Zum Inhalt springen

News

KI & Datenschutz – Wie passt das zusammen?

Künstliche Intelligenz entwickelt sich rasant weiter. In Bezug auf die Verarbeitung personenbezogener Daten wirft der Einsatz von KI-gestützten Systemen aber auch immer wieder datenschutzrechtliche Fragen auf. Angesichts des Europäischen Datenschutztages werfen wir einen Blick darauf, was Unternehmen in Sachen Datenschutz und KI unter anderem beachten sollten.

Essen | 26.01.2024

Künstliche Intelligenz & die DSGVO

Künstliche Intelligenz (KI) ist als Begriff innerhalb der Europäischen Datenschutz-Grundverordnung (EU-DSGVO) nicht explizit zu finden. Jedoch ist die DSGVO grundsätzlich so konzipiert, dass sie technologieneutral gilt und damit auch neuartige Technologien wie KI einschließt.

Eröffnet wird der Geltungsbereich der DSGVO, sobald eine Technologie personenbezogene Daten – das heißt alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen – verarbeitet. Möchte ein Unternehmen in diesem Kontext ein KI-gestütztes System einsetzen, muss es bestimmte datenschutzrechtliche Vorgaben beachten. Demnach sollten KI und Datenschutz von Beginn an gemeinsam gedacht und sowohl bei der Entwicklung als auch bei der Implementierung und Nutzung berücksichtigt werden. Zudem ist es ratsam, versierte Datenschutzexpert:innen einzubinden, damit die Grenzen beachtet werden, die der Datenschutz auferlegt.

Frage nach der datenschutzrechtlichen Verantwortung

Werden durch ein KI-basiertes System personenbezogene Daten verarbeitet, ist zunächst zu klären, wer für die Datenverarbeitung verantwortlich ist. Denn daraus leiten sich unterschiedliche Rechte und Pflichten ab. Folgende Konstellationen sind grundsätzlich möglich:

  • Alleinige Verantwortlichkeit: Wird ein KI-basiertes System beispielsweise selbst entwickelt oder in die eigenen Prozesse integriert, ist das entsprechende Unternehmen auch für die Datenverarbeitung verantwortlich. Hintergrund ist, dass das Unternehmen selbstständig über die Zwecke und Mittel der Verarbeitung entscheidet bzw. entscheiden kann.
  • Gemeinsame Verantwortlichkeit: Verfolgen zwei oder mehr Parteien (z. B. Unternehmen und KI-Anbieter) gemeinsame Ziele und entscheiden über die Zwecke und Mittel oder sind hinsichtlich der Verarbeitungsvorgänge untrennbar miteinander verbunden, liegt eine gemeinsame Verantwortlichkeit vor. In diesem Falle ist eine Vereinbarung über die gemeinsame Verantwortlichkeit zu schließen.
  • Auftragsverarbeitung: Verarbeitet ein KI-Anbieter personenbezogene Daten auf seinem Server, allerdings im Auftrag eines anderen Unternehmens (Verantwortlichen) oder Dienstleisters, handelt es sich um ein Auftragsverarbeitungsverhältnis. Ein Beispiel stellt die Verwendung eines bereits bestehenden KI-Systems eines Cloud-Dienstanbieters dar. Notwendig ist in diesem Kontext die Schließung eines Auftragsverarbeitungsvertrages.

Abhängig von der Phase, in der sich eine KI befindet, können die Verantwortlichkeiten variieren.

Mögliche Verarbeitungsphasen, die in diesem Zusammenhang einzeln betrachtet und bewertet werden müssen, sind

  • Die Erhebung von Trainingsdaten für KI,
  • die Verarbeitung von Daten für das Training von KI,
  • das Bereitstellen von KI-Anwendungen,
  • die Nutzung von KI-Anwendungen sowie
  • die Nutzung von KI-Ergebnissen.

Rechtsgrundlage für die Datenverarbeitung

Um personenbezogene Daten verarbeiten zu dürfen, sind Unternehmen auf eine gültige Rechtsgrundlage angewiesen. Dies ist in der Regel der Fall, wenn eine rechtskonforme Einwilligung der betroffenen Personen für eindeutig festgelegte Zwecke vorliegt. In diesem Zusammenhang müssen die betroffenen Personen darüber informiert werden, welche Daten für welche Zwecke wie und von wem verarbeitet werden und wer die Empfänger sind. Auf dieser Informationsgrundlage können sie dann entscheiden, ob sie ihre Einwilligung erteilen möchten. Ein berechtigtes Interesse reicht an dieser Stelle nicht aus. Unternehmen sollten sicherstellen, dass die gewählte Rechtsgrundlage den Anforderungen der DSGVO entspricht.

Grundsätze der Datenverarbeitung

Rechte von Betroffenen

Informations-, Berichtigungs- und Löschungsrechte hinsichtlich personenbezogener Daten müssen respektiert werden. Beim Recht auf Löschung kann sich der Verlust von Daten auf die Funktionsfähigkeit des KI-Systems auswirken oder das System kann mitunter gar nicht in der Lage dazu sein, bestimmte Daten zu vergessen.

Transparenz

Auch in Bezug auf den Einsatz von KI-basierten Systemen gelten Transparenzanforderungen im Hinblick auf die Funktionsweise sowie die Verarbeitung personenbezogener Daten. Diese ergeben sich einerseits aus der DSGVO und andererseits aus dem EU-Gesetz zur künstlichen Intelligenz (AI Act).

Zweckbindung

Künstliche Intelligenz darf nur für verfassungsrechtlich legitimierte Zwecke eingesetzt werden. Deswegen – und mit Blick auf Informationspflichten – muss eindeutig sein, welchem Zweck die durch das KI-System verarbeiteten Daten zugeführt werden. Ändert sich dieser Zweck, ist eine weitere Rechtsgrundlage nötig.

Datenminimierung

Bei Datenein- und -ausgaben sollte die Verwendung personenbezogener Daten auf ein für die Zwecke der Verarbeitung notwendiges Maß reduziert werden, inkl. Anonymisierung oder Pseudonymisierung. Datenminimierung sollte bereits bei der Entwicklung berücksichtigt werden (Privacy by Design/Privacy by Default).

Datenschutz-Folgenabschätzung im Kontext von KI

Geht die Nutzung einer KI mit einer potenziellen Diskriminierungsgefahr einher ist gemäß Art. 35 DSGVO eine Datenschutz-Folgenabschätzung (DSFA) durchzuführen. Gleiches gilt, wenn aufgrund der Art, des Umfangs, der Umstände oder der Zwecke der Datenverarbeitung ein besonders hohes Risiko für die Rechte und Freiheiten von Personen besteht.

Ob eine DSFA durchgeführt werden muss, wird anhand einer Abschätzung der Risiken der Verarbeitungsvorgänge entschieden. Ergibt sich daraus ein voraussichtlich hohes Risiko, gilt eine DSFA-Pflicht. Das ist in der Regel der Fall, wenn eine KI beispielsweise automatisierte Entscheidungen trifft oder persönliche Aspekte einer natürlichen Person systematisch und umfassend bewertet.

An die DSFA-Pflicht ist zudem die Verpflichtung zur Benennung eines bzw. einer Datenschutzbeauftragten (DSB) geknüpft.

Fragen, die Unternehmen sich in Bezug auf KI & Datenschutz stellen sollten

  • Welche Phase der Datenverarbeitung wird betrachtet?
    Beispielsweise: Erhebung von Trainingsdaten für KI, Verarbeitung von Daten für das Training von KI, Bereitstellen von KI-Anwendungen, Nutzung von KI-Anwendungen, Nutzung von KI-Ergebnissen
  • Werden durch die KI personenbezogene Daten verarbeitet?
    Ja: Der Anwendungsbereich der DSGVO ist eröffnet.
    Nein: Die DSGVO findet keine Anwendung.
  • Wer ist für die Datenverarbeitung verantwortlich? 
    Alleinige Verantwortlichkeit? Gemeinsame Verantwortlichkeit? Auftragsverarbeitung?
  • Liegt eine Rechtsgrundlage für die Datenverarbeitung (Informierte Einwilligung der betroffenen Personen) vor? Für welche Phase(n) der Datenverarbeitung besteht diese?
  • Ist eine Datenschutzfolgeabschätzung durchzuführen?
  • Wird ein:e (externe) Datenschutzbeauftragte:r benötigt?

Fazit: Datenschutz bei KI-Nutzung von Anfang an mitdenken

Zusammenfassend lässt sich sagen, dass der Einsatz von KI-gestützten Systemen für Unternehmen immer auch mit datenschutzrechtlichen Fragen und Herausforderungen einhergeht. Der verabschiedete AI Act zielt in diesem Kontext nicht darauf ab, die Datenschutzvorgaben der DSGVO zu ersetzen, sondern ist als ergänzende Regulierung zu sehen. Auch wenn es derzeit grundsätzlich rechtliche Vorgaben gibt, können sich die Rahmenbedingungen mit dem weiteren Fortschritt von KI-Technologien jederzeit verändern. Aus diesem Grund ist es sinnvoll, mit einem wachsamen Auge auf aktuelle Entwicklungen zu blicken.

Darüber hinaus empfiehlt es sich, Datenschutzaspekte bei der Entwicklung, Implementierung und Nutzung von Anfang an zu berücksichtigen. Welche Anforderungen dabei konkret einzuhalten sind, ergibt sich aus dem jeweiligen Anwendungsfall. Hier kann das frühzeitige Hinzuziehen eines Datenschutzexperten oder einer Datenschutzexpertin ratsam sein.

Der Beitrag stellt eine Momentaufnahme in Bezug auf den aktuellen Stand zum Thema KI und Datenschutz dar und erhebt keinen Anspruch auf Vollständigkeit.

Über TÜVIT

Die TÜV Informationstechnik GmbH (Hauptsitz in Essen) ist ein renommierter IT-Sicherheitsdienstleister, ein unabhängiges Prüfinstitut und Labor für IT- und Cyber-Security in der Digitalisierung. Weltweit akkreditiert, seit 1995. Gemeinsam mit ALTER TECHNOLOGY bildet TÜVIT die Business Unit Digital & Semiconductor. Der Geschäftsbereich ist eine tragende Säule im Wissensunternehmen TÜV NORD GROUP, die seit über 150 Jahren weltweit für Sicherheit und Vertrauen steht. Ingenieur:innen und IT-Security-Expert:innen sorgen in mehr als 100 Ländern dafür, dass Unternehmen in der vernetzten Welt noch erfolgreicher werden.