Datenschutz-Akademie » Datenschutz-Wiki » KI und Datenschutz

KI und Datenschutz

KI und Datenschutz in der Praxis – Zwischen Innovation und Regulierung

Die rasante Verbreitung Künstlicher Intelligenz (KI) in Organisationen erfordert eine frühzeitige und integrierte Betrachtung des Datenschutzes im Themenfeld KI und Datenschutz. Die KI-Verordnung (KI-VO) schafft zwar einen Rahmen für Hochrisiko-KI, doch die Einhaltung bestehender Datenschutzgesetze wie DSGVO und BDSG bleibt unumgänglich. Dabei ist entscheidend: KI ist primär ein Werkzeug zur Zielerreichung (z.B. Prozessoptimierung), die datenschutzrechtliche Grundlage ergibt sich aus dem jeweiligen Anwendungsfall und Zweck gemäß DSGVO. Dies erfordert eine ganzheitliche Herangehensweise, von klarer Zweckdefinition über DSFA bis hin zu Datenminimierung und Transparenz. Die KI-VO selbst adressiert ebenfalls datenschutzrelevante Aspekte, etwa bei Trainingsdaten. Dieser Artikel beleuchtet, wie wir die Verbindung von KI und Datenschutz nicht nur als Herausforderung verstehen, sondern proaktiv Lösungen für eine verantwortungsvolle Zukunft gestalten können.

Wichtigste Informationen zu KI und Datenschutz

  • Datenschutz muss anwendungsspezifisch betrachtet werden. Die DSGVO gilt unabhängig von der Technologie. Bei KI-Einsatz ist der konkrete Zweck der Verarbeitung entscheidend für die Rechtsgrundlage und die Einhaltung der Datenschutzgrundsätze.
  • KI-Verordnung ergänzt die DSGVO, ersetzt sie aber nicht. Die KI-VO schafft spezifische Regeln für KI-Systeme, insbesondere Hochrisiko-KI, und konkretisiert datenschutzrelevante Pflichten (z.B. Transparenz, Datenqualität). Die DSGVO bleibt jedoch das Fundament für den Schutz personenbezogener Daten.
  • Transparenz und Information sind beim Einsatz von KI besonders herausfordernd und wichtig. Aufgrund der Komplexität vieler KI-Systeme müssen Organisationen besondere Anstrengungen unternehmen, um Betroffene verständlich über die Datenverarbeitung, automatisierte Entscheidungen und ihre Rechte zu informieren.
  • Die Datenschutzgrundsätze der DSGVO gelten auch für KI und erfordern spezifische Überlegungen. Von der Rechtmäßigkeit über Zweckbindung und Datenminimierung bis zur Rechenschaftspflicht müssen alle Grundsätze im Kontext von KI-Systemen sorgfältig geprüft und umgesetzt werden.
  • KI kann auch zur Unterstützung der DSGVO-Compliance eingesetzt werden. Automatisierung von Routineaufgaben (Dokumentenanalyse, Betroffenenrechte), Überwachung der Einhaltung, Analyse von Datenflüssen und Erkennung von Datenschutzverstößen sind mögliche Anwendungsfelder. Datenschutz sollte daher nicht als Innovationshemmnis, sondern als integraler Bestandteil von KI-Projekten betrachtet werden.

Inhalt zum Thema KI und Datenschutz:

Zwischen Innovation und Regulierung

Künstliche Intelligenz (KI) steht aktuell wie kein anderes Thema im Spannungsfeld zwischen Innovationsdruck und regulatorischer Verantwortung. Laut dem Bitkom-Leitfaden 2024 nutzen bereits 22 % der Beschäftigten generative KI mit Wissen des Arbeitgebers – Tendenz steigend​. Doch mit dieser Entwicklung wächst auch die Komplexität datenschutzrechtlicher Anforderungen. Die Funktionsweise von KI-Systemen, sei es in Form von Machine Learning (ML), der Analyse riesiger Datenmengen (Big Data Analytics) oder dem Einsatz von Large Language Models (LLMs), wirft wichtige datenschutzrechtliche Fragen auf. Wie lassen sich diese Technologien mit den Grundsätzen der DSGVO vereinbaren?

KI-Grundlagen für Datenschützer:

  • Algorithmen als Basis: Jede KI basiert auf Algorithmen – detaillierten Anweisungen, die Computer befolgen.
  • Lernen aus Daten: ML-Systeme “lernen” aus Daten, um Muster zu erkennen und Vorhersagen zu treffen. Je mehr Daten, desto besser oft die Ergebnisse.
  • Big Data als Treibstoff: Die Analyse großer Datenmengen ist für viele KI-Anwendungen unerlässlich, um aussagekräftige Muster zu finden.
  • Sprachverarbeitung der Zukunft: LLMs ermöglichen es Maschinen, menschliche Sprache zu verstehen und zu generieren, was neue Interaktionsformen ermöglicht.

Rechtsrahmen bei der Verarbeitung personenbezogener Daten mittels KI

Die Verarbeitung personenbezogener Daten durch Künstliche Intelligenz (KI) unterliegt einem komplexen Zusammenspiel verschiedener Rechtsnormen. Die wichtigsten Säulen dieses Rahmens bilden die Datenschutz-Grundverordnung (DSGVO) und die zukünftige KI-Verordnung.

Die DSGVO: Fundament des Datenschutzes

Die Datenschutz-Grundverordnung (DSGVO) bildet das zentrale Fundament für den Schutz personenbezogener Daten in der Europäischen Union. Sie regelt die Verarbeitung personenbezogener Daten durch öffentliche und private Stellen. Die Verarbeitung personenbezogener Daten durch KI-Systeme muss stets auf einer rechtmäßigen Grundlage basieren. Ob Einwilligung, Vertrag oder berechtigtes Interesse – die Wahl der Rechtsgrundlage erfordert eine sorgfältige Prüfung. Zudem muss der Zweck der Datenverarbeitung klar definiert und die Datenmenge auf das notwendige Minimum beschränkt sein.

Hier Link zum Blogbeitrag “Datenschutzgrundverordnung (EU-DSGVO)”

Die KI-Verordnung: Spezifische Regeln für Künstliche Intelligenz

Die Europäische Union hat mit der KI-Verordnung das weltweit erste umfassende rechtliche Rahmenwerk für Künstliche Intelligenz geschaffen. Ziel der Verordnung ist es, einheitliche Regeln für die Entwicklung, das Inverkehrbringen und die Nutzung von KI-Systemen festzulegen und dabei insbesondere die Sicherheit und die Grundrechte der Bürger zu schützen.

Die EU-KI-Verordnung schafft erstmals einen umfassenden Rechtsrahmen für KI, der Sicherheit und Grundrechte schützt. Bezüglich personenbezogener Daten ergänzt und konkretisiert sie die DSGVO durch einen risikobasierten Ansatz mit strengen Auflagen für Hochrisiko-KI in Bezug auf Transparenz, Genauigkeit und menschliche Aufsicht. Spezifische Transparenzpflichten gelten für KI-Systeme, die mit Personen interagieren oder synthetische Inhalte erstellen, einschließlich der Offenlegung der Nutzung personenbezogener Daten im Training. Anbieter und Nutzer von KI-Systemen haben Pflichten zur Gewährleistung eines sicheren und grundrechtskonformen Einsatzes, einschließlich des Schutzes personenbezogener Daten. Die KI-Verordnung baut auf der DSGVO auf und präzisiert diese für KI, wobei die DSGVO die Basis für den Datenschutz bleibt und die KI-Verordnung zusätzliche Anforderungen für KI-Systeme festlegt. Der Rechtsrahmen für die Verarbeitung personenbezogener Daten mittels KI entsteht durch das Zusammenspiel von DSGVO und KI-Verordnung, was die sorgfältige Beachtung beider Gesetze für Unternehmen erfordert, um sowohl allgemeine als auch spezifische KI-Vorgaben für eine rechtmäßige und verantwortungsvolle Nutzung zu erfüllen.

Hier Link zum Blogbeitrag “KI-Verordnung – Aktueller Stand”

Anforderungen der Global Privacy Assembly

Die Global Privacy Assembly (GPA) hat über die Anforderungen der Datenschutz-Grundverordnung (DS-GVO) hinausgehende Maßnahmen für den verantwortungsvollen Umgang mit Künstlicher Intelligenz (KI) gefordert. Dazu gehören insbesondere die Bewertung und Offenlegung potenzieller Auswirkungen auf die Menschenrechte, einschließlich des Schutzes von Daten und Privatsphäre, vor der Nutzung von KI. Weiterhin wird die Führung detaillierter Verzeichnisse über die Folgenabschätzung, Konzeption, Entwicklung, Prüfung und Verwendung von KI-Systemen als essenziell erachtet. Ein weiterer wichtiger Punkt ist die Gewährleistung von Transparenz und Offenheit durch die Offenlegung der Nutzung von KI, der verwendeten Daten und der zugrundeliegenden Logik. Diese zusätzlichen Rechenschaftspflichten zielen darauf ab, die potenziellen Risiken von KI umfassend zu adressieren und das Vertrauen in diese Technologien zu stärken.

Die “Black Box” KI: Eine Herausforderung für Transparenz und Betroffenenrechte

Eine der größten Herausforderungen im Spannungsfeld von KI und Datenschutz stellt die Intransparenz vieler KI-Systeme dar, oft als “Black Boxes” bezeichnet. Gerade bei komplexen Machine-Learning-Modellen ist es häufig schwer nachvollziehbar, wie genau Entscheidungen oder Ergebnisse zustande kommen. Diese mangelnde Nachvollziehbarkeit kann die Einhaltung der Transparenzpflichten der DSGVO (Art. 12-14) erheblich erschweren und die effektive Ausübung der Betroffenenrechte, wie beispielsweise des Auskunftsrechts (Art. 15 DSGVO) oder des Rechts auf Erklärung automatisierter Entscheidungen (Art. 22 DSGVO), behindern.

Um dieser Problematik zu begegnen, sind Unternehmen gefordert, proaktive Maßnahmen zu ergreifen. Dazu gehört eine detaillierte Dokumentation der Designentscheidungen und der eingesetzten Daten. Zudem sollten alternative, transparentere KI-Architekturen und Methoden in Betracht gezogen werden (“Explainable AI” oder XAI), die eine bessere Nachvollziehbarkeit der Entscheidungsfindung ermöglichen. Eine enge Zusammenarbeit zwischen Datenschutzexperten und IT-Verantwortlichen ist unerlässlich, um Strategien zu entwickeln, die sowohl die Innovationskraft der KI als auch die Rechte und den Schutz der betroffenen Personen gewährleisten. Nur durch einen solchen interdisziplinären Ansatz lässt sich die “Black Box” KI ein Stück weit erhellen und ein datenschutzkonformer Einsatz sicherstellen.

Unsere Empfehlungen für weiterführende Informationen

DSGVO-konforme Verarbeitung personenbezogener Daten durch KI

Viele Organisationen stellen sich die Frage: Ist der Einsatz von KI mit der DSGVO überhaupt vereinbar? Die klare Antwort: Ja – unter bestimmten Voraussetzungen. Der Einsatz von KI-Technologie bedeutet nicht automatisch einen Verstoß gegen den Datenschutz. Die DSGVO ist technologieoffen formuliert und stellt sicher, dass neue Technologien rechtskonform integriert werden können, sofern bestimmte Grundsätze eingehalten werden. Besonders kritisch wird es, wenn KI-Systeme personenbezogene Daten verarbeiten, um z. B. Entscheidungen über Einzelpersonen zu treffen. In diesen Fällen greifen strengere Vorgaben wie Art. 22 DSGVO (Automatisierte Entscheidungen im Einzelfall einschließlich Profiling).

KI und die Datenschutzgrundsätze nach Artikel 5 der DSGVO: Ein praktischer Leitfaden

Künstliche Intelligenz (KI) bietet enorme Chancen, stellt Organisationen aber auch vor komplexe datenschutzrechtliche Herausforderungen. Die Einhaltung der Datenschutz-Grundverordnung (DSGVO) ist dabei unerlässlich. Dieser Beitrag beleuchtet die zentralen Datenschutzgrundsätze des Artikel 5 DSGVO im Kontext von KI und gibt praktische Hinweise für Organisationen.

1. Rechtmäßigkeit: Die Basis jeder KI-Verarbeitung

Jeder Einsatz von KI, von der Entwicklung über das Training bis zur Anwendung, muss auf einer gültigen Rechtsgrundlage basieren (Art. 6 und 9 DSGVO). Da die DSGVO keine spezifischen KI-Grundlagen nennt, greifen die allgemeinen Rechtsgrundlagen. Wichtig ist: Datenschutz muss von Anfang an in die KI-Entwicklung integriert werden (Privacy by Design, Art. 25 DSGVO). Bei Trainingsdaten ist die Zweckbindung entscheidend. Dürfen bereits erhobene Daten für das KI-Training genutzt werden? Hier ist eine sorgfältige Prüfung notwendig. Die kommende KI-Verordnung könnte in Testumgebungen unter bestimmten Bedingungen eine Ausnahme für Innovationszwecke ermöglichen (Art. 54 KI-VO). Die Vertragserfüllung (Art. 6 Abs. 1 lit. b) DSGVO) kann bei KI-Systemen greifen, die integraler Bestandteil einer Leistung sind (z.B. generative KI). Bei unterstützender KI (z.B. Chatbots) ist die Erforderlichkeit im Einzelfall zu prüfen.

Wird Einwilligung als Grundlage genutzt, muss diese verständlich, informiert und freiwillig sein (Art. 4 Abs. 11 DSGVO). Die Transparenzpflichten (Art. 12 ff. DSGVO) erfordern eine einfache und präzise Information, was bei komplexer KI schwierig sein kann. Der Widerruf der Einwilligung muss technisch umsetzbar sein (Privacy by Design!). Im Beschäftigtenverhältnis ist die Freiwilligkeit der Einwilligung besonders kritisch zu prüfen.

2. Treu und Glauben : Unerwartete Nutzungen vermeiden

Der Grundsatz der Fairness verlangt eine redliche und transparente Datenverarbeitung. Bei KI bedeutet dies, verborgene, unerwartete oder unverhältnismäßige Nutzungen zu vermeiden. Gerade beim Training mit großen Datenmengen (Big Data) ist die Verhältnismäßigkeit des Umfangs entscheidend. Organisationen müssen nachvollziehen können, womit und woraus das KI-Modell gelernt hat und ob die Nutzung eigener Daten das Recht auf Vergessenwerden beeinträchtigt. Eine verborgene KI-Nutzung oder algorithmische Diskriminierung aufgrund einseitiger Trainingsdaten sind unfair. Vor dem Einsatz muss eine Risikoprüfung auf Diskriminierungspotenzial erfolgen, insbesondere im Hinblick auf die Chancengleichheit im Organisationen.

3. Transparenz: Verständliche Information ist Pflicht

Betroffene müssen transparent und verständlich über die Verarbeitung ihrer Daten durch KI informiert werden (Art. 13, 14 DSGVO). Technisch komplexe KI-Lösungen müssen einfach erklärt werden. Organisationen sollten ihre Datenschutzerklärungen um Angaben zum KI-Einsatz, Zweck, der Logik automatisierter Entscheidungen und potenziellen Risiken ergänzen. Die kommende KI-Verordnung wird zusätzliche Transparenzpflichten (z.B. KI-Kennzeichnung) je nach Risikoklasse mit sich bringen.

4. Zweckbindung: Daten nicht für neue Ziele missbrauchen

Die Weiterverarbeitung von bereits erhobenen Daten in KI-Systemen für neue, unvereinbare Zwecke ist grundsätzlich unzulässig. Ausnahmen gelten nur für Archiv-, Forschungs- oder Statistikzwecke, wenn diese mit den ursprünglichen Zwecken kompatibel sind. Die Nutzung anonymisierter oder öffentlich zugänglicher Daten ist hingegen unproblematisch. Viele Entwickler und Produktverantwortliche unterschätzen die Bedeutung der Zweckbindung. Dabei ist sie das Herzstück einer datenschutzkonformen Verarbeitung. Jedes KI-Projekt braucht:

  • Eine klare Definition des Verarbeitungszwecks
  • Dokumentation und Nachweisbarkeit des Zwecks
  • Mechanismen zur Löschung oder Anonymisierung nach Zweckerfüllung

Beispiel aus der Praxis: In einem Projekt zur Optimierung der Personalplanung wollten wir historische Mitarbeiterdaten nutzen. Das Problem: Diese wurden ursprünglich zu Abrechnungszwecken erhoben. Eine Weiterverwendung war ohne Einwilligung der Betroffenen nicht zulässig. Lösung: Pseudonymisierung der Daten und Neudefinition des Verarbeitungszwecks mit Datenschutz-Folgenabschätzung.

5. Datenminimierung: Nur das Nötigste verarbeiten

Die Datenminimierung (Art. 5 Abs. 1 lit. c) DSGVO) erfordert, dass nur die für den jeweiligen Zweck erforderlichen Daten verarbeitet werden. Beim KI-Training mit großen Datenmengen ist eine sorgfältige Verhältnismäßigkeitsprüfung zwischen Datenmenge und Trainingseffizienz notwendig. Die irreversible Anonymisierung von Trainingsdaten kann eine datenschutzkonforme Lösung sein.

6. Richtigkeit: Fehlerhafte KI-Ergebnisse vermeiden

Personenbezogene Daten müssen sachlich richtig sein (Art. 5 Abs. 1 lit. d) DSGVO). KI-Systeme, insbesondere Large Language Models, können sogenannte Halluzinationen erzeugen – falsche, aber plausibel klingende Informationen. Organisationen müssen KI-Ergebnisse daher kritisch prüfen und verifizieren, um dem Recht auf Berichtigung (Art. 16 DSGVO) nachzukommen.

7. Rechenschaftspflicht: Die Einhaltung nachweisen können

Organisationen müssen die Einhaltung der DSGVO nicht nur sicherstellen, sondern auch nachweisen können (Art. 5 Abs. 2 DSGVO). Dies erfordert angemessene technische und organisatorische Maßnahmen, einschließlich Verarbeitungsverzeichnis, Datenschutzrichtlinien, Dokumentation von Datenschutzverletzungen, Auftragsverarbeitungsverträgen, Datenschutzfolgenabschätzungen und Privacy by Design/Default. Diese Nachweise müssen auch die Einhaltung der Datenschutzgrundsätze beim KI-Einsatz und deren Dokumentation umfassen. Die Global Privacy Assembly fordert für KI zusätzlich Folgenabschätzungen, Verzeichnisse über KI-Entwicklung und -Nutzung sowie Transparenz bezüglich KI-Nutzung, Daten und Logik.

Transparenz, Informationspflichten und automatisierte Entscheidungen: Vertrauen durch Aufklärung

Transparenz im Kontext von KI geht weit über einen standardmäßigen Datenschutzhinweis auf der Webseite hinaus. Betroffene Personen haben ein Recht darauf, detailliert informiert zu werden über:

  • Welche Daten im Zusammenhang mit dem KI-System erhoben werden.
  • Wie diese Daten verarbeitet und wofür sie konkret genutzt werden.
  • Ob eine automatisierte Entscheidungsfindung stattfindet und welche Logik dahintersteckt.
  • Welche Rechte ihnen im Hinblick auf ihre Daten zustehen.

Die Transparenzgrundsätze der DSGVO (Art. 5 Abs. 1 lit. a) fordern explizit verständliche Informationen bei der Verarbeitung personenbezogener Daten, was im komplexen Feld der KI eine besondere Herausforderung darstellt. Transparenz ist dabei nicht nur eine gesetzliche Pflicht (Art. 12-14, Art. 6, 7 DSGVO sowie zukünftig die KI-Verordnung), sondern schafft auch die notwendige Akzeptanz für den Einsatz von KI-Systemen.

Die detaillierten Informationspflichten nach Art. 13 und 14 DSGVO

Die Artikel 13 und 14 der DSGVO legen detaillierte Informationspflichten fest, die Verantwortliche bei der Erhebung personenbezogener Daten erfüllen müssen. Dazu gehören Angaben zum Verantwortlichen selbst, den konkreten Verarbeitungszwecken und den jeweiligen Rechtsgrundlagen. Ebenso müssen Empfänger der Daten, die geplante Speicherdauer, die Rechte der betroffenen Personen (Auskunft, Berichtigung, Löschung etc.), die Pflicht zur Bereitstellung der Daten und das Vorhandensein einer automatisierten Entscheidungsfindung einschließlich Profiling offengelegt werden. Erfolgt die Datenerhebung nicht direkt bei der betroffenen Person (Art. 14 DSGVO), sind zusätzlich Informationen zur Herkunft der Daten anzugeben.

Besondere Herausforderungen bei KI: Automatisierte Entscheidungen und Komplexität

Im Kontext von KI kommt der konkreten Umsetzung der Transparenz und insbesondere der Information über automatisierte Entscheidungen und Profiling eine besondere Bedeutung zu. Die Komplexität steigt hier oft durch KI-spezifische Angaben, die zukünftig auch durch die KI-Verordnung ergänzt werden. Um diesen Informationspflichten nachzukommen, können verschiedene Lösungen in Betracht gezogen werden, wie beispielsweise Links zu detaillierteren Erklärungen, QR-Codes, leicht verständliche Symbole oder auch ergänzende Papierdokumente. Dabei ist stets die Zumutbarkeit der Informationsbeschaffung für die betroffenen Personen zu berücksichtigen.

Automatisierte Entscheidungen (Art. 22 DSGVO): Die Logik verständlich machen

Besondere Aufmerksamkeit gilt der Information über automatisierte Entscheidungen im Einzelfall gemäß Artikel 22 Absatz 1 und 4 DSGVO. Hier müssen aussagekräftige Informationen über die involvierte Logik, die Tragweite und die beabsichtigten Auswirkungen der automatisierten Entscheidung bereitgestellt werden. Bei KI-Anwendungen, die direkten Kundenkontakt haben, wie beispielsweise in der automatisierten Schadensregulierung, kann diese Information auch außerhalb der eigentlichen Anwendung erfolgen. Die vollständige Offenlegung der genauen Logik birgt jedoch auch Risiken des Missbrauchs. In vielen Fällen ist im Zusammenhang mit automatisierten Entscheidungen durch KI die Durchführung einer Datenschutz-Folgenabschätzung (DSFA) gemäß Artikel 35 Absatz 1 und 3 Buchstabe a) DSGVO erforderlich. Zudem wird dringend empfohlen, signifikante Entscheidungen nicht ausschließlich auf KI zu stützen, sondern eine “Human-in-the-Loop”-Strategie zu implementieren, bei der menschliche Überprüfung und Intervention möglich bleiben.

Gemäß Art. 22 DSGVO dürfen betroffene Personen nicht einer ausschließlich automatisierten Entscheidung unterworfen werden, die ihnen gegenüber rechtliche Wirkung entfaltet oder sie erheblich beeinträchtigt. Verantwortliche sollten sicherstellen:

  • Dass Menschen in die Entscheidungsprozesse eingebunden sind
  • Dass nachvollziehbare Kriterien zur Bewertung verwendet werden
  • Dass Betroffene über die Logik und Konsequenzen der Verarbeitung informiert werden

Betroffenenrechte bleiben beim Einsatz von KI bestehen

Auch wenn Künstliche Intelligenz auf komplexen Algorithmen basiert, bleiben die Betroffenenrechte gemäß DSGVO uneingeschränkt gültig. Das bedeutet, dass auch im Kontext von KI-Anwendungen Ihr Recht auf Auskunft (Art. 15 DSGVO), Berichtigung (Art. 16 DSGVO), Löschung (Art. 17 DSGVO), Einschränkung der Verarbeitung (Art. 18 DSGVO), Datenübertragbarkeit (Art. 1 20 DSGVO) und Widerspruch 2 (Art. 21 DSGVO) gewährleistet sein muss. Eine besondere Herausforderung stellt dabei die oftmalige Intransparenz von KI-Systemen (“Black Boxes”) dar. Um diese zu überwinden und Betroffenenrechte effektiv zu gewährleisten, ist eine detaillierte Dokumentation der Designentscheidungen, die Prüfung alternativer, transparenterer KI-Ansätze (“Explainable AI”) und eine enge Zusammenarbeit zwischen Datenschutz- und IT-Verantwortlichen unerlässlich.

Das Verarbeitungsverzeichnis als Schlüssel zur Transparenz

Ein zentrales Instrument, um den Überblick zu behalten und Transparenz zu schaffen, ist das Verzeichnis von Verarbeitungstätigkeiten (VVT) gemäß Artikel 30 DSGVO. Jede Verarbeitung personenbezogener Daten muss dokumentiert muss. Das gilt natürlich auch für den Einsatz Künstlicher Intelligenz. Ob zur Analyse von Kundendaten, zur Automatisierung von Entscheidungsprozessen oder zur Optimierung von Marketingkampagnen – wenn KI personenbezogene Daten verarbeitet, muss dies im VVT erfasst werden.

Ein detailliertes VVT ist bei KI unerlässlich

Ein sorgfältig geführtes VVT ist gerade im Kontext von KI-Anwendungen entscheidend, um:

  • Rechenschaftspflicht zu gewährleisten. Organisationen müssen nachweisen können, dass die Datenverarbeitung rechtmäßig erfolgt.
  • Betroffenenrechte zu erfüllen: Nur wenn Organisationen wissen, welche Daten wie verarbeitet werden, können Anfragen von betroffenen Personen (z.B. Auskunft, Löschung) korrekt beantwortet werden.
  • Risiken zu bewerten: Eine transparente Dokumentation hilft dabei, potenzielle Risiken für die Rechte und Freiheiten natürlicher Personen zu identifizieren und geeignete Schutzmaßnahmen zu ergreifen.
  • Die Zusammenarbeit mit KI-Anbietern zu gestalten: Ein klares VVT hilft bei der Definition von Verantwortlichkeiten und der Gestaltung von Auftragsverarbeitungsverträgen.

Schaffen Sie Transparenz im VVT für KI-Anwendungen

Um der Intransparenz von KI-Systemen entgegenzuwirken und ein aussagekräftiges VVT zu erstellen, sollten Sie folgende Aspekte berücksichtigen:

  • Detaillierte Beschreibung der Verarbeitungstätigkeit: Beschreiben Sie präzise, welche konkreten Aufgaben die KI-Anwendung im Verarbeitungsprozess übernimmt.
  • Angaben zu den verwendeten Datenarten und Datenkategorien: Dokumentieren Sie detailliert, welche Arten und Kategorien von personenbezogenen Daten von der KI verarbeitet werden.
  • Zweck der Verarbeitung: Erläutern Sie klar und verständlich, welchen konkreten Zweck die Verarbeitung der Daten durch die KI-Anwendung verfolgt. Allgemeine Formulierungen reichen hier nicht aus.
  • Empfänger oder Kategorien von Empfängern: Geben Sie an, an wen die durch die KI verarbeiteten Daten weitergegeben werden können (z.B. andere Abteilungen, Drittanbieter).
  • Fristen für die Löschung der Daten: Definieren Sie, wie lange die durch die KI verarbeiteten personenbezogenen Daten gespeichert werden und wann sie gelöscht werden. Dies kann bei KI-Systemen, die kontinuierlich lernen, eine besondere Herausforderung darstellen.
  • Informationen zum KI-Anbieter (falls zutreffend): Wenn Sie KI-Dienste von externen Anbietern nutzen, dokumentieren Sie diese als Auftragsverarbeiter und halten Sie die entsprechenden Vereinbarungen zur Auftragsverarbeitung fest.
  • Kontrollmaßnahmen zur Transparenzsicherung: Dokumentieren Sie die Maßnahmen, die Sie implementiert haben, um detaillierte Informationen über die Datenverarbeitung durch die KI-Anwendung zu erhalten und die “Black Box” zu beleuchten. Dies kann beispielsweise die regelmäßige Überprüfung von Protokollen, die Einsicht in Dokumentationen des Anbieters oder interne Audits umfassen.
  • Schwellenwert-Analyse: Analysieren Sie den Schwellenwert und Erstellen Sie falls notwendig eine Datenschutz-Folgenabschätzung.

Datenschutz-Folgenabschätzung (DSFA) bei KI: Ein Muss

Bei der Verarbeitung personenbezogener Daten durch KI ist die Durchführung einer DSFA gemäß Art. 35 DSGVO unerlässlich, da KI-Systeme aufgrund von Diskriminierungsrisiken und mangelnder Kontrollmöglichkeiten hohe Risiken für Betroffene bergen können. Eine Schwellwertanalyse ermittelt, ob ein hohes Risiko vorliegt und somit eine DSFA zwingend ist; die Entscheidung ist schriftlich zu dokumentieren. Die KI-Verordnung und die DSGVO ergänzen sich hier, wobei Hochrisiko-KI-Systeme laut KI-VO datenschutzrechtlich wahrscheinlich ebenfalls ein hohes Risiko darstellen. Insbesondere die systematische Bewertung persönlicher Aspekte durch KI (Profiling), die Verarbeitung sensibler Daten oder die umfassende Überwachung öffentlich zugänglicher Bereiche erfordern eine DSFA. Die DSK listet den KI-Einsatz zur Interaktionssteuerung oder Bewertung persönlicher Aspekte explizit als DSFA-pflichtig. Bei hohem Risiko ohne Risikominimierungsmaßnahmen ist die Aufsichtsbehörde zu konsultieren (Art. 36 DSGVO). Zudem kann die DSFA-Pflicht im KI-Kontext gemäß § 38 BDSG die Benennung eines DSB erforderlich machen. Da die Risikobeurteilung oft intransparent ist, besonders bei Auftragsverarbeitung, ist die frühzeitige Auseinandersetzung mit der DSFA und die Einholung von Herstellerinformationen entscheidend, um die oft zeitaufwendige Durchführung vor Projektbeginn zu gewährleisten. Zusammenfassend macht der Einsatz von KI zur automatisierten Entscheidungsfindung oder umfassenden Personenbewertung eine DSFA in der Regel notwendig.

Newsletter-Anmeldung

Löschkonzepte in der KI-Ära: Das Recht auf Vergessenwerden umsetzen

Die Verarbeitung personenbezogener Daten durch KI-Systeme erfordert durchdachte Löschkonzepte. Eine zentrale Herausforderung besteht darin, dass KI-Modelle oft komplexe und verteilte Speichersysteme, einschließlich Cloud-Diensten, nutzen, was die Lokalisierung und Löschung von Daten erschweren kann. Ein effektives Löschkonzept muss daher die spezifischen Speicherstrukturen und Zugriffsmechanismen dieser Systeme berücksichtigen.

Das Recht auf Vergessenwerden (Art. 17 DS-GVO) verpflichtet uns, personenbezogene Daten unter bestimmten Bedingungen zu löschen. KI-Systeme müssen in der Lage sein, solchen Anträgen effizient und vollständig nachzukommen. Automatisierte Löschmechanismen, die Daten nach Ablauf ihrer Relevanz oder auf Anfrage entfernen, können hier eine wichtige Rolle spielen.

Unerlässlich ist zudem die Dokumentation des gesamten Löschprozesses. Dies dient als Nachweis der Einhaltung der Datenschutzbestimmungen und ermöglicht die Rechenschaftslegung gegenüber Aufsichtsbehörden und betroffenen Personen.

Kann Künstlicher Intelligenz die Einhaltung der DSGVO unterstützen?

Ein lösungsorientierter Ansatz könnte es sein, Datenschutz nicht als Innovationshemmnis, sondern als integralen Bestandteil der Entwicklung und Implementierung von KI-Systemen zu verstehen. Privacy by Design und Privacy by Default sind hier wichtige Stichworte. Durch einen risikobasierten Ansatz können Unternehmen ihre Ressourcen auf die KI-Anwendungen konzentrieren, die die größten Datenschutzrisiken bergen. Viele Aufgaben im Rahmen der DSGVO sind repetitiv und zeitaufwendig, hier kann KI wertvolle Unterstützung leisten.

KI-Unterstützung bei repetitiven Datenschutz-Aufgaben

  • Dokumentenanalyse: KI-Systeme können große Mengen an Dokumenten (z.B. Verträge, Richtlinien, Datenschutzerklärungen) schnell analysieren, um relevante Datenschutzbestimmungen zu identifizieren und auf Konsistenz zu prüfen.
  • Verwaltung von Betroffenenrechten: Die Bearbeitung von Anfragen betroffener Personen (Auskunft, Berichtigung, Löschung etc.) kann durch KI-gestützte Workflows automatisiert werden, von der Identifizierung der Anfrage bis zur Bereitstellung der Informationen.
  • Erstellung und Aktualisierung von Verarbeitungsverzeichnissen: KI kann helfen, Datenflüsse zu visualisieren und Informationen für das Verzeichnis von Verarbeitungstätigkeiten (VVT) zu extrahieren und aktuell zu halten.

KI-gestützte Überwachung der DSGVO-Einhaltung:

  • Erkennung von Anomalien: KI-basierte Systeme können ungewöhnliche Datenzugriffe oder -bewegungen erkennen, die auf potenzielle Datenschutzverletzungen hindeuten könnten. Organisationen müssen Datenschutz-Vorfälle unverzüglich und spätestens innerhalb von 72 Stunden nach Bekanntwerden der Verletzung an die zuständige Datenschutzaufsichtsbehörde melden. Ein KI-gestütztes Frühwarnsystem kann helfen diese Fristen einzuhalten.
  • Compliance-Checks: KI kann Richtlinien und Prozesse automatisiert auf die Einhaltung der DSGVO-Anforderungen überprüfen und bei Abweichungen Warnmeldungen generieren.
  • Bewertung von Risiken: Durch die Analyse von Datenverarbeitungsprozessen kann KI Muster erkennen und potenzielle Datenschutzrisiken frühzeitig identifizieren, um präventive Maßnahmen zu ermöglichen.

Analyse von Datenflüssen mittels künstlicher Intelligenz:

  • Visualisierung von Datenströmen: KI-Tools können komplexe Datenflüsse automatisiert darstellen und so die Nachvollziehbarkeit und Transparenz erhöhen.
  • Identifizierung von Datenlecks: Durch die Analyse von Netzwerkaktivitäten und Datenbewegungen kann KI helfen, potenzielle Datenlecks frühzeitig zu erkennen und Gegenmaßnahmen einzuleiten.

Überwachung der zweckgebundenen Verwendung personenbezogener Daten:

  • Analyse von Nutzungsmustern: KI-Systeme können analysieren, ob personenbezogene Daten in Übereinstimmung mit dem angegebenen Zweck verwendet werden und bei Zweckentfremdung Alarm schlagen.
  • Überwachung von Zugriffsberechtigungen: KI kann helfen, Zugriffsberechtigungen auf personenbezogene Daten zu überwachen und sicherzustellen, dass nur autorisierte Personen Zugriff haben.

Erkennung von Datenschutzverstößen durch KI:

  • Automatisierte Erkennung von Vorfällen: KI-Systeme können Muster erkennen, die auf einen Datenschutzverstoß hindeuten (z.B. plötzlicher Anstieg von Datenzugriffen, ungewöhnliche Datenübertragungen).
  • Unterstützung bei der Ursachenanalyse: KI kann helfen, die Ursachen und den Umfang eines Datenschutzverstoßes schnell zu analysieren, um geeignete Maßnahmen zur Eindämmung und Behebung einzuleiten.
  • Automatisierte Meldeprozesse: KI kann bei der Erstellung und Übermittlung von Meldungen an die Aufsichtsbehörden unterstützen.

Künstliche Intelligenz und Datenschutz: Anforderungen, Empfehlungen und Positionen der Aufsichtsbehörden

Die deutschen Datenschutz-Aufsichtsbehörden und der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) haben sich ebenfalls intensiv mit den Herausforderungen und Anforderungen von KI und Datenschutz auseinandergesetzt. Sie betonen, dass der Einsatz von KI-Systemen die Einhaltung der Datenschutz-Grundverordnung (DSGVO) erfordert und bieten hierzu verschiedene Orientierungshilfen und Stellungnahmen an.​

Der BfDI hat beispielsweise eine Stellungnahme zur “Generativen Künstlichen Intelligenz” veröffentlicht, in der er auf die Notwendigkeit hinweist, dass KI-Modelle datenschutzkonform entwickelt und eingesetzt werden müssen. Dabei werden insbesondere Fragen der Anonymisierung, der Rechtsgrundlagen für die Datenverarbeitung und der Rechte der betroffenen Personen thematisiert. ​

Die Datenschutzkonferenz (DSK), das Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder, hat eine Orientierungshilfe zu KI und Datenschutz herausgegeben. Diese bietet Verantwortlichen praxisnahe Hinweise, wie sie KI-Anwendungen datenschutzkonform gestalten können, und betont die Bedeutung von Transparenz, Datenminimierung und der Durchführung von Datenschutz-Folgenabschätzungen.

Die deutschen Landesdatenschutzbeauftragten (LfDIs) haben verschiedene Stellungnahmen, Positionspapiere und Orientierungshilfen zum Thema “Künstliche Intelligenz (KI) und Datenschutz” veröffentlicht. Diese Dokumente bieten wertvolle Hinweise für den datenschutzkonformen Einsatz von KI-Systemen. Im Folgenden finden Sie eine Auswahl dieser Veröffentlichungen:​

Bereits gültige Gerichtsurteile zum Thema künstliche Intelligenz und Datenschutz

Bedeutende Urteile, insbesondere zur SCHUFA und Scoring nach Artikel 22 DSGVO, betonen die strikte Einhaltung der DSGVO bei KI-gestützter Entscheidungsfindung, speziell im Profiling. Automatisierte Entscheidungen mit rechtlichen oder erheblichen Auswirkungen erfordern besondere Vorsicht und meist menschliche Überprüfung, um Datenschutzrechte zu wahren. Diese Urteile verdeutlichen aktuelle Herausforderungen und Entwicklungen im Spannungsfeld von KI und Datenschutzrecht in Deutschland.

EuGH-Urteil zum SCHUFA-Scoring

Am 7. Dezember 2023 entschied der Europäische Gerichtshof (EuGH), dass das von der SCHUFA praktizierte Scoring als eine grundsätzlich verbotene automatisierte Entscheidung im Einzelfall gemäß Artikel 22 DSGVO einzustufen ist, sofern diesem Score bei Entscheidungen über Kreditvergaben eine maßgebliche Rolle zukommt. Das bedeutet, dass Entscheidungen, die ausschließlich auf automatisierten Prozessen wie dem SCHUFA-Score basieren und erhebliche Auswirkungen auf die betroffene Person haben, ohne zusätzliche menschliche Überprüfung nicht zulässig sind.

In demselben Urteil stellte der EuGH fest, dass die Praxis der SCHUFA, Informationen über die Erteilung einer Restschuldbefreiung länger zu speichern als das öffentliche Insolvenzregister, nicht mit der DSGVO vereinbar ist. Während das öffentliche Register diese Informationen sechs Monate vorhält, speicherte die SCHUFA sie bislang für drei Jahre. Der EuGH entschied, dass eine längere Speicherung durch private Auskunfteien die Rechte der betroffenen Personen verletzt.

Haftung von KI-Betreibern für Persönlichkeitsrechtsverletzungen

Das Landgericht Kiel entschied am 29. Februar 2024 (Az.: 6 O 151/23), dass Betreiber von KI-Systemen für Persönlichkeitsrechtsverletzungen verantwortlich sind, die durch ihre KI verursacht werden. In diesem Fall hatte ein KI-System unwahre Informationen über ein Unternehmen generiert und veröffentlicht. Das Gericht stellte klar, dass auch KI-generierte Inhalte den Betreiber in die Verantwortung nehmen. ​

Mitbestimmungsrechte des Betriebsrats beim Einsatz von KI

Das Arbeitsgericht Hamburg entschied am 16. Januar 2024 (Az.: 24 BVGa 1/24), dass der Betriebsrat kein Mitbestimmungsrecht hat, wenn Mitarbeiter freiwillig KI-Tools wie ChatGPT über private Accounts nutzen. Da der Arbeitgeber keinen Zugriff auf die vom KI-Betreiber gesammelten Daten hatte, sah das Gericht keinen Überwachungsdruck und somit keine Verletzung der Mitbestimmungsrechte. ​

Online-Kurs KI verstehen – Grundlagen, Gesetze und Datenschutzpraxis

Sie wollen die Grundlagen der Künstlichen Intelligenz verstehen, die aktuellen Gesetze im Blick behalten und wissen, wie Sie Datenschutz in der KI-Praxis sicherstellen? Unser Online-Kurs bietet Ihnen das notwendige Wissen und praktische Werkzeuge, um in der Welt von KI und Datenschutz souverän zu agieren. Entdecken Sie jetzt die Kursinhalte und starten Sie Ihre Weiterbildung!

Weitere Informationen

Fazit: Herausforderungen aus KI und Datenschutz annehmen und Lösungen finden

Der Einsatz von Künstlicher Intelligenz (KI) ist längst keine Zukunftsvision mehr, sondern prägt zunehmend den Alltag von Organisationen. Die KI-Verordnung schafft hierfür einen wichtigen Rechtsrahmen, doch die Einhaltung bestehender Datenschutzgesetze wie der DSGVO bleibt unerlässlich. Dabei ist entscheidend zu verstehen: KI ist ein Werkzeug, dessen datenschutzrechtliche Implikationen sich aus dem konkreten Anwendungsfall und dem verfolgten Zweck ergeben.

Die Integration von KI und Datenschutz erfordert daher eine ganzheitliche Betrachtung, von der klaren Zweckdefinition über die Datenschutz-Folgenabschätzung bis hin zur Beachtung der Datenschutzgrundsätze der DSGVO wie Datenminimierung, Transparenz und Rechenschaftspflicht. Die KI-Verordnung selbst ergänzt diese Anforderungen um spezifische Pflichten, beispielsweise im Umgang mit Trainingsdaten.

Anstatt Datenschutz als Innovationshemmnis zu betrachten, sollten wir die Chancen erkennen, die KI bei der Bewältigung datenschutzrechtlicher Herausforderungen bietet. Von der Automatisierung repetitiver Compliance-Aufgaben bis zur Erkennung von Datenschutzverstößen kann KI ein wertvoller Verbündeter sein.

Die jüngsten Gerichtsurteile, insbesondere zum SCHUFA-Scoring, unterstreichen die Notwendigkeit einer sorgfältigen Prüfung beim Einsatz von KI in Bezug auf automatisierte Entscheidungen und Profiling. Sie mahnen zur Wahrung der Betroffenenrechte und zur Sicherstellung menschlicher Kontrolle in kritischen Entscheidungsprozessen.

Die Zukunft liegt in der intelligenten Verbindung von KI und Datenschutz. Indem wir uns frühzeitig mit den rechtlichen Rahmenbedingungen auseinandersetzen, die Datenschutzgrundsätze konsequent anwenden und die Potenziale von KI zur Unterstützung der Compliance nutzen, können wir innovative Lösungen schaffen, die sowohl den Fortschritt als auch den Schutz personenbezogener Daten in den Mittelpunkt stellen. Es gilt, die Herausforderungen anzunehmen und gemeinsam Wege zu finden, wie KI und Datenschutz in der Praxis Hand in Hand gehen können.

Caroline Schwabe
Neueste Anzeigen von Caroline Schwabe (Alle anzeigen)

Das könnte Sie auch interessieren:

künstliche intelligenz

KI-VO: Regulierung künstlicher Intelligenz

Erfahren Sie alles über die KI-Verordnung der EU und Deutschland: Aktueller Stand, gesetzliche Vorgaben und Auswirkungen.
Weiterlesen

Löschkonzept nach DSGVO

Muster, Vorlagen und Beispiele für Ihr DSGVO Löschkonzept gemäß DIN 66398. Automatisiert das Löschkonzept erstellen.
Weiterlesen

Personenbezogene Daten

Was sind personenbezogene Daten im Datenschutz? Was ist bei der Verarbeitung nach DSGVO zu beachten?
Weiterlesen