprächen durch Algorithmen als auch Kundensupport mittels KI, sodass in diesen Fällen zwingend eine DSFA durchzuführen ist.
Innerhalb dieses Verfahrens sind die Risiken bei dem Einsatz der KI zu identifizieren und zu bewerten. Anschließend müssen technische und organisatorische Maßnahmen zur Reduzierung der vorab festgestellten Risiken ergriffen werden. Ist eine solche Risikoreduzierung durch eigene Maßnahmen nicht möglich, ist die für das Unternehmen zuständige Aufsichtsbehörde einzubinden, andernfalls ist auf den Einsatz des geplanten KI-gestützten Tools zu verzichten.
2. Verarbeitungsverzeichnis
Werden personenbezogene Daten verarbeitet, gleich ob mit oder ohne Unterstützung durch KI, muss der Verarbeitungsvorgang in nachvollziehbarer Weise dokumentiert werden. In der Regel wird hierfür ein sog. Verzeichnis von Verarbeitungstätigkeiten (VVT) gem. Art. 30 DSGVO erstellt. Der Einsatz von KI-gestützten Tools muss daher ebenfalls in das VVT des datenschutzrechtlich verantwortlichen Unternehmens aufgenommen werden. Aufgrund der Intransparenz des Ablaufs der Logik der KI ist eine solche Dokumentation in der Praxis oft fehlerbehaftet.
3. Technische und organisatorische Maßnahmen
Grundsätzlich müssen geeignete technisch-organisatorischen Maßnahmen (TOM) gem. Art. 24, 25 und 32 DSGVO getroffen werden, um personenbezogene Daten zu schützen und damit ein ausreichendes Schutzniveau herzustellen. Im Rahmen des Einsatzes von KI sind vor allem Maßnahmen technischer Art wie die Anonymisierung oder Pseudonymisierung von Trainingsdaten, Vertraulichkeit, Integrität und Verfügbarkeit der Daten von großer Bedeutung. Denn die Technologien und Logiken, auf denen die KI basiert, entwickelt sich rasant weiter. Die Datenverarbeitungsprozesse werden hierdurch immer komplexer, dass neben dem Ergreifen von TOM auch die regelmäßige Evaluierung der Wirksamkeit der Maßnahmen zwingend erforderlich ist.
4. Informationspflichten und taugliche Rechtsgrundlage
Der Betroffene ist bei der Erhebung seiner personenbezogenen Daten nach Art. 13, 14 DSGVO insbesondere auch über den Empfänger der personenbezogenen Daten, die Dauer der Verarbeitung, das Bestehen einer automatisierten Entscheidungsfindung zu informieren. Oftmals fehlen dem Verantwortlichen bei dem Einsatz von KI diese Informationen, sodass auch die Erfüllung der Informationspflichten in der Praxis nicht vollumfänglich und ausreichend erfolgt.
Auch muss der Verantwortliche über die Rechtsgrundlage, auf der die Datenverarbeitung beruht, informieren. In der Regel erteilt der Betroffene keine Einwilligung für die Verarbeitung seiner Daten beispielsweise für das Training der KI. Kommt auch keine weitere Rechtsgrundlage in Betracht, kommt für die Datenverarbeitung nur das berechtigte Interesse des Verantwortlichen nach Art. 6 Abs. 1 lit. f DSGVO in Betracht. Dies gilt jedoch nur, solange die Interessen oder Grundrechte der Betroffenen, die den Schutz der personenbezogenen Daten erfordern, nicht die Interessen des Verantwortlichen überwiegen. Vor Einsatz der KI hat das datenschutzrechtlich verantwortliche Unternehmen daher eine Abwägung zu treffen und anschließend den Betroffenen darüber innerhalb der Datenschutzhinweise zu informieren.
IV. Fazit
Bei dem Einsatz von Tools und Software unter Zuhilfenahme von KI kann die Datenverarbeitung einen Personenbezug aufweisen und damit datenschutzrechtliche Relevanz haben. Aufgrund der Bedeutung von KI für unsere digitale Gesellschaft wird der Einsatz KI-gestützter Systeme immer weiter zunehmen.
Der Europäische Gerichtshof (EUGH) hat mit Urteil vom 07.12.2023, Az. C-634/21, bereits eine wegweisende Entscheidung für den Einsatz von KI-gestützten Systemen getroffen. Auch der Bundesbeauftragte für Datenschutz und Informationsfreiheit hat sich in seinem 32. Tätigkeitsbericht 2023 ausführlich mit dem Thema KI beschäftigt. Es ist daher davon auszugehen, dass zukünftig eine Überprüfung des datenschutzkonformen Einsatzes von KI durch die Gerichte und Aufsichtsbehörden zu erwarten ist.
Gern unterstützen wir Sie, sofern Sie planen, KI-gestützte Tools in Ihrem Unternehmen einzusetzen. Vereinbaren Sie ein unverbindliches und kostenfreies Erstgespräch.
Ihr Ansprechpartner
Rechtsanwältin Katharina Däberitz
Datenschutzbeauftragte (TÜV Nord)
info@hb-ecommerce.eu
