Künstliche Intelligenz (KI) übernimmt immer mehr Aufgaben - vom Formulieren von Geschäftsbriefen bis hin zu Videoüberwachung oder Bildgenerierung. Doch ist die Nutzung unter Datenschutzaspekten überhaupt zulässig?
Für diese Einschätzung sind verschiedene Schritte notwendig:
- Prüfen Sie, wie die personenbezogenen Daten verarbeitet werden und wer möglicherweise Zugriff darauf erhält. Bei künstlicher Intelligenz ist vor allem relevant, inwiefern die Daten, die Sie eingeben, anderen Nutzer zur Verfügung gestellt werden bzw. ob Ihre Daten zu Trainingszwecken verwendet werden. Die Einträge fügen Sie Ihrem Verzeichnis der Verarbeitungstätigkeiten hinzu. Zur Verarbeitung zählen sowohl Daten, die Sie eingeben, als auch Daten, die Sie abfragen. Es können auch Nutzungsdaten (z. B. IP-Adresse, Cookies) anfallen.
- Auf welcher Rechtsgrundlage werden die Daten verarbeitet? Welchem Zweck dienen sie? In der Regel werden Sie hier eine Interessensabwägung erstellen müssen, wenn der Einsatz von KI nicht gesetzlich oder vertraglich vorgeschrieben ist oder Sie eine konkrete Einwilligung aller Personen haben, deren Daten Sie verarbeiten. Die Interessensabwägung wird voraussichtlich zu Ihrem Nachteil ausfallen, wenn Sie planen, sogenannte "besondere Kategorien personenbezogener Daten" zu verarbeiten. Diese sind in Artikel 9 der DSGVO geregelt und umfassen z. B. Gesundheitsdaten oder Daten zur Religionszugehörigkeit. Lohn- und Gehaltsabrechnungen von Beschäftigten werden daher wahrscheinlich nur mit ausdrücklicher datenschutzkonformer Einwilligung der Beschäftigten in der KI landen dürfen.
- In den meisten Fällen wird es erforderlich sein, dass Sie mit dem KI-Dienstleister einen Vertrag zur Auftragsverarbeitung schließen, denn dieser stellt die KI häufig als Cloud-Service zur Verfügung. Dieser Vertrag zur Auftragsverarbeitung muss die gesetzlichen Anforderungen erfüllen.
- Treffen Sie geeignete technische und organisatorische Maßnahmen zum Schutz der verarbeiteten Daten. Hierzu hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) ein Positionspapier erstellt, das Sie über den folgenden Link herunterladen können: https://www.datenschutzkonferenz-online.de/media/en/20191106_positionspapier_kuenstliche_intelligenz.pdf.
- Falls die geplante Verarbeitung potenziell ein hohes Risiko birgt (z. B. durch den einsatz eines großen KI-Sprachmodells wie ChatGPT), müssen Sie eine Datenschutzfolgenabschätzung (DSFA) erstellen. Sobald Sie eine solche Tätigkeit planen, sind Sie gesetzlich dazu verpflichtet, einen Datenschutzbeauftragten zu benennen. Falls Sie unsicher sind, sollten Sie eine sogennante Schwellwertanalyse durchführen, mit der Sie dokumentieren, ob eine DSFA erforderlich ist oder nicht.
- Wie bei allen anderen Datenverarbeitungen müssen Sie auch beim Einsatz von KI die betroffenen Personen gemäß der gesetzlichen Vorgaben über die Datenverarbeitung informieren.
Beachten Sie, dass auch für die Daten in der KI die Rechte der betroffenen Personen bestehen bleiben. Sie müssen also z. B. vollständig Auskunft über die verarbeiteten Daten geben können und diese auf Anfrage ggf. löschen können. Besprechen Sie die Machbarkeit und mögliche Ausnahmen am besten mit Ihrem Datenschutzbeauftragten. Prüfen Sie auch mit dem KI-Anbieter, ob er Sie bei der Erfüllung der Betroffenenrechte unterstützt.
Es wird außerdem eine KI-Verordnung geben, deren Grundsätze bereits im Dezember 2023 festgelegt wurden. Demnach sollen bestimmte Anwendungsfelder verboten werden, z. B. Social Scoring sowie manipulative oder täuschende KI. Es lohnt sich, diese Entwicklungen zu beobachten.
Rechtlicher Hinweis: Ich beschäftige mich zwar regelmäßig mit den Themen Datenschutz und Internetrecht, bin aber kein Anwalt. Deswegen stellt dieser Beitrag ausdrücklich keine Rechtsberatung dar.