Anwendungsbereiche von Künstlicher Intelligenz (KI) sind vielfältig – sei es im Bereich der Medizin zur Krebserkennung, der Sicherheit zur Gesichtserkennung oder der Medien zur Echtzeitübersetzung. Der Einsatz von KI hat bereits heute das berufliche als auch das persönliche Umfeld transformiert. Ohne Zweifel hat KI auch zukünftig das Potenzial die Wirtschaft und Gesellschaft nachhaltig zu beeinflussen und einen Beitrag in der Wertschöpfungskette zu leisten. Mit jeder neuen Technologie stellt sich auch die Frage nach der Rolle des Datenschutzes.
Um ein KI-Modell (spezifische Architektur der KI) bzw. eine KI-Anwendung (Software für den Anwender basierend auf dem KI-Modell) bewerten zu können, ist es wichtig zu verstehen, wie diese funktionieren.
Damit ein KI-Modell funktioniert, muss dieses lernen. Das Lernen erfolgt anhand sogenannter Trainingsdaten. Je besser die Trainingsdaten sind, desto besser ist das Ergebnis, welches die KI am Ende ausgibt. Problematisch ist hierbei, dass die Hersteller von KI-Modellen den Ursprung der Trainingsdaten zum Teil nicht oder nur teilweise veröffentlichen. Aus Datenschutzsicht wirft dies die Frage auf, ob ein KI-Modell bereits durch die Trainingsdaten einen Personenbezug hat. Bei dem Training eines KI-Modells muss daher darauf geachtet werden, ob und wenn ja welche Trainingsdaten personenbezogen sind. Es sollte daher geprüft werden, ob das Training mit anonymen oder pseudonymen Daten erfolgen kann.
Wenn man heute von KI spricht, meint man meist die Verwendung von sog. neuronalen Netzen. Aus Sicht der Neurowissenschaften wird als neuronales Netz eine beliebige Anzahl miteinander verbundener Neuronen bezeichnet – wie wir es im Nervensystem eines Menschen vorfinden. Diese Strukturen macht man sich in der Informationstechnik zu Nutze und modelliert sie als künstliche neuronale Netze. Neuronale Netze ahmen technisch die Art und Weise nach, wie sonst biologische Neuronen einander Signale senden. Jedes künstliche Neuron ist dabei wiederum mit einem anderen künstlichen Neuron verbunden. Wird ein Neuron aktiviert, sendet dieses Daten an das nächste Neuron. Zum Lernen nutzen die Neuronen innerhalb eines KI-Modells Trainingsdaten. Dabei sollen diese nicht nur die Trainingsdaten auswendig lernen, sondern das enthaltene Wissen auf neue Anwendungsszenarien anwenden können. Wenn eine KI den Wesensgehalt der Trainingsdaten erlernt, nennt man das „Generalisierung“. Vereinfacht gesagt, kann eine KI dann spezifische Aufgaben lösen, indem vorhandenes Wissen auf unbekannte Szenarien angewendet wird.
Das Lösen von Aufgaben kann die KI heutzutage manchmal sogar besser (und schneller) als der Mensch selbst. Allerdings bringen neuronale Netze aufgrund ihrer Nichtlinearität eine gewisse Unberechenbarkeit mit sich. Das bedeutet, dass Aufgaben auch fehlerhaft gelöst werden können, was dazu führt, dass man auch lernen muss mit den Fehlern einer KI umzugehen.
Umso mehr Aufgaben und Tätigkeiten man einer KI überlässt, umso mehr besteht die Realität, dass durch eine KI auch personenbezogene Daten verarbeitet werden. Überall, wo personenbezogene Daten verarbeitet werden, gelten dieselben Grundregeln des Datenschutzrechts, denn Datenschutzrecht ist technikneutral.
Was ist aus Sicht des Datenschutzes bei dem Einsatz einer KI-Anwendung zu beachten?
Es sind verschiedene Maßnahmen zu beachten und umzusetzen. Was genau zu tun ist, hängt wiederum vom individuellen Einsatz der KI-Anwendung ab. Daher ist unsere Empfehlung, Ihren Datenschutzbeauftragten in die Überlegungen zur Nutzung von KI-Anwendungen mit einzubinden. Nachfolgend geben wir Ihnen einen Überblick, was aus unserer Sicht generell berücksichtigt werden muss.
Im Vorfeld der Nutzung einer KI-Anwendung muss geklärt werden durch wen und zu welchem Zweck die KI-Anwendung in der Organisation genutzt werden soll. Es muss geklärt werden, ob personenbezogene oder vertrauliche Daten in die KI-Anwendung eingegeben werden sollen, ob die Anwendung Auswirkungen auf Arbeitsplätze hat (bspw. Überwachung eines Beschäftigten), ob Daten nach außen abfließen können und welche Maßnahmen für die Nutzung getroffen werden müssen. Zudem sollte die Mitarbeitervertretung (Betriebsrat, Personalrat) mit einbezogen werden. Außerdem sollte geprüft werden, ob die KI-Nutzung begrenzt werden muss (bspw. aufgrund von NDAs) oder etwaige Sicherheitsprobleme, die unabhängig von datenschutzrechtlichen Fragestellungen, relevant werden könnten.
Wird in Verbindung mit der Einführung einer KI-Anwendung ein Dienstleister eingesetzt, sind die bestehenden Regelungen zur Auftragsverarbeitung (Art. 28 DSGVO) zu beachten. Bei der Prüfung des Dienstleisters sollte auch beachtet werden, ob der Dienstleister eingegebene Daten für eigene Zwecke verwendet. Ist dies der Fall, kann ein Vertragsverhältnis mit dem Dienstleister aus Datenschutzsicht problematisch sein.
Wenn der Dienstleister seinen Unternehmenssitz aus Datenschutzsicht in einem Drittland hat, sind besondere Anforderungen an die Verarbeitung der Daten zu stellen. Die Übermittlung von personenbezogenen Daten an eine internationale Organisation ist daher nur zulässig, wenn die besonderen Voraussetzungen der Art. 44 bis 50 DSGVO eingehalten werden, um die Sicherheit der Daten und die Einhaltung der Betroffenenrechte zu gewährleisten.
Es ist zu prüfen, auf welcher Grundlage eine Verarbeitung der personenbezogenen Daten stattfinden kann. Bei der Nutzung einer KI-Anwendung kommt eine Verarbeitung auf Grundlage eines berechtigten Interesses in Betracht. Fraglich ist, ob bei dem Einsatz einer KI-Anwendung die Interessen des Verantwortlichen die Interessen, Grundrechte und Grundfreiheiten der Betroffenen überwiegen. Um dies zu ermitteln, muss eine Interessenabwägung durchgeführt werden. Wenn sensible Daten gem. Art. 9 DSGVO verarbeitet werden sollen, ist gesondert zu prüfen, auf welcher Rechtsgrundlage die Verarbeitung erfolgen kann.
Die Pflicht zur Führung eines Verzeichnisses der Verarbeitungstätigkeiten ergibt sich aus Art. 30 DSGVO. Zweck des Verzeichnisses ist es Transparenz über sämtliche Datenverarbeitungen zu erhalten. Darüber hinaus bildet es den Ausgangspunkt für die Bewertung der einzelnen Verarbeitungen. Beim Einsatz einer KI-Anwendung bildet das Verzeichnis der Verarbeitungstätigkeiten den Ausgangspunkt für die datenschutzrechtliche Bewertung sowie eine gute Basis für die datenschutzrechtliche Dokumentation.
Bei der Betrachtung des Einsatzes einer KI-Anwendung ist es notwendig die potenziellen Schäden, die aus einer möglichen Datenschutzverletzung resultieren können, zu evaluieren. Dies können Schäden physischer, materieller oder immaterieller Natur sein. Zur Ermittlung des Risikos wird die Eintrittswahrscheinlichkeit und die Schwere des potenziellen Schadens in Relation gesetzt. Es können sich beim Einsatz einer KI-Anwendung verschiedene Risiken ergeben, bspw. mangelnde Transparenz durch unvollständige Datenschutzhinweise, Fehlerpotenzial neuronaler Netze, Diskriminierung durch die KI oder fehlende Verlässlichkeit der KI.
Es müssen zudem die potenziellen Risiken, die bei der Verarbeitung der personenbezogenen Daten mittels einer KI-Anwendung entstehen können, im Detail betrachtet werden. Die Risikobewertung gibt bereits vor der DSFA einen Überblick, ob sich durch den Einsatz einer KI-Anwendung hohe Risiken für die Betroffenen ergeben. Bei einem voraussichtlich hohen Risiko ist in einer detaillierteren Risikoanalyse, der DSFA, zu prüfen, ob das Risiko durch geeignete Maßnahmen reduziert werden kann. Wenn ein hohes Risiko gegeben ist oder die DSFA laut der Liste der DSK oder der Leitlinien der Artikel-29-Gruppe (WP248) durchgeführt werden muss, ist die Durchführung zwar verpflichtend, bietet Organisationen aber auch ein strukturiertes Mittel, um den KI-Einsatz in der Organisation im Detail zu betrachten.
Betroffenenrechte definieren die Rechte der Personen, die von einer Datenverarbeitung betroffen sind. Gerade beim Einsatz von KI-Anwendungen sind diese wesentlich, damit Betroffene ihr Recht auf informationelle Selbstbestimmung ausüben können – vor allem da KI-Anwendungen in der breiten Bevölkerung zum Teil noch Unsicherheiten auslösen.
Bei dem Einsatz einer KI-Anwendung müssen Datenschutzhinweise entsprechend den Vorgaben des Art. 13 DSGVO zur Verfügung gestellt werden. Im Umgang mit Betroffenenanfragen müssen Prozesse etabliert werden, um sicherzustellen, dass bspw. dem Recht auf Auskunft oder Löschung vollumfänglich entsprochen werden kann.
Alle Beschäftigten innerhalb der Organisation sollten im Umgang mit der KI-Anwendung geschult werden. Dabei ist vor allem darauf einzugehen, wie die KI-Anwendung zu verwenden ist, welche personenbezogenen Daten überhaupt innerhalb der KI-Anwendung verarbeitet werden dürfen und auch welche möglichen Fehlerpotenziale die KI-Anwendung aufweisen kann.
Es empfiehlt sich, als organisatorische Maßnahme durch das Erlassen einer KI-Richtlinie innerbetriebliche Vorgaben zur Nutzung der KI-Anwendung für alle Beschäftigten verbindlich festzulegen.
KI prägt die heutige Wirtschaftswelt und macht es notwendig auch den Datenschutz in den Mittelpunkt zu stellen. Die Herausforderungen sind aus Datenschutzsicht vielfältig, aber durch den richtigen Umgang mit KI und durch die Implementierung geeigneter Maßnahmen können Organisationen wirkungsvolle Lösungsansätze zum Umgang mit KI entwickeln. Die Balance zwischen Künstlicher Intelligenz und Datenschutz zu finden liegt in der Verantwortung der Organisationen – denn nur durch einen verantwortungsvollen Umgang mit KI können die Mehrwerte von KI im Einklang mit datenschutzrechtlichen Bestimmungen genutzt werden.
Unsere Empfehlung für Sie
Das Bayerische Landesamt für Datenschutzaufsicht (LDA Bayern) geht in einer kürzlich veröffentlichten Checkliste zum Thema „Datenschutzkonforme künstliche Intelligenz“ vom 24. Januar 2024 auf die datenschutzrechtlichen Besonderheiten beim Training von KI-Modellen und beim Einsatz einer KI-Anwendung ein. Aus unserer Sicht empfiehlt es sich die wichtigen Prüfschritte und Ansätze zum Umgang mit KI-Modellen und KI-Anwendungen in der Praxis zu beachten. Darüber hinaus können Sie durch die Einhaltung der neun aufgelisteten Punkte wesentlich zu einer datenschutzkonformen Nutzung von KI gelangen.
Hinweise: Das Blogbild unseres heutigen Beitrags wurde mit der generativen KI „Firefly“ von Adobe erstellt. Dieser Beitrag wurde nach aktuellem Kenntnisstand bei der Veröffentlichung erstellt. Für die Richtigkeit und Vollständigkeit des Beitrags übernehmen wir keine Gewähr. Wir weisen darauf hin, dass dieser Beitrag nicht alle Besonderheiten des Einzelfalls berücksichtigt und daher keine individuelle Beratung zu einem konkreten Sachverhalt ersetzt.Aus Gründen der besseren Lesbarkeit wird in diesem Beitrag bei der allgemeinen Bezeichnung von Personengruppen auf die gleichzeitige Verwendung männlicher und weiblicher Sprachformen verzichtet und stattdessen das generische Maskulinum verwendet. Sofern nicht explizit anders erwähnt, sind damit jedoch auch stets weibliche oder anderweitige Geschlechteridentitäten gemeint. Diese Vorgehensweise dient lediglich der Vereinfachung und soll keine Diskriminierung darstellen.