Update Datenschutz Nr. 178
Datenschutzkonforme Nutzung von künstlicher Intelligenz – Datenschutzbehörden veröffentlichen Orientierungshilfe
Die Nutzung von Künstlicher Intelligenz (KI) bietet Unternehmen zahlreiche Vorteile, von der Automatisierung von Prozessen bis hin zur Verbesserung von Kundenservices. Doch mit diesen Vorteilen kommen auch Herausforderungen, insbesondere im Bereich des Datenschutzes. Die kürzlich veröffentlichte Orientierungshilfe der deutschen Datenschutzkonferenz bietet Unternehmen wertvolle Richtlinien zur datenschutzkonformen Nutzung von KI-Anwendungen. Dieser Artikel fasst die wesentlichen Punkte der Orientierungshilfe zusammen und gibt konkrete Vorgaben zur Umsetzung in der Praxis, chronologisch sortiert nach den Einsatzgebieten im Unternehmen.
1. Konzeption des Einsatzes und Auswahl von KI-Anwendungen
Gemäß Orientierungshilfe sollten Unternehmen vor der Implementierung einer KI-Anwendung explizit festlegen, welche Einsatzfelder für die KI vorgesehen sind und welchen Zweck sie erfüllen soll. Nur hierdurch könne überprüft werden, ob die Verarbeitung personenbezogener Daten erforderlich ist. In der Praxis erfolgt eine solche Festlegung durch Erstellung einer unternehmensinternen KI-Richtlinie.
Im Rahmen dieser Festlegung sollten die neuen Vorgaben der KI-Verordnung berücksichtigt werden, die ja bestimmte (etwa manipulative) KI-Systeme verbieten und andere (Hochrisiko-)KI-Systeme unter strenge Bedingungen stellen.
Im Rahmen der Vorprüfung ist nach Ansicht der Behörden zudem frühzeitig zu klären, ob für das Training personenbezogene Daten verwendet müssen und falls ja, ob hierfür eine entsprechende Rechtsgrundlage vorliegt. Fehler beim Training dürfen sich nicht negativ auf die Datenverarbeitung im Unternehmen auswirken.
Für jede Verarbeitung personenbezogener Daten mittels KI ist hiernach eine datenschutzrechtliche Rechtsgrundlage erforderlich. Diese kann je nach Anwendungsbereich unterschiedlich sein (z. B. Personalwesen, Gesundheitswesen).
Automatisierte Entscheidungen mit Rechtswirkung dürfen gemäß Orientierungshilfe grundsätzlich nur von Menschen getroffen werden. Eine rein formelle Beteiligung eines Menschen ist nicht ausreichend.
Bei der Wahl eines KI-Systems wird empfohlen, auf geschlossene Systeme zu setzen, also solche, die in einer eingegrenzten und technisch abgeschlossenen Umgebung arbeiten. Denn offene Systeme, die etwa über Internet für einen unbestimmten Anwenderkreis zugänglich sind, bergen die Gefahr, dass Eingabedaten zu anderen Zwecken weiterverarbeitet oder unbefugten Dritten zugänglich werden.
Die DSK weist darauf hin, dass vor Nutzung von KI-Systemen ausreichend Informationen zur Funktionsweise der KI bereitgestellt werden müssen, um den Transparenzanforderungen der DSGVO zu genügen. Auch im Hinblick auf die Nutzung ihrer Trainingsdaten sind die Nutzer zu informieren, mit der Möglichkeit, eine solche Nutzung abzulehnen. Die Speicherung der Eingabe-Historie sollte nach Ansicht der Behörden optional sein.
Im Hinblick auf Betroffenenrechte ist gemäß Orientierungshilfe von Unternehmen sicherzustellen, dass solche Rechte (etwa Berichtigung oder Löschung) auch ausgeübt werden können, was geeignete organisatorische und technische Maßnahmen voraussetzt.
Es wird explizit darauf hingewiesen, dass sowohl Datenschutzbeauftragte als auch Betriebs- oder Personalräte in Entscheidungsprozesse über den Einsatz von KI eingebunden werden sollten.
2. Implementierung von KI-Anwendungen
Auch im Hinblick auf die Implementierung von KI-Systemen fordern die Behörden die Festlegung klarer Verantwortlichkeiten, bestenfalls innerhalb einer KI-Richtlinie; mit klaren Vorgaben für die Nutzung solcher Applikationen.
Bei hohem Risiko für die Rechte und Freiheiten natürlicher Personen wird auf die Notwendigkeit zur Durchführung einer Datenschutz-Folgenabschätzung verwiesen.
Soweit Beschäftigte KI-Anwendungen beruflich nutzen sollen, so ist sicherzustellen, dass eine solche Nutzung nur über vom Arbeitgeber bereitgestellte Geräte und Accounts möglich ist, um die Erstellung von Profilen zu vermeiden.
KI-Anwendungen müssen nach Hinweis der Orientierungshilfe neben den datenschutzrechtlichen auch die allgemeinen IT-Sicherheitsanforderungen erfüllen, wie sie in Art. 32 DSGVO vorgesehen sind.
Beschäftigte sollten durch Schulungen und Leitfäden für den datenschutzkonformen Einsatz von KI sensibilisiert werden.
Rechtliche und technische Entwicklungen zur KI-Nutzung sind von den Verantwortlichen regelmäßig zu überprüfen und interne Vorgaben gegebenenfalls anzupassen.
3. Nutzung von KI-Anwendungen
Im Hinblick auf eine Nutzung von KI-Systemen im Unternehmen müssen betroffene Personen (insbesondere Mitarbeiter, aber auch Kunden) zuvor über die Verwendung ihrer Daten transparent informiert werden.
Die Verarbeitung besonders schutzwürdiger Daten ist grundsätzlich verboten und nur unter den Bedingungen des Art. 9 DSGVO zulässig. Die Verarbeitung von Gesundheitsdaten oder solchen zur politischen Gesinnung in KI-Systemen erfordern daher im Regelfall die vorherige Einwilligung der Betroffenen.
Zur Sicherstellung der Datenrichtigkeit müssen die Ergebnisse von KI-Anwendungen gemäß Ansicht der Datenschutzbehörden kritisch hinterfragt und auf ihre Richtigkeit überprüft werden, um unzulässige Verarbeitungen zu vermeiden.
Ergebnisse von KI-Anwendungen dürfen hiernach zudem keine diskriminierenden Auswirkungen haben. Verantwortliche müssen sicherstellen, dass die Ergebnisse im gesetzlichen Rahmen tragbar sind.
4. Fazit und Checkliste
Die Orientierungshilfe der Datenschutzbehörden bietet einen umfassenden Leitfaden für den datenschutzkonformen Einsatz von KI-Anwendungen. Unternehmen müssen in jeder Phase – von der Konzeption über die Implementierung bis hin zur Nutzung – sorgfältig vorgehen, um die Rechte der betroffenen Personen zu schützen.
Folgende Schritte sind empfehlenswert bei geplantem Einsatz von KI-Systemen im Unternehmen:
- Einsatzfelder und Zwecke festlegen: Definieren Sie klar die Einsatzfelder und Zwecke der KI-Anwendung, bestenfalls durch eine KI-Richtlinie.
- Rechtsgrundlage prüfen: Stellen Sie sicher, dass eine datenschutzrechtliche Rechtsgrundlage für jede Verarbeitung personenbezogener Daten vorhanden ist.
- Transparenz gewährleisten: Informieren Sie Betroffene umfassend und verständlich über die Datenverarbeitung.
- Betroffenenrechte sicherstellen: Implementieren Sie organisatorische und technische Maßnahmen, um Betroffenenrechte zu gewährleisten.
- Datenschutz-Folgenabschätzung durchführen: Bewerten Sie die Risiken der Datenverarbeitung und führen Sie bei hohem Risiko eine Datenschutz-Folgenabschätzung durch.
- Datensicherheit gewährleisten: Erfüllen Sie die allgemeinen IT-Sicherheitsanforderungen, wie in Art. 32 DSGVO vorgesehen.
- Beschäftigte sensibilisieren: Schulen Sie Ihre Mitarbeiter im datenschutzkonformen Einsatz von KI.
- Fortlaufende Überprüfung: Verfolgen Sie rechtliche und technische Entwicklungen und passen Sie Ihre internen Vorgaben regelmäßig an.
- KI-Verordnung: Beachten Sie die neuen Vorgaben der KI-Verordnung (AI-Act), die in wenigen Tagen in Kraft treten dürfte.