KI-basierte Sprachmodelle wie ChatGPT werden zunehmend über entsprechende Programmier-Schnittstellen – auch API genannt – Software-Entwicklern zur Verfügung gestellt, um hierüber KI-Funktionalität in Fachanwendungen zu integrieren. Die Integration von Künstlicher Intelligenz in Fachanwendungen, die bislang weitgehend durch algorithmische Regeln und nicht durch heuristische Analysen geprägt war, mag zwar aus Sicht der Anwender und Nutzer oftmals zu „intelligenteren“ Lösungen als bisher führen. Der Einsatz von KI-basierten Sprachmodellen ist jedoch mit erheblichen Risiken verbunden, insbesondere mit Haftungsrisiken und – sofern personenbezogene Daten durch KI-basierte Sprachmodelle verarbeitet werden – mit erheblichen Datenschutzrisiken. Bei genauerer datenschutzrechtlicher Betrachtung stoßen die bisherigen Regelungen der Datenschutz-Grundverordnung gar an ihre Grenzen.

Betreiber des KI-Dienstes: Auftragsverarbeiter oder Verantwortlicher?

Zunächst stellt sich die Frage, welche Rolle der Betreiber des KI-basierten Sprachmodells – im Falle von ChatGPT wäre dies OpenAI – überhaupt einnimmt. Während bei klassischer Herangehensweise der Betreiber des KI-basierten Sprachmodells als Auftragsverarbeiter eingestuft würde, der gegenüber dem Anwender des KI-Dienstes nur weisungsgebunden agieren darf, stellt sich dieses Konstrukt bei näherer Betrachtung als fragwürdig, zumindest als problematisch dar.

So muss der Anwender des KI-Dienstes als Verantwortlicher gemäß Art. 24 Abs. 1 DSGVO geeignete technische und organisatorische Maßnahmen umsetzen, um den Nachweis erbringen zu können, dass die Verarbeitung der personenbezogenen Daten konform zur DSGVO erfolgt. Umgekehrt muss der Betreiber des KI-Dienstes als Auftragsverarbeiter den Verantwortlichen unverzüglich informieren, falls er der Auffassung ist, dass eine Weisung gegen die DSGVO oder gegen andere Datenschutzbestimmungen verstößt.

Diese Rolle kann der Anwender (der Verantwortliche) praktisch nicht wahrnehmen, da er kaum Einfluss auf die Funktionsweise des KI-Dienstes hat. Auch ist er in aller Regel nicht in der Lage, Unregelmäßigkeiten bei der KI-gestützten Verarbeitung der personenbezogenen Daten überhaupt zu erkennen.

Es spricht daher einiges dafür, dem Betreiber des KI-gestützten Sprachmodells ebenfalls Verantwortung für die korrekte Datenverarbeitung zu übertragen und ihn ebenfalls als Verantwortlichen gemäß Art. 4 Ziffer 7 DSGVO einzustufen. Folglich müsste kein Vertrag zur Auftragsverarbeitung zwischen dem Anwender und dem Betreiber des KI-Dienstes geschlossen werden, sondern ein Joint-Controller-Vertrag gemäß Art. 26 DSGVO.

Rechtsgrundlagen der Datenübermittlung an Betreiber des KI-Dienstes

Sofern der Betreiber des KI-basierten Sprachmodells nicht als Auftragsverarbeiter eingestuft wird, sondern als weiterer Verantwortlicher, bedarf die Übermittlung der personenbezogenen Daten vom Anwender des KI-Dienstes zum Betreiber einer Rechtsgrundlage. Als Rechtsgrundlage kommen in aller Regel – sofern keine besonderen Kategorien personenbezogener Daten nach Artikel 9 Absatz 1 DSGVO verarbeitet werden – gemäß Art. 6 Abs. 1 Satz 1 lit. a, b oder f DSGVO die Einwilligung des Betroffenen, ein Vertrag zwischen dem Anwender des KI-Dienstes und dem Betroffenen oder das berechtigte Interesse des Anwenders in Betracht.

Sofern besondere Kategorien personenbezogener Daten verarbeitet werden, ist in aller Regel die Einwilligung der Betroffenen erforderlich. Ohne Einwilligung können die Daten u. a. gemäß Artikel 9 Absatz 2 lit. h DSGVO übermittelt werden für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich.

Das berechtigte Interesse des Anwenders scheidet bei der Verarbeitung besonderer Kategorien personenbezogener Daten nach Artikel 9 Absatz 1 DSGVO dagegen aus.

Wahrnehmung von Betroffenenrechten

Schwierig wird es auch bei der Wahrnehmung von Betroffenenrechten, insbesondere von Auskunftsrechten oder von Rechten auf Berichtigung unrichtiger Daten oder auf Löschung von Daten. Diese Rechte können kaum gegenüber dem Anwender des KI-basierten Sprachmodells allein geltend gemacht werden, da dieser hierzu einfach nicht in der Lage ist. Das Konstrukt gemeinsamer Verantwortung hätte in diesem Fall den Vorteil, dass Betroffenenrechte direkt gegenüber dem Betreiber des KI-basierten Sprachmodells durchgesetzt werden können.

Trotz allem stellt sich auch bei dem Konstrukt gemeinsamer Verantwortung die Frage, wie der Betroffene überhaupt erkennen kann, dass seine personenbezogenen Daten durch den KI-Dienst inkorrekt verarbeitet werden und wie er die korrekte Datenverarbeitung gegenüber dem Betreiber des KI-Dienstes durchsetzen kann.

Qualitätssicherung automatisierter Einzelentscheidungen

Es ist bereits beim Einsatz von KI-basierten Sprachmodellen schwierig, Auskunftsrechte oder Rechte auf Berichtigung unrichtiger Daten umzusetzen. Noch schwieriger wird es bei dem Recht, nicht ausschließlich einer Entscheidung unterworfen zu werden, die auf einer automatisierten Verarbeitung beruht, die wiederum den Betroffenen erheblich beeinträchtigt. Zwar wird dieses Recht eingeschränkt, wenn keine besonderen Kategorien personenbezogener Daten nach Artikel 9 Absatz 1 DSGVO verarbeitet werden und die automatisierte Einzelentscheidung für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist oder sie auf der Grundlage einer Einwilligung. erfolgt. Dennoch ist das Recht, nicht ausschließlich Entscheidungen unterworfen zu werden, die ausschließlich auf einer automatisierten Verarbeitung beruhen, beim Einsatz von KI-basierten Sprachmollen nur sehr schwer umsetzbar und bedarf einer Qualitätssicherung der Ergebnisse durch den Anwender des KI-Dienstes.

Fazit

Angesicht der Tatsache, dass KI-basierte Sprachmodelle durch die Vorschriften der DSGVO nur schwer zu bewerten sind, ist es erforderlich, die aktuellen Regelungen der DSGVO modern auszulegen und auch zukunftsgerichtet zu interpretieren. Dies gilt vor allem für die Rolle der Betreiber der KI-basierten Sprachmodelle und deren Verantwortung für die Korrektheit der durch KI verarbeiteten personenbezogenen Daten. Betroffenenrechte lassen sich nur dann effektiv umsetzen, wenn die verwendeten Sprachmodelle transparenter und nachvollziehbarer als bisher sind.