Die Nutzung von künstlicher Intelligenz (KI) im privaten und dienstlichen Kontext hat in den letzten Monaten stark zugenommen. Das mag insbesondere an der medialen Aufmerksamkeit im Zusammenhang mit dem Chatbot ChatGPT liegen, jedoch gibt es auch darüber hinaus eine Reihe nützlicher Anwendungen, die sich KI zunutze machen. Auch nationale und lokale Unternehmen haben die Chancen erkannt, so beispielsweise die DeepL SE (Köln) mit ihrer Anwendung DeepL Write oder die SpeechMind GmbH (Dresden) mit ihrer KI-Anwendung zur Meetingdokumentation. Doch manchmal scheinen sich die Nutzung von KI und die Einhaltung datenschutzrechtlicher Anforderungen zu widersprechen, wie beispielsweise das temporäre Verbot von ChatGPT in Italien gezeigt hat. Dies wirft für Verantwortliche die grundsätzliche Frage auf: Ist KI überhaupt datenschutzkonform einsetzbar?
Zulässigkeit & Rechtsgrundlagen
Sobald durch die Nutzung von KI-Anwendungen personenbezogene Daten i.S.d. Art. 4 Nr. 1 DS-GVO außerhalb der persönlichen oder familiären Sphäre verarbeitet werden, sind die Anforderungen der Datenschutz-Grundverordnung (DS-GVO) umzusetzen. Bereits hieraus ergibt sich die grundsätzliche Empfehlung – wo sinnvoll umsetzbar – im Zusammenhang mit KI ausschließlich vollständig anonymisierte Daten zu nutzen. Lässt sich ein Personenbezug nicht vermeiden, bedarf es einer belastbaren Rechtsgrundlage nach Art. 6 Abs. 1 DS-GVO. So können Datenverarbeitungen insbesondere auf eine transparente und freiwillige Einwilligung, auf eine vertragliche Beziehung – soweit die Nutzung von KI zur Erbringung der vertraglichen Leistungen zwingend erforderlich ist – und auf das berechtigte Interesse des Verantwortlichen gestützt werden, sofern dieser nachweisen kann, dass die berechtigten Interessen die Grundrechte und -freiheiten des Einzelnen überwiegen.
Besondere Anforderungen können sich zusätzlich im Gesundheitsbereich mit besonders schützenswerten personenbezogenen Daten (Art. 9 DS-GVO) oder im Beschäftigtendatenschutz (§ 26 BDSG [Bundesdatenschutzgesetz]) ergeben. Im Ober-Unterordnungsverhältnis zwischen Arbeitgeber und Arbeitnehmer ist oftmals die Freiwilligkeit einer Einwilligung anzuzweifeln. Im Zusammenhang mit der Aufnahme und Verarbeitung des gesprochenen Wortes ist zudem die Norm des § 201 StGB (Strafgesetzbuch) zwingend zu beachten!
Auftragsverarbeitung & Gemeinsame Verantwortlichkeit
In der Regel werden bei der Nutzung von KI-Anwendungen personenbezogene Daten (z.B. IP-Adressen) im Auftrag des Verantwortlichen durch den Anbieter der jeweiligen Anwendung verarbeitet. In diesem Fall ist zwischen Auftraggeber (Verantwortlicher) und Auftragnehmer (Anbieter) ein Vertrag zur Auftragsverarbeitung entsprechend des Art. 28 DS-GVO abzuschließen. Dabei hat der Verantwortliche gemäß Art. 28 Abs. 1 DS-GVO sicherzustellen, dass „dieser nur mit Auftragsverarbeitern [zusammenarbeitet], die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.“ Der Vertrag zur Auftragsverarbeitung muss zwingend die Inhalte aus Art. 28 Abs. 3 DS-GVO abbilden.
Eine Besonderheit gilt darüber hinaus, wenn der Anbieter einer KI-Anwendung die personenbezogenen Daten des Verantwortlichen nicht ausschließlich weisungsgebunden, sondern ebenfalls zu eigenen Zwecken, beispielsweise zur Verbesserung der KI-Anwendung nutzt. In einem solchen Fall liegt in der Regel eine gemeinsame Verantwortlichkeit i.S.d. Art. 26 DS-GVO vor. Auch diesbezüglich ist ein spezieller datenschutzrechtlicher Vertrag zu schließen, wobei die wesentlichen Inhalte für die von der Verarbeitung betroffenen Person zur Verfügung gestellt werden müssen (Art. 26 Abs. 2 Satz 2 DS-GVO).
Grundsätze der Datenverarbeitung
Weiterhin sind im Rahmen der Nutzung der KI-Anwendung die Grundsätze der Verarbeitung gemäß Art. 5 Abs. 1 DS-GVO einzuhalten. Hierzu zählen beispielsweise der Grundsatz der Datenminimierung oder der Grundsatz der Speicherbegrenzung. Diese Grundsätze hat der Anbieter der KI-Anwendung im besten Fall bereits unter Berücksichtigung des Art. 25 DS-GVO – „Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“ – im Rahmen der Entwicklung hinreichend berücksichtigt, sodass durch den Verantwortlichen entsprechende datenschutzfreundliche Konfigurationen vorgenommen werden können. Datenverarbeitungen sind so zu gestalten, dass sie zum Erreichen des jeweiligen Verarbeitungszwecks stets zwingend erforderlich sind.
Besonderer Bedeutung kommt der Transparenz der Datenverarbeitung zu. Michael Will (Bayerisches Landesamt für Datenschutz) formuliert es treffend: „[…] KI darf keine Blackbox sein, wo hinter einer Wand dann alles Mögliche geschehen kann […].“ Anbieter von KI-Anwendungen müssen transparent beschreiben, inwieweit personenbezogene Daten verarbeitet, zur Verbesserung der Anwendung genutzt und gegebenenfalls an Dritte übermittelt werden. Nur wenn der Anbieter entsprechende Informationen transparent zur Verfügung stellt, kann auch der Verantwortliche seinen Verpflichtungen aus Art. 13 DS-GVO zur Bereitstellung einer Datenschutzinformation („Datenschutzerklärung“) umfänglich nachkommen.
Betroffenenrechte
Jeder von einer Datenverarbeitung betroffenen Person stehen die Betroffenenrechte nach Kapitel III der DS-GVO zu. Hierunter zählen beispielsweise das Recht auf Auskunft (Art. 15 DS-GVO) sowie das Recht auf Löschung (Art. 17 DS-GVO). Bei der Auswahl einer KI-Anwendung sollte – wie bei der Anschaffung regulärer Software auch – darauf geachtet werden, dass die Gewährleistung der Betroffenenrechte zu jeder Zeit problemlos möglich ist. Schwierigkeiten können sich ergeben, sofern der Anbieter der KI-Anwendung die personenbezogenen Daten zu eigenen Zwecken nutzt und sich die betroffene Person zur Ausübung ihrer Rechte an mehrere Stellen zu wenden hätte.
Internationale Datenübermittlungen
Besondere datenschutzrechtliche Anforderungen gelten im Fall der Übermittlung personenbezogener Daten in Länder und an Organisationen außerhalb der Europäischen Union (EU) beziehungsweise außerhalb des Europäischen Wirtschaftsraums (EWR), also beispielsweise in die USA oder Australien. So dürfen Übermittlungen nur dann vorgenommen werden, wenn die Anforderungen der Art. 44 ff. DS-GVO eingehalten werden, also beispielsweise ein Angemessenheitsbeschluss für das jeweilige Empfängerland vorliegt oder Standardvertragsklauseln abgeschlossen und eine Transferfolgenabschätzung durchgeführt wurde. Auch wenn seit dem 10. Juli 2023 Datenübermittlungen in die USA auf das EU-U.S. Data Privacy Framework gestützt werden können, ist bereits jetzt abzusehen, dass dieses voraussichtlich nur für einen begrenzten Zeitraum eine belastbare Übermittlungsgrundlage darstellen wird. Insofern gilt auch zukünftig, dass derartige Datenübermittlung auf ein Minimum reduziert oder durch technische Maßnahmen (z.B. durch eine hinreichende Ende-zu-Ende-Verschlüsselung) geschützt werden. Es sollte zudem geprüft werden, inwiefern der Einsatz der jeweiligen KI-Anwendung im Einklang mit der eigenen Cloud-Strategie steht.
Datenschutz-Folgenabschätzung
Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, hat der Verantwortliche gemäß Art. 35 Abs. 1 DS-GVO eine Datenschutz-Folgenabschätzung durchzuführen. Insbesondere im Gesundheitsbereich und bei der Verarbeitung von Beschäftigtendaten wird bei der Nutzung von KI-Anwendungen von einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen auszugehen sein. Die Regelung des Art. 35 Abs. 7 DS-GVO gibt dabei die zu berücksichtigenden Inhalte wieder. Auch hier können den Anbieter einer KI-Anwendung Unterstützungspflichten treffen, sodass der Verantwortliche in die Lage versetzt wird, eine rechtskonforme Datenschutz-Folgenabschätzung durchführen zu können. Einige Anbieter haben diese Anforderung erkannt und unterstützen ihre Kunden bereits mit ausführlichen technischen und rechtlichen Dokumentationen zur Überwindung dieser Hürde.
Weitere regulatorische Ansätze
Ergänzend ist darauf hinzuweisen, dass (in Zukunft) auch andere rechtliche Anforderungen im Zusammenhang mit KI gelten können. So soll in der Europäischen Union 2025 der AI Act in Kraft treten. Das Europäische Parlament hat in diesem Zusammenhang zuletzt im Juni dieses Jahres aktuelle Informationen veröffentlicht. Insofern werden zukünftig auch die Anbieter von KI-Anwendungen stärker in die Pflicht genommen. Das Verbot von KI ist hingegen ausdrücklich kein Ziel der Europäischen Union.
Fazit
Bei der Betrachtung der obigen Ausführungen wird deutlich: Datenschutz verbietet nicht grundsätzlich die Nutzung künstlicher Intelligenz. Es werden jedoch einige Spielregeln aufgestellt, an die es sich zu halten gilt. Mit potenziellen Datenübermittlungen an Empfänger außerhalb der EU sowie des EWR und der Erforderlichkeit zur Durchführung einer Datenschutz-Folgenabschätzung müssen Verantwortliche das große Einmaleins des Datenschutzes beherrschen. Ein weiterer wesentlicher Faktor ist zudem die Transparenz der Datenverarbeitungen. Die Umsetzung der verschiedenen Anforderungen stellt zweifellos eine Herausforderung für Verantwortliche, aber auch für Anbieter von KI-Anwendungen dar. Welche Themen zudem bei der Verarbeitung von Sprachdaten zu berücksichtigen sind, erfahren Sie im Blog der SpeechMind GmbH…
Über den Autor: Max JusMax Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Privacy & Security wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.
