Datenschutzkonferenz veröffentlicht Orientierungshilfe zum Einsatz von KI

Viele Unternehmen fragen sich, wie sie Künstliche Intelligenz (KI) datenschutzkonform nutzen können. Die Datenschutzkonferenz (DSK) hat nun eine Orientierungshilfe veröffentlicht. „Das Papier der DSK richtet sich in erster Linie an datenschutzrechtlich Verantwortliche, die KI‐Anwendungen einsetzen möchten“, so Dr. Nils Rauer, Experte für Daten und KI bei Pinsent Masons. „An Entwickler:innen, Hersteller:innen und Anbieter:innen von KI‐Systemen richtet die Hilfestellung sich lediglich mittelbar, der Anwender steht im Fokus.“

Diese Fokussierung liegt in der Natur der Sache, denn die DSK setzt sich aus Vertretern der Datenschutzaufsichtsbehörden der Länder und des Bundes zusammen. Die Betrachtung von KI erfolgt damit durch die datenschutzrechtliche Brille. Besonderes Augenmerk legt die DSK dabei auf sogenannte Large Language Models (LLM). Prominentestes Beispiel eines LLM ist die allseits bekannte Anwendung ChatGPT. Allerdings bietet die Orientierungshilfe auch Aufschluss in Hinsicht auf den Einsatz anderer KI-Systeme.

„Die von der DSK erteilten Ratschläge bieten letztlich keine grundlegenden Überraschungen, vieles lässt sich direkt aus der Datenschutz-Grundverordnung (DSG-VO) ableiten“, so Anna-Lena Kempf, Datenschutzexpertin bei Pinsent Masons. „Es ist aber gut, eine gebündelte Übersicht zu haben, wie die deutschen Datenschutzbehörden das Zusammenspiel von Datenschutz und KI bewerten. Denn KI ist ohne den stetigen Austausch von Daten nicht denkbar. Eine Software-Anwendung kann nur dann lernen, wenn sie Rückmeldung über frühere Ergebnisse erhält. Da geht es der künstlichen wie der menschlichen Intelligenz gleich.“

Weiterhin betont das Papier, dass vor dem Einsatz von KI die Zweckbestimmung klar sein muss. Personenbezogenen Daten dürfen gemäß der DSG-VO nur zweckgebunden verarbeitet werden. Auch wird von der DSK explizit darauf hingewiesen, dass bestimmte Nutzungsfelder – beispielsweise „Social Scoring“ und biometrische Echtzeitüberwachung – sich nur in Ausnahmefällen datenschutzkonform gestalten lassen. Dies gilt umso mehr, wenn KI zum Einsatz kommt.

Zudem hebt das Papier richtigerweise hervor, dass schon bei der Auswahl des KI-Tools auf den Datenschutz geblickt werden sollte. Von Bedeutung ist dabei nicht allein der konkrete Datenverarbeitungsvorgang im Zuge des Einsatzes einer KI-Anwendung, auch deren Entwicklung und hier insbesondere der Einsatz rechtskonformer Trainingsdaten spielt eine Rolle. „Dies zeigt eine ganze Reihe von Gerichtsverfahren, die rund um die Welt – insbesondere aber in den USA – in den letzten 18 Monaten anhängig gemacht worden sind. Ebenfalls nicht unproblematisch ist das fortlaufende Trainieren der Algorithmen mit Daten, die von Nutzerseite ins System gegeben werden,“ ergänzt Nils Rauer.

Das Thema der technischen Absicherung ist bei KI-Tools ebenfalls sehr wichtig. Dies liegt wiederum an dem systemimmanenten Bedürfnis an stetigem Datenaustausch. „Man muss bei KI-Systemen daher immer die Frage nach adäquaten technischen wie organisatorischen Schutzmechanismen stellen,“ betont Anna-Lena Kempf. Auch dies wird in der Orientierungshilfe aufgegriffen.

Ferner betont das Papier, dass gemäß Artikel 22 Absatz 1 DS‐GVO Letztentscheidungen immer von einem Menschen getroffen werden müssen, statt von der KI. Dies gilt beispielsweise im Personalwesen, wenn entschieden wird, ob ein Bewerber zu einem Vorstellungsgespräch eingeladen wird oder nicht. Die finale Entscheidung hierüber muss in jedem Fall ein Mensch fällen, nicht allein die KI. So heißt es in der Orientierungshilfe: „Erarbeitet eine KI‐Anwendung Vorschläge, die für eine betroffene Person Rechtswirkung entfalten, muss das Verfahren so gestaltet werden, dass dem entscheidenden Menschen ein tatsächlicher Entscheidungsspielraum zukommt und nicht maßgeblich aufgrund des KI‐Vorschlags entschieden wird,“ meint Dr. Rauer.

Auch dem Thema Transparenz widmet die DSK einen Abschnitt, schließlich haben Inhaber personenbezogener Daten Recht darauf, zu erfahren, wie ihre Daten verarbeitet werden. Die DSG-VO sieht entsprechend detaillierte Informationspflichten in Artikel 12 und den darauf folgenden Artikeln vor. „Mitunter kann es schwierig sein, diesen nachzukommen, wenn man nicht genau weiß, wie die eingesetzte KI funktioniert und zu ihren Ergebnissen gelangt“, so Anna-Lena Kempf. „Hier braucht es angemessene Transparenz von Seiten der Anbieter.“

Auch geht die DSK davon aus, dass beim Einsatz von KI-Anwendungen häufig eine Folgenabschätzung nach Artikel 35 DSG-VO nötig sein wird. Diese ist immer dann erforderlich, wenn die Verarbeitung personenbezogener Daten ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. „Zutreffend weist die DSK darauf hin, dass eine solche Risikoanalyse wohl regelmäßig zu fordern sein wird, wenn große Mengen an personenbezogenen Daten mittels KI verarbeitet werden“, bestätigt Nils Rauer.