Inhaltsverzeichnis
Die Datenschutzkonferenz (DSK) hat Anfang Mai die erste Version einer Orientierungshilfe zum Thema „Künstliche Intelligenz und Datenschutz“ herausgegeben. Unter den drei Punkten Konzeption, Implementierung und Nutzung von KI-Anwendungen finden Interessierte zahlreiche rechtliche Hinweise und Praxisbeispiele. Die relevantesten Punkte finden Sie hier zusammengefasst, die komplette Orientierungshilfe haben wir am Ende des Beitrags für Sie verlinkt.
Fokus der Orientierungshilfe
Die Orientierungshilfe soll den Verantwortlichen einen Überblick über datenschutzrechtliche Kriterien, die für die datenschutzkonforme Nutzung von KI‐Anwendungen zu berücksichtigen sind, bieten. Anhand von Beispielen werden Sachverhalte greifbar gemacht.
Rechtswirkung
So praktisch künstliche Intelligenz ist, so bleibt am Ende doch der Mensch der Entscheidungsträger – sofern mit der Entscheidung rechtliche Auswirkungen einhergehen. Jeder Verarbeitungsschritt, der personenbezogene Daten mittels KI-Anwendungen verarbeitet, bedarf einer gesetzlichen Datenschutzgrundlage. Die Wahl der Rechtsgrundlage variiert, abhängig davon, ob es sich um eine öffentliche oder private Institution handelt und welche Art der Anwendung vorliegt, wie beispielsweise im Personal-, Gesundheitswesen oder bei Verarbeitungen im Rahmen von Verbraucher- oder Dienstleistungsverträgen.
Darüber hinaus erfordert der Einsatz von KI-Anwendungen durch öffentliche Einrichtungen, die personenbezogene Daten verarbeiten, je nach Verarbeitungsintensität eine spezielle Rechtsgrundlage. Diese sollte die Risiken für die Rechte und Freiheiten der Betroffenen, die aus der Verarbeitung resultieren, gezielt berücksichtigen.
Mehr Informationen hierzu finden Sie im Diskussionspapier „Rechtsgrundlagen im Datenschutz beim Einsatz von Künstlicher Intelligenz“ des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg.
Datenschutzrechtliche Rechtsgrundlage bei der Verarbeitung personenbezogener Daten immer erforderlich
Laut Artikel 22 Absatz 1 der DSGVO müssen Entscheidungen, die rechtliche Wirkungen entfalten, grundsätzlich von Menschen gefällt werden. Ausnahmen sind in speziellen Fällen, wie bei Vorliegen einer Einwilligung der betroffenen Person, möglich. Wenn eine KI-Anwendung Vorschläge erarbeitet, die rechtliche Folgen für eine Person haben könnten, muss das Verfahren so eingerichtet sein, dass die entscheidende Person tatsächlich Spielraum für eine eigenständige Entscheidung hat und nicht überwiegend auf Basis des KI-Vorschlags agiert.
Faktoren wie unzureichende Personalressourcen, Zeitdruck oder mangelnde Transparenz über den Entscheidungsprozess der KI dürfen nicht dazu führen, dass die Ergebnisse unkritisch übernommen werden. Eine rein formelle Einbindung eines Menschen in den Entscheidungsprozess reicht nicht aus.
Folgendes Beispiel wird in der Orientierungshilfe zitiert:
„Eine KI‐Anwendung wertet alle eingegangenen Bewerbungen auf eine ausgeschrie‐ bene Stelle aus und verschickt selbstständig die Einladungen zu den Vorstellungs‐ gesprächen. Dies stellt einen Verstoß gegen Art. 22 Abs. 1 DS‐GVO dar. Bei öffentlichen Stellen gilt außerdem Folgendes: Der vollständig automatisierte Erlass eines Verwaltungsaktes ist in § 35a VwVfG geregelt. Liegen die Voraussetzungen vor, gilt Art. 22 Abs. 1 DS‐GVO gemäß Art. 22 Abs. 2 lit. b DS‐GVO nicht. Ein vollständig automatisierter Erlass eines Verwaltungsakts ist nur dann zulässig, wenn es sich um eine gebundene Entscheidung handelt und eine ausdrückliche Ermächtigungs‐ grundlage besteht. Sofern die öffentliche Stelle über einen Beurteilungsspielraum verfügt oder Ermessen ausübt, scheidet der vollständig automatisierte Erlass aus.“
Transparenzpflichten bei der Nutzung von KI-Anwendungen gemäß DSGVO.
Verantwortliche müssen sicherstellen, dass sie von den Anbietern einer KI-Lösung ausreichend informiert werden, um die gesetzlichen Transparenzanforderungen zu erfüllen, einschließlich Dokumentationen für KI-Anwendungen, die als Cloud-Lösungen eingesetzt werden. Dabei müssen sie auch über die Logik, Tragweite und Auswirkungen automatisierter Entscheidungsfindungen aufklären. In der Orientierungshilfe wird die Relevanz von Visualisierungen zur Erklärung komplexer Prozesse betont. Weiterhin wird die Notwendigkeit diskutiert, Nutzer über die Nutzung ihrer Daten für Trainingszwecke zu informieren und ihnen eine Opt-out-Möglichkeit zu bieten. Schließlich wird auf die Bedeutung der Transparenz und der Nutzerentscheidung bei der Speicherung von Eingabehistorien hingewiesen.
Orientierungshilfe der Datenschutz der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder
Die Anfang Mai veröffentlichte Orientierungshilfe der DSK zum datenschutzkonformen Einsatz von KI-Anwendungen, insbesondere Large Language Models (LLMs) soll als Leitfaden für Verantwortliche, die KI-Technologien implementieren möchten, dienen. Sie bietet Übersichten über notwendige datenschutzrechtliche Überlegungen, thematisiert werden die Festlegung von Einsatzfeldern, die Rechtsgrundlagen für Datenverarbeitung, sowie technische und organisatorische Maßnahmen zur Einhaltung des Datenschutzes.
Besonderes Augenmerk liegt auf der Vermeidung automatisierter Entscheidungsfindungen, der Wahl zwischen geschlossenen und offenen Systemen sowie der Sicherstellung der Transparenz gegenüber Nutzern. Zudem wird betont, dass zukünftige Anpassungen des Leitfadens notwendig sein werden, um auf neue Entwicklungen reagieren zu können.
Unser Experte
