Künstliche Intelligenz (KI) hat in den letzten Jahren einen beeindruckenden Fortschritt erlebt und ist zu einem zentralen Thema in Wissenschaft, Wirtschaft und der Gesellschaft geworden. Diese innovative Technologie, die Systemen die Fähigkeit verleiht, Aufgaben zu erlernen und intelligent zu handeln, bietet zahlreiche Chancen und neue Möglichkeiten. Zugleich sind bei der Nutzung noch eine Vielzahl von Fragen ungeklärt – insbesondere im Kontext des Datenschutzes wirft der Themenkomplex rund um KI-Systeme viele Fragestellungen auf.
Welche Rechtsgrundlagen können entsprechenden Datenverarbeitungen zugrunde liegen? Wer ist datenschutzrechtlich verantwortlich?
Mit diesen Fragen und vielem mehr hat sich nun der Landesbeauftragte für den Datenschutz und die Informationsfreiheit in Baden-Württemberg (LfDI BaWü) auseinandergesetzt und am 07.11.2023 ein Diskussionspapier mit dem Titel „Rechtsgrundlagen im Datenschutz beim Einsatz von Künstlicher Intelligenz“ veröffentlicht.
Ziele und Grenzen des Diskussionspapiers
Den übergeordneten Zweck des Diskussionspapiers sieht der LfDI BaWü als Unterstützung der verantwortlichen Stellen bei der Auseinandersetzung mit entsprechenden Rechtsgrundlagen für den Einsatz von KI. Es wird auch ausdrücklich darauf hingewiesen, dass dieses Diskussionspapier unabhängig von der noch nicht finalen KI-Verordnung entworfen wurde. Somit bleibt abzuwarten, ob das Diskussionspapier nach einer Verabschiedung der KI-Verordnung nochmals überarbeitet werden muss.
Phasen der Verarbeitung
Im Hinblick auf die Verarbeitung von personenbezogenen Daten bei KI-Systemen ist für eine Bewertung des KI-Systems der Zeitpunkt bzw. die Phase, in der das KI-System datenschutzrechtlich bewertet werden soll, entscheidend. Der LfDI BaWü unterscheidet hier fünf Phasen der Verarbeitung:
- Erhebung von Trainingsdaten für KI
- Verarbeitung von Daten für das Training von KI
- Bereitstellen von Anwendungen der KI
- Nutzung von Anwendungen der KI
- Nutzung von Ergebnissen der KI
Datenschutzrechtliche Verantwortlichkeit
Im Rahmen von KI-Systemen käme eine Verarbeitung in gemeinsamer Verantwortung in Betracht, wenn bspw. Datensätze von zwei verschiedenen Unternehmen beim Trainieren des gemeinsamen KI-Systems verwendet werden. Voraussetzung ist auch hier, dass die Parteien gemeinsam die Mittel und Zwecke der Verarbeitung festlegen.
Der Fall einer Auftragsverarbeitung wäre laut LfDI BaWü eröffnet, wenn ein KI-System unter Weisung ausschließlich zu Zwecken des Verantwortlichen mit personenbezogenen Daten trainiert würde.
Rechtsgrundlagen
Innerhalb des Diskussionspapiers werden ergänzend auch Rechtsgrundlagen für öffentliche Stellen gelistet. Im Folgenden wird nur auf die gängigsten Rechtsgrundlagen (einschließlich der Rechtsgrundlage für nicht-öffentliche Stellen) eingegangen.
Einwilligung
Die Einwilligung als Rechtsgrundlage zur Datenverarbeitung in KI-Systeme gestaltet sich in der Praxis wohl relativ herausfordernd. Die erste Problematik liegt in der Widerruflichkeit der Einwilligung und, als Folge, in der daraus resultierenden Löschung der entsprechenden Daten. Je nach KI-System entstehen aber unter Umständen Probleme der Funktionsfähigkeit des KI-Systems. Ergänzend dazu muss die Einwilligung präzise, verständlich und in einer klaren und einfachen Sprache formuliert sein. Allein aufgrund der teilweise enormen Komplexität von KI-Systemen wird wohl die Verständlichkeit der Datenverarbeitung regelmäßig beeinträchtigt sein können. Zumindest wird innerhalb des Diskussionspapiers hierzu ausgeführt, dass diesem Punkt durch die Informationen über die wesentlichen Aspekte der Datenverarbeitung zumindest zu einem gewissen Grad entgegengewirkt werden kann.
Erfüllung des Vertrages
Für diese Rechtsgrundlage ist das Vorhandensein eines konkreten Vertrages oder vorvertraglichen Verhältnisses zwischen den Parteien (natürlichen Personen) erforderlich. Es genügt gerade nicht, dass die Datenverarbeitung für die Erfüllung eines Vertrages nur nützlich ist. Die Datenverarbeitung von Daten Dritter, mit denen weder ein Vertrags- noch ein Vorvertragsverhältnis besteht, kann nicht auf diese Rechtsgrundlage gestützt werden. Somit wird auch diese Rechtsgrundlage bei vielen Datenverarbeitungen durch KI-Systeme entfallen.
Berechtigtes Interesse
Damit man sich dieser Rechtsgrundlage bedienen kann, müssen drei kumulative Voraussetzungen gegeben sein:
- berechtigtes Interesse des Verantwortlichen
- Erforderlichkeit der Verarbeitung
- keine überwiegenden entgegenstehenden schutzwürdigen Interessen der Betroffenen
Zum einen wird man ein berechtigtes Interesse bspw. bei der Entwicklung oder dem Einsatz eines KI-Systems zu Zwecken der Optimierung von Abläufen beim Verantwortlichen annehmen können. Weitere potenziell denkbare berechtigte Interessen, die durch das Diskussionspapier genannt wurden, sind grundsätzlich die Herstellung, Bereitstellung oder Nutzung von KI-Systemen sowie den Einsatz zu Zwecken von Betrugsprävention.
Schwieriger könnte es bereits bei der Voraussetzung der Erforderlichkeit werden. Hierbei beschreibt der LfDI BaWü in seinem Diskussionspapier, dass bereits das Bestehen der Möglichkeit, ein KI-System mit anonymisierten Daten zu entwickeln – anstatt mit personenbezogenen Daten – ausreicht, um die Erforderlichkeit im Rahmen des berechtigten Interesses zu verneinen. Darüber hinaus muss der Grundsatz der Datenminimierung nach Art. 5 Abs. 1 lit. c DSGVO eingehalten werden.
Bei der abschließenden Abwägung muss eine Vielzahl an Kriterien herangezogen werden, um zu prüfen, ob die Interessen oder Grundfreiheiten der betroffenen Personen nicht die Interessen des Verantwortlichen überwiegen. Hierbei sind u. a. die Größe des KI-Systems, die hierin verarbeiteten Datenkategorien, die Detailliertheit sowie der Umfang der Trainingsdaten oder auch die Anzahl der betroffenen Personen heranzuziehen.
In der Theorie stellt das berechtigte Interesse aus Art. 6 Abs. 1 lit. f DSGVO eine geeignete Rechtsgrundlage da. Aufgrund der Komplexität von KI-Systemen muss die Wahl der Rechtsgrundlage aber grundsätzlich immer im Einzelfall individuell abgewogen werden.
Beschäftigtendatenschutz
Auch im Beschäftigungskontext wird der Einsatz von KI-Systemen voraussichtlich immer weiter zunehmen. Die potenzielle Rechtsgrundlage hierfür wäre Art. 6 Abs. 1 lit. b DSGVO bzw. Art. 88 DSGVO iVm. § 26 Abs. 1 S. 1 BDSG. Voraussetzung hierfür ist aber, dass die Datenverarbeitung zur Durchführung des Beschäftigungsverhältnisses mit dem Betroffenen erforderlich sein muss. Gibt es vergleichbar effektive, datenschutzfreundlichere Alternativen, sollten diese herangezogen werden. Aspekte, die beim Einsatz von KI-Systemen im Beschäftigungsverhältnis zu beachten sind, sind u. a. Mitbestimmungsrechte des Betriebsrats und beim Einsatz im Bereich des Bewerbermanagements die Anforderungen des Art. 22 DSGVO, falls durch das KI-System eine automatische Entscheidungsfindung stattfindet.
Fazit
Es zeigt sich, dass bei der datenschutzrechtlichen Bewertung von KI-Systemen auf eine Vielzahl an Anforderungen geachtet werden muss – begonnen bei den Rechtsgrundlagen, die jedoch nur einen von vielen zu beachtenden datenschutzrechtlichen Aspekten darstellen. Zunächst muss sich eine verantwortliche Stelle verdeutlichen, in welcher Phase die Bewertung des KI-Systems stattfindet, um dann eine entsprechende Rechtsgrundlage für die jeweiligen Datenverarbeitungen zu eruieren und auch den entsprechenden Voraussetzungen an diese Rechtsgrundlagen gerecht zu werden. Der LfDI BaWü hat im Zuge des Papiers eine Checkliste zur Unterstützung unter nachfolgendem Link veröffentlicht (vgl. Punkt X.).
Außerdem wurde mittlerweile auch eine weitere Checkliste für die Bewertung von Risiken bei KI-Systemen durch das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) veröffentlicht. Wir halten Sie über das Thema KI und der Datenschutz auch weiterhin in unserem Blog auf dem Laufenden.