Datenschutzbehörden: „So geht der Einsatz von KI datenschutzkonform“
16.05.2024
Zusammenfassung
Die Auswahl des richtigen KI-Tools ist entscheidend und muss die datenschutzrechtlichen Rahmenbedingungen berücksichtigen. Darüber hinaus müssen Risiken wie die unsachgemäße Anwendung durch ungeschultes Personal oder fehlende vertragliche Vereinbarungen umfassend adressiert werden, um einen sicheren und effizienten Einsatz zu gewährleisten. Auf dies und mehr geht nun eine neue Orientierungshilfe der deutschen Aufsichtsbehörden ein.
4 Minuten Lesezeit
Nach langen Verhandlungen zu der EU-Verordnung zur Künstlichen Intelligenz („AI Act“) haben die deutschen Aufsichtsbehörden („Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder“, kurz „Datenschutzkonferenz“) eine Orientierungshilfe zu Künstlicher Intelligenz und Datenschutz veröffentlicht.
Dieses Papier richtet sich insbesondere an Unternehmen, die KI-Anwendungen einsetzen möchten und adressiert datenschutzrechtliche Kriterien und Rahmenbedingungen, die dabei unterstützen sollen, das passende KI-Tool auszusuchen, zu implementieren und zu nutzen.
Schritt 1: Auswahl der richtigen Anwendung
Zuerst sollte sich das Unternehmen bewusstwerden, für welchen Bereich und zu welchem Zweck das Tool eingesetzt werden soll. Zu beachten ist, dass bestimmte Felder von vornherein als unzulässig klassifiziert wird (z.B. „Social Scoring“, biometrische Echtzeitüberwachung). – Im Zuge dessen sollte auch sichergestellt sein, dass keine vollautomatisierte Entscheidungsfindung stattfindet, die nach Art. 22 DSGVO grundsätzlich untersagt ist.
Schritt 2: Transparenz
Das Unternehmen sollte ausreichend Informationen erhalten, wie die Software funktioniert, damit es die Betroffenen der geplanten personenbezogenen Datenverarbeitung ausreichend, d.h. nachvollziehbar und verständlich, informieren kann. Dabei ist es nicht erforderlich, dass jede Weichenstellung erläutert wird, sondern „die Komplexität der Logik [solle] auf ein verständliches Maß“ heruntergebrochen werden.
Schritt 3: Abwahlmöglichkeit des Trainings
Das Training der grundlegenden KI-Anwendung sollte abwählbar sein. Da in der Regel trotzdem (zumindest theoretischer) Zugriff von Anbieterseite auf personenbezogene Daten vorliegen sollte, ist eine Datenschutzvereinbarung („Auftragsverarbeitungsvereinbarung“) unverzichtbar.
Schritt 4: Je personenbezogene Datenverarbeitung, desto Rechtsgrundlage
Für jeden Verarbeitungsschritt benötigt es eine datenschutzrechtliche Rechtsgrundlage. Dies sind zumeist Vertragsnotwendigkeit, Einwilligung oder berechtigte Interessen. Dies ist im Einzelfall festzustellen.
Schritt 5: Sensibilisierung der Beschäftigten
Damit sich die Mitarbeiter, die mit der Software in Zukunft arbeiten, zurechtfinden, ist es unerlässlich, diese zu schulen und zu sensibilisieren. Empfohlen ist ein Zusammenspiel aus klassischen Schulungen und Richtlinien.
Schritt 6: Vertrauen ist gut, Kontrolle ist besser
Außerdem sollten die Ergebnisse der Verarbeitung laufend und kontinuierlich überprüft werden, um Fehler oder falsche Ergebnisse umgehend korrigieren zu können und insgesamt eine Einschätzung der Qualität der Anwendung zu erhalten.
Fazit: Gute Denkanstöße, noch keine praxisnahen Lösungen
Die Orientierungshilfe der Aufsichtsbehörden lässt – wie so vieles in der Welt der Künstlichen Intelligenz – viele Fragestellungen offen. Ein kurzer Blick lohnt sich aber in jedem Fall, um die Überlegungen von Behörden hinsichtlich datenschutzrechtlicher Themen zumindest einmal gesehen zu haben.
Es sei infolgedessen aus Sicht der Datenschutzaufsichtsbehörden sinnvoll, die Marktüberwachung im Rahmen des AI Act den Datenschutzaufsichtsbehörden zu übertragen, die sich qua Amtes bereits um verschiedene Aspekte von KI kümmern müssten und außerdem ausreichend Erfahrung bei europäischer Behörden-Zusammenarbeit.
