News

KI und Daten­schutz: Orientierungs­hilfe der Konferenz der unabhängigen Datenschutz­behörden (DSK)

07.05.2024

Die Konferenz der unabhängigen Datenschutzbehörden (DSK) hat am 06.05.2024 eine Orientierungshilfe zum Thema „Künstliche Intelligenz und Datenschutz“ veröffentlicht.

Nachdem bereits einzelne Aufsichtsbehörden auf Landesebene Checklisten und erste Handreichungen veröffentlich hatten, liegt nun auch ein seitens aller nationalen Aufsichtsbehörden abgestimmtes Papier vor.

Die DSK adressiert primär den Anwender von KI-Systemen, im typischen Fall das Unternehmen, das KI-Anwendungen zu eigenen Geschäftszwecken einsetzt. Die DSK betont den Überblickscharakter der Orientierungshilfe, die zukünftig erweitert und aktualisiert werden soll.

In diesem „ersten Aufschlag“ einer Orientierungshilfe sammelt die DSK typische datenschutzrechtliche Anforderungen an Verarbeitungstätigkeiten (meist in der Praxis in Gestaltung konkreter Geschäftsprozesse) und setzt sie in den Kontext des Einsatzes von KI-Anwendungen, etwa unter folgenden Aspekten:

  • Personenbezug: Das tendenziell weite Verständnis von Personenbezug führt demnach zu einer weitreichenden Anwendung der DS-GVO. Bloß oberflächlich pseudonymisierte Eingaben würden danach regelmäßig nicht ausreichen, um eine Eingabe personenbezogener Daten zu vermeiden.
  • Zweckbindung und Rechtmäßigkeit: Das der DS-GVO immanente Gebot der Zweckfestsetzung ist auch bei KI-Anwendungen entscheidend und steht am Beginn einer jeden rechtlichen Prüfung.
  • Besondere Verarbeitungskonstellationen etwa nach Art. 22 DS-GVO (Automatisierte Entscheidungsfindung) sind zu beachten und auf Prozessebene rechtskonform zu gestalten.
  • Transparenz- und Informationspflichten: Der Verantwortliche muss sicherstellen, dass bei ihm ausreichend Informationen über die KI-Anwendungen zur Verfügung stehen, um hinreichende Betroffeneninformationen nach Art. 12 ff DS-GVO erstellen zu können.
  • Datenschutzrechtliche Rollen: Während bei der Nutzung von KI-Anwendung als klassische SaaS-Lösung im Grundsatz von einer Auftragsverarbeitung auszugehen sei, könne etwa schon das kooperative Training einer KI mit Datensätzen durch unterschiedliche Parteien eine gemeinsame Verantwortlichkeit begründen.
  • Datenschutzfolgenabschätzung (DSFA): Eine DSFA soll vielfach notwendig sein. Die DSK verweist auf bestehende Muss-Listen. Auch hier wird auf ein ggf. beim Verantwortlichen vorhandenes Informationsdefizit verwiesen, das der Verantwortliche durch Rückfragen beim Anbieter des KI-Systems beheben muss.
  • Richtigkeit der Ausgaben: Interessanterweise erteilt die DSK dem (faktischen) Argument, große Sprachmodelle (LLMs) seien nur „stochastische Papageien“ (stochastic parrots) und man könne keine „Richtigkeit“ der Ausgaben erwarten, eine (datenschutz-)rechtliche Absage. Unrichtige Ergebnisse können – so die DSK – zu unzulässigen Verarbeitungsvorgängen führen. Angesichts des datenschutzrechtlichen Grundsatzes der „Richtigkeit“ (Art. 5 (1) (d) DS-GVO) müssten laut DSK Korrekturen unmittelbar in der KI-Anwendung „umsetzbar“ sein, was etwa durch „Nachtraining/Fine Tuning“ erreicht werden soll.
  • (Data-)Governance: KI und Datenschutz sollte Teil der unternehmensinternen Governance sein. Auch eine Betriebsratsbeteiligung ist bei Einführung von KI-Anwendungen jeweils zu prüfen.

Die Orientierungshilfe „KI und Datenschutz“ zeigt auf, dass der Einsatz von KI-Anwendungen datenschutzrechtlich äußerst relevant ist und dass die DS-GVO de facto einen der wesentlichsten Teile der europäischen KI-Regulierung bildet.

So positionieren sich auch die Datenschutzaufsichtsbehörden und erklären die Bereitschaft als Marküberwachungsbehörden im Sinne der KI-VO (AI Act) zu agieren.

Mit Blick auf das weitere Europäische Datenrecht (einschließlich KI-regulatorischer Vorgaben) wird perspektivisch insgesamt eine robuste und effiziente Data Compliance Governance unerlässlich sein.

Wir unterstützen Sie gerne in allen Fragen der Datenregulierung und dem datenrechtskonformen Einsatz von KI-Anwendungen.