KI und Datenschutz – Infos und Tipps von DSB und DSK

Beitrag verfasst von Dr. Rainer Knyrim und Fabian Jelicic – KTR-Newsletter November 2024

Künstliche Intelligenz (KI) bringt zahlreiche datenschutzrechtliche Herausforderungen mit sich. Die österreichische Datenschutzbehörde (DSB) hat auf ihrer Website zu diesem Thema FAQ (https://www.dsb.gv.at/download-links/FAQ-zum-Thema-KI-und-Datenschutz.html) veröffentlicht, während von der Deutschen Datenschutzkonferenz (DSK) im Mai 2024 eine Orientierungshilfe (https://www.datenschutzkonferenz-online.de/media/oh/20240506_DSK_Orientierungshilfe_KI_und_Datenschutz.pdf) herausgegeben wurde.

 Die von der EU im Juni 2024 beschlossene Verordnung 2024/1689 („KI-Verordnung“ bzw. „AI Act“, https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=OJ:L_202401689) bildet den zentralen rechtlichen Rahmen für den Einsatz von KI.

Die FAQ der DSB mit Stand vom 2.7.2024 stützen sich auf die Definition in Art 3 Z 1 KI-VO, der künstliche Intelligenz als ein Computersystem beschreibt, das autonom arbeitet, anpassungsfähig ist und Aufgaben erfüllen kann, für die üblicher Weise menschliche Intelligenz notwendig ist. Die DSB weist auf die laut Art 2 Abs 7 KI-VO parallele Anwendbarkeit der DSGVO hin, wenn personenbezogene Daten von KI-Systemen verarbeitet werden. Sie hält auch fest, dass sie für alle datenschutzrechtlichen Fragen im Zusammenhang mit KI-Systemen zuständig ist.

Die FAQ betonen, dass die Grundsätze des Art 5 DSGVO beim Einsatz von KI-Systemen einzuhalten sind. Verantwortliche, die eine KI-Anwendung nicht selbst entwickeln, müssen sicherstellen, dass der Anbieter ausreichende Informationen bereitstellt, um die Transparenzpflichten gemäß Art 12 ff DSGVO zu erfüllen. Im Rahmen der Transparenzpflichten ist zu prüfen, ob Ein- und Ausgabedaten für das Training einer KI verwendet werden. In einem solchen Fall sind die Nutzer ausreichend darüber zu informieren und es ist ihnen die Möglichkeit zu geben, die Nutzung ihrer Daten für das Training auszuschließen. Wenn ein Ausschluss nicht möglich ist und personenbezogene Daten von der Verarbeitung betroffen sind, bedarf es einer Rechtsgrundlage.

Zudem legen die FAQ einen besonderen Fokus auf Art 22 DSGVO. Personen haben demnach das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die rechtliche Wirkungen entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. In diesem Zusammenhang weist die DSB darauf hin, dass die Nutzung von KI zur Durchführung automatisierter Entscheidungen unter die Ausnahmetatbestände des Art 22 Abs 2 leg cit fallen muss, wie insbesondere die Einwilligung der betroffenen Person. Ansonsten muss ein Mensch diesbezüglich die Letztentscheidung treffen und er darf nicht überwiegend aufgrund des KI-Vorschlags entscheiden. Bei der Nutzung von KI-Systemen im hoheitlichen Bereich, die unter Art 22 DSGVO fallen, müssen die besonderen Anforderungen an eine gesetzliche Grundlage nach Art 22 Abs 2 lit b und Abs 4 DSGVO erfüllt werden (siehe Informationen der DSB für Verantwortliche des öffentlichen Bereichs).

 Die Orientierungshilfe der deutschen DSK streicht für Unternehmen klar heraus, dass Verantwortliche vor dem Einsatz von KI die genauen Zwecke und Einsatzfelder festlegen müssen, um einen datenschutzkonformen Betrieb sicherzustellen. Bestimmte Anwendungen von KI sind schon ex lege unzulässig, insbesondere Social Scoring und biometrische Echtzeitüberwachung öffentlicher Räume. Manche Einsatzbereiche haben generell keinen Personenbezug; in solchen Fällen unterliegt die KI-Anwendung nicht der DSGVO. Bei der Auswahl von KI-Anwendungen ist es wichtig zu prüfen, ob diese datenschutzkonform trainiert wurden, insbesondere ob personenbezogene Daten verwendet wurden und ob hierfür eine Rechtsgrundlage besteht.

Für jede Verarbeitung personenbezogener Daten mittels KI muss eine Rechtsgrundlage des Art 6 Abs 1 DSGVO vorliegen. Die Verarbeitung von sensiblen Daten – insbesondere von Gesundheitsdaten, biometrischen Daten etc. – erfordert zusätzlich eine Ausnahme nach Art 9 Abs 2 DSGVO. In diesem Zusammenhang ist nach Art 10 Abs 5 KI-VO die Verarbeitung sensibler Daten iSd Art 9 DSGVO erlaubt, wenn damit „Biases“ in KI-Systemen entdeckt und behoben werden. Diese Verarbeitung ist selbstverständlich im Verzeichnis für Verarbeitungstätigkeiten nach Art 30 DSGVO aufzunehmen. Liegt kein geeigneter Rechtfertigungstatbestand vor, ist die Datenverarbeitung unzulässig, was auch den Einsatz des betreffenden KI-Systems unzulässig macht. Die Beweislast für die Einhaltung der DSGVO liegt nach Art 5 Abs 2 DSGVO beim Verantwortlichen.

Beim Einsatz von KI-Anwendungen besteht häufig ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen und dementsprechend eine Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung (DSFA) nach Art 35 DSGVO. Die DSK veröffentlichte eine „Muss-Liste“ mit konkreten Verarbeitungstätigkeiten, für die zwingend eine DSFA durchzuführen ist. In der Orientierungshilfe empfiehlt sie Unternehmen, ihren Beschäftigten für die berufliche Nutzung von KI eigene Accounts zur Verfügung zu stellen, die ohne Verwendung von Namen und sonstigen personenbezogenen Daten einzelner Beschäftigter genutzt werden. Die Verwendung von KI-Anwendungen externer Anbieter, etwa bei Cloud-Lösungen, führt dazu, dass die externen Anbieter als Auftragsverarbeiter agieren und zwischen dem Anbieter und Verantwortlichen eine Vereinbarung gemäß Art 28 Abs 3 DSGVO geschlossen werden muss.

Die FAQ der DSB und die Orientierungshilfe der DSK veranschaulichen, dass die DSGVO einen weitreichenden Anwendungsbereich hat und insbesondere neue Technologien wie KI nicht davon ausgenommen sind. Klare Regelungen zur Nutzung von KI-Anwendungen im Arbeitsalltag sind unerlässlich, um unkontrollierte Anwendungen und Datenschutzverstöße zu vermeiden, weshalb Unternehmen und Behörden unbedingt detaillierte interne Richtlinien und Handlungsanweisungen implementieren sollten.

Der Europäische Datenschutzausschuss (EDSA) erarbeitet derzeit Leitlinien zum Thema KI und Datenschutz, welche eine umfangreichere Übersicht liefern sollen.

In Österreich dient die KI-Servicestelle der RTR GmbH unter https://ki.rtr.at als Ansprechpartnerin und Informationshub zum Thema KI.

Artikel drucken

Beiträge

Newsletter November 2024

Erste Pflichten und Verbote aus dem AI Act

Der AI Act wird bis August 2026 in drei Phasen anwendbar. Bereits ab Februar 2025 müssen Anbieter und Betreiber sicherstellen, dass ihr Personal über ausreichende KI-Kompetenz verfügt und dass keine verbotenen KI-Anwendungen zum Einsatz kommen. Was genau ist hier notwendig?

KI und Datenschutz – Infos und Tipps von DSB und DSK

Unternehmen müssen sicherstellen, dass sie KI-Anwendungen datenschutzkonform betreiben und sollten klare interne Richtlinien zur Nutzung implementieren. Wir haben uns dazu die FAQ der österreichischen Datenschutzbehörde und die Orientierungshilfe der Deutschen Datenschutzkonferenz angesehen.

10 Jahre „Datenschutz konkret“

Mit einem „Datenschutz-Heurigen“ wurde das 10-jährige Bestehen der Zeitschrift „Datenschutz konkret“ gefeiert.

Wann sind Webdesigns manipulativ?

Manipulative Webdesigns, auch „Deceptive Design Patterns“ genannt, nutzen psychologische Tricks, um Nutzer:innen zu bestimmten Verhaltensweisen zu verleiten, oft zu deren Nachteil. Der EDSA hat dazu Leitlinien für Social Media-Plattformen veröffentlicht. Die Empfehlungen für datenschutzkonformes Design sind auch für Websites und Apps relevant.

Das kann der EDSA-Datenschutz-Leitfaden für KMU (nicht)

Der Leitfaden des EDSA für kleine Unternehmen, seit Sommer 2024 auf Deutsch verfügbar, bietet grundlegende Informationen zu Datenschutzpflichten. Er erklärt etwa die Betroffenenrechte und Datenschutzverletzungen, ist jedoch in mehreren Bereichen zu oberflächlich.

200 Vorträge zum Datenschutz!

Dr. Rainer Knyrim wurde auf der PriSec 2024 für über 200 Vorträge und 9 Jahre Engagement als fachlicher Leiter mit einem einzigartigen „Pokal“ geehrt.

Schlechte IT-Sicherheit kann teuer werden! Stadt Baden muss für Datenleck Schadenersatz zahlen

Das OLG Wien bestätigte die Verurteilung der Stadt Baden wegen eines Datenlecks im März 2022. Auch ohne nachweisbaren Missbrauch wurde einem betroffenen Bürger Schadenersatz zugesprochen. Die finanziellen Risiken von Datenschutzverletzungen können bei einer hohen Zahl von Geschädigten erheblich werden.

Publikationen unserer Kanzlei

Das Knyrim Trieb Rechtsanwälte Team war wie immer aktiv und hat in den letzten Monaten u.a. zu NIS-2, Medienprivileg, Datenzugangsansprüchen und Restschuldbefreiung publiziert. Für den „DatKomm“ gab es ein 361 Seiten-Upgrade und Dr. Rainer Knyrim hat sich nebenbei noch mit dem Data Act befasst.