Anfang Mai 2024 hat die Datenschutzkonferenz (DSK) eine Orientierungshilfe für Unternehmen, Behörden und andere Organisationen veröffentlicht. Das 15-seitige Papier soll dazu dienen, die Entscheidung für und den Einsatz von KI-basierten Anwendungen nach Möglichkeit datenschutzkonform auszugestalten. Die Orientierungshilfe ist dabei gerade vor dem Hintergrund notwendig, dass künstliche Intelligenz (KI) untrennbar mit Daten und Datenströmen verknüpft ist. Denn um überhaupt lernen zu können, muss die KI vorab und fortlaufend mit Informationen „gefüttert“ werden. Naturgemäß handelt es sich dabei auch – aber eben nicht nur – um personenbezogene Daten.
Die DSK leitet ihre Hilfestellung völlig zu Recht mit den Worten ein, dass viele Unternehmen Behörden und andere Organisationen sich aktuell fragen, wie sie KI im Einklang mit den geltenden datenschutzrechtlichen Bestimmungen – allem voran der Datenschutz-Grundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG) – einsetzen können. Das Datenschutzrecht ist ohne Zweifel neben dem Urheberrecht vorrangig im Fokus, wenn es um die rechtliche Compliance von KI-basierten Anwendungen geht. Das zeigen die aktuell anhängigen Gerichtsverfahren in den Vereinigten Staaten, in Großbritannien, aber auch hier in Deutschland. Der wohl prominenteste Fall, der derzeit vor deutschen Gerichten verhandelt wird, ist der Streit zwischen dem Fotografen Robert Kneschke und dem Verein LAION. Das Verfahren ist in erster Instanz vor dem Landgericht Hamburg anhängig. Gestritten wird um Datasets, die zum Trainieren von KI bestimmt sind und die – unautorisiert – Datenmaterial des Fotografen beinhalten.
Während in dem vorstehend genannten Verfahren der Schwerpunkt im Urheberrecht liegt, konzentriert sich das Papier der DSK auf den Umgang mit personenbezogenen Daten. Diese Fokussierung liegt in der Natur der Sache, denn die DSK setzt sich aus Vertretern der Datenschutzaufsichtsbehörden der Länder und des Bundes zusammen. Die Betrachtung von KI erfolgt damit durch die datenschutzrechtliche Brille.
Adressaten der DSK-Empfehlungen
Die Ausführungen richten sich in erster Linie an datenschutzrechtlich Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO, die KI‐Anwendungen einsetzen möchten. Es geht also um Anwender, weniger um Entwickler, Importeure oder Vertreiber von KI-basierten Tools. Gleichwohl sind auch diese mittelbar betroffen, denn auch sie verarbeiten im Zuge ihrer Tätigkeit in steter Regelmäßigkeit personenbezogene Daten. Die Notwendigkeit einer hinreichenden datenschutzrechtlichen Compliance erstreckt sich daher über alle hinweg, die sich mit KI befassen.
Besonderes Augenmerk legt die DSK dabei auf sogenannte Large Language Models (LLM). Prominentestes Beispiel eines LLM ist die allseits bekannte Anwendung von ChatGPT. Allerdings bietet die Orientierungshilfe auch Aufschluss in Hinsicht auf den Einsatz anderer KI-Systeme. Die von der DSK erteilten Ratschläge bieten letztlich keine grundlegenden Überraschungen, vieles lässt sich direkt aus der DSGVO ableiten. Letztlich handelt es sich um eine gut gebündelte Übersicht, wie die deutschen Datenschutzbehörden das Zusammenspiel von Datenschutz und KI bewerten. Wie eingangs bereits erwähnt, ist KI ohne den stetigen Austausch von Daten nicht denkbar. Eine Softwareanwendung kann nur dann lernen, wenn sie Rückmeldung über frühere Ergebnisse erhält. Da geht es der künstlichen wie der menschlichen Intelligenz. Der hierfür benötigte Datenaustausch muss auf Grundlage einer hinreichenden Rechtfertigung erfolgen. Mit anderen Worten, die Vorgaben zur Rechtmäßigkeit der Verarbeitung nach Art. 6 DSGVO müssen Beachtung finden.
Ganz in diesem Sinne betont das DSK-Papier daher auch, dass vor dem Einsatz von KI die Zweckbestimmung klar sein muss. Personenbezogene Daten dürfen nur zweckgebunden verarbeitet werden. Art. 5 Abs. 1 lit. b DSGVO gibt hierfür unmissverständlich die regulatorischen Leitplanken vor. In diesem Zusammenhang hebt die DSK explizit hervor, dass bestimmte Nutzungsfelder – beispielsweise „Social Scoring“ und biometrische Echtzeitüberwachung – sich nur in Ausnahmefällen datenschutzkonform gestalten lassen. Der Einsatz von KI in solchen Bereichen wird als besonders risikobehaftet angesehen. Dies hat seinen Niederschlag nicht zuletzt auch in der demnächst in Kraft tretenden Verordnung zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz und zur Änderung bestimmter Rechtsakte der Union (vgl. KI-Verordnung der EU) gefunden. Das EU-Parlament wie auch der Rat haben den finalen Text der Verordnung jüngst gebilligt, so dass dem Inkrafttreten nun nichts mehr im Wege steht.
Die Orientierungshilfe der DSK betont des Weiteren, dass schon bei der Auswahl des jeweiligen KI-Tools auf den Datenschutz geblickt werden sollte. Von Bedeutung ist dabei nicht allein der konkrete Datenverarbeitungsvorgang im Zuge des Einsatzes einer KI-Anwendung, auch deren Entwicklung und hier insbesondere der Einsatz rechtskonformer Trainingsdaten spielen eine Rolle.
Technische Absicherung: Cybersecurity
Das Thema der technischen Absicherung ist bei KI-Tools ebenfalls sehr bedeutsam. Dies liegt wiederum an dem systemimmanenten Bedürfnis an stetigem Datenaustausch. Überall dort, wo Schnittstellen bestehen und Datenflüsse generiert werden, ergeben sich auch Risiken. Cybersecurity ist daher ein untrennbar mit der KI verknüpftes Thema. Aus datenschutzrechtlicher Warte muss man deshalb beim Einsatz von KI-Systemen immer die Frage nach adäquaten technischen wie organisatorischen Schutzmechanismen stellen, wie die DSK richtigerweise hervorhebt.
Unverzichtbar: Human Surveillance
Ferner betont das DSK-Papier, dass gemäß Artikel 22 Abs. 1 DSGVO Letztentscheidungen immer von einem Menschen getroffen werden müssen („Human Surveillance“), nicht von der KI. Dies gilt insbesondere im Personalwesen. Gilt es beispielsweise, darüber zu entscheiden, ob ein Bewerber zu einem Vorstellungsgespräch eingeladen wird oder nicht, so muss die finale Entscheidung hierüber ein Mensch fällen. In der Orientierungshilfe heißt es etwa, dass für den Fall, dass eine KI‐Anwendung Vorschläge erarbeitet, die für eine betroffene Person Rechtswirkung entfalten, das Verfahren so gestaltet werden muss, dass dem entscheidenden Menschen ein tatsächlicher Entscheidungsspielraum zukommt und nicht maßgeblich aufgrund des KI‐Vorschlags entschieden wird. Dies gilt über den Recruitmentprozess hinaus für alle Karriereschritte einer Mitarbeiterin oder eines Mitarbeiters. So verlockend daher der Einsatz von KI-Tools im Personalbereich gerade von größeren Unternehmen und Konzernen sein mag, die Umsetzung unterliegt strengen Regularien.
Auch dem Thema Transparenz widmet die DSK einen Abschnitt, schließlich haben alle betroffenen Datensubjekte ein Recht darauf zu erfahren, wie und von wem ihre personenbezogenen Daten verarbeitet werden. Die Art. 12 ff. DSGVO sehen hier entsprechend detaillierte Informationspflichten vor. In der Praxis dürfte es allerdings mitunter schwierig werden, im Kontext des Einsatzes KI-basierter Anwendungen diesen Pflichten vollumfänglich nachzukommen. Denn die Abläufe innerhalb der KI sind zumeist komplex. Dem Anwender erschließt sich nicht immer, welche Datenverarbeitungsvorgänge ein konkreter „Prompt“ auslöst. In diesem Punkt soll jedoch die KI-Verordnung Hilfestellung bieten. Der europäische Gesetzgeber gibt Entwicklern und Herstellern bestimmte Informationspflichten auf, die es dem Anwender dann ermöglichen sollen, seinerseits den gesetzlichen Anforderungen zu genügen.
Schließlich ist der Orientierungshilfe zu entnehmen, dass die DSK davon ausgeht, dass beim Einsatz von KI-basierten Tools häufig eine Folgenabschätzung nach Art. 35 DSGVO nötig sein wird. Diese ist immer dann erforderlich, wenn die Verarbeitung personenbezogener Daten ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Gerade im Fall der Verarbeitung großer Mengen an personenbezogenen Daten mittels KI wird man eine solche Risikoanalyse regelmäßig zu fordern haben. Auch hier besteht ein erkennbarer Gleichklang zwischen der datenschutzrechtlichen und der neuen KI-spezifischen Regulierung. Denn die neue KI-Verordnung sieht vor, dass dem Einsatz KI-basierter Anwendungen eine Bedarfs- und Folgenabschätzung vorangehen muss.
Fazit: Holistischer Ansatz erforderlich
Insgesamt kann man der DSK damit attestieren, eine in der Tat hilfreiche Handreichung erstellt zu haben, die es datenschutzrechtlich Verantwortlichen erleichtert zu antizipieren, wie deutsche Datenschutzbehörden den Einsatz von KI durch ihre (datenschutzrechtliche) Brille sehen und bewerten. Die Ausführungen finden sich gut eingebettet in die allgemeinen Prinzipien, wie sie in der DSGVO niedergelegt sind. Gleichzeitig ist aber hervorzuheben, dass der Einsatz von KI weit über rein datenschutzrechtliche Belange hinausgeht. KI-Modelle werden – wie gesagt – mit einer breiten Palette von Informationen trainiert. Dies muss auch so sein, um qualitativ hochwertige Ergebnisse generieren zu können. Damit kommen unweigerlich Themen wie geistige und gewerbliche Schutzrechte, Fake News, Hate Speech, Cybersecurity, Validierung und Verifizierung KI-generierter Inhalte und vieles mehr in den Fokus. Es bedarf daher eines holistischen Ansatzes und einer breitgefächerten Abwägung, wie und wo der Einsatz KI-basierter Anwendungen lohnt.
Author
Dr. Nils Rauer, MJI
Pinsent Masons, Frankfurt am Main
Rechtsanwalt, Partner
Author
Anna-Lena Kempf
Pinsent Masons, Frankfurt am Main
Rechtsanwältin, Senior Associate
