Datenschutzrechtliche Herausforderungen bei der Anwendung von Künstlicher Intelligenz („KI“)
Der Einsatz von KI und die Verarbeitung von Daten mit Personenbezug gehen im Alltag miteinander einher. Werden KI-Anwendungen genutzt, so sind die datenschutzrechtlichen Aspekte frühzeitig im Auge zu behalten – in erster Linie sind diese zu bewerten und zu dokumentieren. Denn auch wenn Ergebnisse von Computersystemen stammen, bleibt Verantwortlicher im Sinne des Datenschutzes immer der Unternehmer selbst.
Verstößt die Anwendung von KI gegen den Datenschutz?
Entscheidend ist hierbei, wie die KI-Anwendung zum Einsatz kommt. Sprich, welche Daten mit Personenbezug werden von der KI-Anwendung verarbeitet und wie wird diese Verarbeitung technisch ausgeführt. Da die DSGVO die KI-Anwendung an sich - zumindest bislang - nicht ausdrücklich regelt, gelten bei der Bewertung die allgemeinen Prinzipien des Datenschutzrechts. Demnach sind insbesondere die Grundsätze zur Transparenz, der Datensparsamkeit, der Zweckbindung („Rechtsgrundlage“), der IT-Sicherheit und zu den Rechten der betroffenen Personen zu achten.
Kontrollfrage: Auskunftsrecht einer betroffenen Person, Art. 15 DSGVO
Die Rechte von betroffenen Personen bzw. deren Verletzung sind das klassische Einfallstor im Datenschutzrecht für Schadenersatzklagen oder Bußgelder. Als Nutzer einer KI-Lösung sollten Sie bspw. auf folgende Fragen stets eine Antwort haben:
- „Welche Daten werden von Geschäftspartnern oder Arbeitnehmern wozu verarbeitet?“,
- „Habe ich diese Personengruppe darüber informiert, dass KI zur Verarbeitung von Daten verwendet wird?“ oder
- „Wie lösche ich Daten aus einer KI-Anwendung?“
Wie sehen die datenschutzrechtlichen Aufsichtsbehörden den Umgang mit KI
Auch wenn KI-Modelle schon seit Jahren im Einsatz sind, sind die KI-Anwendungen erst mit Einführung von ChatGBT4 so richtig in den Fokus gerückt. Abschließende Einschätzungen der Aufsichtsbehörden existieren bislang nicht. Allerdings stellen bspw. die Aufsichtsbehörden von Bayern oder Baden-Württemberg umfangreiche Checklisten mit Prüfkriterien oder Handreichungen - die sich mit den Rechtsgrundlagen oder den Verarbeitungsprozessen auseinandersetzen - auf den jeweiligen Websites bereit. Abzuwarten bleibt, wie sich die nationalen Aufsichtsbehörden zu der auf europäischer Ebene kürzlich erlassenen sog. „KI-Verordnung“ oder auch „AI-Act“ positionieren.
Vorsicht: Wenn die KI beginnt „Richter-zu-spielen“
Nicht immer sind die Ergebnisse der KI inhaltlich zutreffend. Prominent hierzu ist ein Fall aus den USA, bei dem ein Rechtsanwalt bei der Urteil-Recherche auf eine KI-Anwendung zurückgriff, diese die Urteile allerdings schlicht erfunden hat! Es ist daher stets zu empfehlen, die von der KI-Anwendung gelieferten Ergebnisse nicht nur zu kontrollieren, sondern auch hinsichtlich ihrer Quellen zu prüfen.
Bei Fragen zum Datenschutz können Sie sich gerne an unseren Datenschutzpartner, die maconis GmbH, wenden.