KI und Datenschutz – Infos und Tipps von DSB und DSK
Beitrag verfasst von Dr. Rainer Knyrim und Fabian Jelicic – KTR-Newsletter November 2024
Künstliche Intelligenz (KI) bringt zahlreiche datenschutzrechtliche Herausforderungen mit sich. Die österreichische Datenschutzbehörde (DSB) hat auf ihrer Website zu diesem Thema FAQ (https://www.dsb.gv.at/download-links/FAQ-zum-Thema-KI-und-Datenschutz.html) veröffentlicht, während von der Deutschen Datenschutzkonferenz (DSK) im Mai 2024 eine Orientierungshilfe (https://www.datenschutzkonferenz-online.de/media/oh/20240506_DSK_Orientierungshilfe_KI_und_Datenschutz.pdf) herausgegeben wurde.
Die von der EU im Juni 2024 beschlossene Verordnung 2024/1689 („KI-Verordnung“ bzw. „AI Act“, https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=OJ:L_202401689) bildet den zentralen rechtlichen Rahmen für den Einsatz von KI.
Die FAQ der DSB mit Stand vom 2.7.2024 stützen sich auf die Definition in Art 3 Z 1 KI-VO, der künstliche Intelligenz als ein Computersystem beschreibt, das autonom arbeitet, anpassungsfähig ist und Aufgaben erfüllen kann, für die üblicher Weise menschliche Intelligenz notwendig ist. Die DSB weist auf die laut Art 2 Abs 7 KI-VO parallele Anwendbarkeit der DSGVO hin, wenn personenbezogene Daten von KI-Systemen verarbeitet werden. Sie hält auch fest, dass sie für alle datenschutzrechtlichen Fragen im Zusammenhang mit KI-Systemen zuständig ist.
Die FAQ betonen, dass die Grundsätze des Art 5 DSGVO beim Einsatz von KI-Systemen einzuhalten sind. Verantwortliche, die eine KI-Anwendung nicht selbst entwickeln, müssen sicherstellen, dass der Anbieter ausreichende Informationen bereitstellt, um die Transparenzpflichten gemäß Art 12 ff DSGVO zu erfüllen. Im Rahmen der Transparenzpflichten ist zu prüfen, ob Ein- und Ausgabedaten für das Training einer KI verwendet werden. In einem solchen Fall sind die Nutzer ausreichend darüber zu informieren und es ist ihnen die Möglichkeit zu geben, die Nutzung ihrer Daten für das Training auszuschließen. Wenn ein Ausschluss nicht möglich ist und personenbezogene Daten von der Verarbeitung betroffen sind, bedarf es einer Rechtsgrundlage.
Zudem legen die FAQ einen besonderen Fokus auf Art 22 DSGVO. Personen haben demnach das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die rechtliche Wirkungen entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. In diesem Zusammenhang weist die DSB darauf hin, dass die Nutzung von KI zur Durchführung automatisierter Entscheidungen unter die Ausnahmetatbestände des Art 22 Abs 2 leg cit fallen muss, wie insbesondere die Einwilligung der betroffenen Person. Ansonsten muss ein Mensch diesbezüglich die Letztentscheidung treffen und er darf nicht überwiegend aufgrund des KI-Vorschlags entscheiden. Bei der Nutzung von KI-Systemen im hoheitlichen Bereich, die unter Art 22 DSGVO fallen, müssen die besonderen Anforderungen an eine gesetzliche Grundlage nach Art 22 Abs 2 lit b und Abs 4 DSGVO erfüllt werden (siehe Informationen der DSB für Verantwortliche des öffentlichen Bereichs).
Die Orientierungshilfe der deutschen DSK streicht für Unternehmen klar heraus, dass Verantwortliche vor dem Einsatz von KI die genauen Zwecke und Einsatzfelder festlegen müssen, um einen datenschutzkonformen Betrieb sicherzustellen. Bestimmte Anwendungen von KI sind schon ex lege unzulässig, insbesondere Social Scoring und biometrische Echtzeitüberwachung öffentlicher Räume. Manche Einsatzbereiche haben generell keinen Personenbezug; in solchen Fällen unterliegt die KI-Anwendung nicht der DSGVO. Bei der Auswahl von KI-Anwendungen ist es wichtig zu prüfen, ob diese datenschutzkonform trainiert wurden, insbesondere ob personenbezogene Daten verwendet wurden und ob hierfür eine Rechtsgrundlage besteht.
Für jede Verarbeitung personenbezogener Daten mittels KI muss eine Rechtsgrundlage des Art 6 Abs 1 DSGVO vorliegen. Die Verarbeitung von sensiblen Daten – insbesondere von Gesundheitsdaten, biometrischen Daten etc. – erfordert zusätzlich eine Ausnahme nach Art 9 Abs 2 DSGVO. In diesem Zusammenhang ist nach Art 10 Abs 5 KI-VO die Verarbeitung sensibler Daten iSd Art 9 DSGVO erlaubt, wenn damit „Biases“ in KI-Systemen entdeckt und behoben werden. Diese Verarbeitung ist selbstverständlich im Verzeichnis für Verarbeitungstätigkeiten nach Art 30 DSGVO aufzunehmen. Liegt kein geeigneter Rechtfertigungstatbestand vor, ist die Datenverarbeitung unzulässig, was auch den Einsatz des betreffenden KI-Systems unzulässig macht. Die Beweislast für die Einhaltung der DSGVO liegt nach Art 5 Abs 2 DSGVO beim Verantwortlichen.
Beim Einsatz von KI-Anwendungen besteht häufig ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen und dementsprechend eine Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung (DSFA) nach Art 35 DSGVO. Die DSK veröffentlichte eine „Muss-Liste“ mit konkreten Verarbeitungstätigkeiten, für die zwingend eine DSFA durchzuführen ist. In der Orientierungshilfe empfiehlt sie Unternehmen, ihren Beschäftigten für die berufliche Nutzung von KI eigene Accounts zur Verfügung zu stellen, die ohne Verwendung von Namen und sonstigen personenbezogenen Daten einzelner Beschäftigter genutzt werden. Die Verwendung von KI-Anwendungen externer Anbieter, etwa bei Cloud-Lösungen, führt dazu, dass die externen Anbieter als Auftragsverarbeiter agieren und zwischen dem Anbieter und Verantwortlichen eine Vereinbarung gemäß Art 28 Abs 3 DSGVO geschlossen werden muss.
Die FAQ der DSB und die Orientierungshilfe der DSK veranschaulichen, dass die DSGVO einen weitreichenden Anwendungsbereich hat und insbesondere neue Technologien wie KI nicht davon ausgenommen sind. Klare Regelungen zur Nutzung von KI-Anwendungen im Arbeitsalltag sind unerlässlich, um unkontrollierte Anwendungen und Datenschutzverstöße zu vermeiden, weshalb Unternehmen und Behörden unbedingt detaillierte interne Richtlinien und Handlungsanweisungen implementieren sollten.
Der Europäische Datenschutzausschuss (EDSA) erarbeitet derzeit Leitlinien zum Thema KI und Datenschutz, welche eine umfangreichere Übersicht liefern sollen.
In Österreich dient die KI-Servicestelle der RTR GmbH unter https://ki.rtr.at als Ansprechpartnerin und Informationshub zum Thema KI.