Künstliche Intelligenz (KI) hat in den letzten Jahren zunehmend an Bedeutung gewonnen, insbesondere im Bereich der Large Language Models (LLM), also generativer KI. Diese Modelle, die häufig als Chatbots genutzt werden, aber auch für andere Anwendungen dienen können, wurden dank dem ChatGPT schnell in Unternehmen eingeführt, werfen jedoch zahlreiche datenschutzrechtliche Fragen auf, die berücksichtigt werden müssen.
Eine Orientierungshilfe der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder bietet einen umfassenden Überblick über die datenschutzrechtlichen Anforderungen, die für eine konforme Nutzung von KI-Anwendungen zu berücksichtigen sind.
RETAIL-NEWS hat die Orientierungshilfe, die als ausführliche PDF zum Download verfügbar ist, auf die wesentlichen Punkte gekürzt:
Konzeption des Einsatzes und Auswahl von KI-Anwendungen
1.1 Einsatzfelder und Zwecke bestimmen
Bevor eine KI-Anwendung eingesetzt wird, müssen die Verantwortlichen genau festlegen, welche Einsatzfelder vorgesehen sind und welchem Zweck die Anwendung dient. Diese Zweckfestlegung ist entscheidend für den datenschutzkonformen Betrieb, da nur so überprüft werden kann, ob die Verarbeitung personenbezogener Daten zur Zweckerreichung erforderlich ist. Für öffentliche Stellen ist es zudem wichtig sicherzustellen, dass das Einsatzfeld im Rahmen ihrer gesetzlichen Aufgaben liegt und die Datenverarbeitung zur Aufgabenerfüllung notwendig ist.
1.2 Einsatzfelder rechtmäßig?
Einige Einsatzfelder für KI-Anwendungen können von vornherein unzulässig sein. Die europäische KI-Verordnung verbietet beispielsweise Praktiken wie „Social Scoring“ und biometrische Echtzeitüberwachung öffentlicher Räume oder erlaubt sie nur unter sehr engen Bedingungen.
1.3 Einsatzfelder ohne personenbezogene Daten?
Es kann vorkommen, dass bestimmte Einsatzfelder keinerlei personenbezogene Daten beinhalten. In solchen Fällen unterliegen diese Bereiche nicht dem Datenschutzrecht. Dennoch sollte geprüft werden, ob ein Personenbezug durch andere Merkmale möglich ist, und diese Prüfung sollte über den gesamten Lebenszyklus der Daten hinweg erfolgen.
1.4 Datenschutzkonformes Training von KI-Anwendungen
Bei der Auswahl von KI-Anwendungen ist zu berücksichtigen, ob diese datenschutzkonform trainiert wurden. Verantwortliche müssen sicherstellen, dass Fehler beim Training nicht die Datenverarbeitung in ihrer Verantwortlichkeit beeinträchtigen.
1.5 Rechtsgrundlage für die Datenverarbeitung?
Für jeden Verarbeitungsschritt, bei dem personenbezogene Daten verarbeitet werden, ist eine datenschutzrechtliche Rechtsgrundlage erforderlich. Diese kann je nach Anwendung und Institution variieren.
1.6 Keine automatisierte Letztentscheidung
Entscheidungen mit Rechtswirkung dürfen grundsätzlich nur von Menschen getroffen werden. Eine lediglich formelle Beteiligung eines Menschen im Entscheidungsprozess ist nicht ausreichend.
1.7 Geschlossenes oder offenes System?
KI-Anwendungen können als geschlossene oder offene Systeme konzipiert sein. Geschlossene Systeme bieten aus datenschutzrechtlicher Sicht Vorteile, da die Kontrolle über Ein- und Ausgabedaten bei den Anwendenden bleibt.
1.8 Transparenz
Verantwortliche müssen sicherstellen, dass ihnen vom Anbieter ausreichend Informationen zur Verfügung gestellt werden, um die Transparenzanforderungen der Datenschutz-Grundverordnung (DS-GVO) umzusetzen.
1.9 Transparenz und Wahlmöglichkeit hinsichtlich KI-Training
Es muss geprüft werden, ob Ein- und Ausgabedaten für das Training verwendet werden und ob Nutzerdie Möglichkeit haben, diese Nutzung auszuschließen.
1.10 Transparenz und Wahlmöglichkeit hinsichtlich Eingabe-Historie
Nutzersollten selbst entscheiden können, ob ihre Eingabe-Historie gespeichert wird.
1.11 Berichtigung, Löschung und weitere Betroffenenrechte
Verantwortliche müssen gewährleisten, dass betroffene Personen ihre Rechte auf Berichtigung und Löschung ausüben können.
1.12 Datenschutzbeauftragte und Beschäftigtenvertretung einbinden
Datenschutzbeauftragte und Beschäftigtenvertretungen sollten bei Entscheidungen über KI-Anwendungen eingebunden werden.
Implementierung von KI-Anwendungen
2.1 Verantwortlichkeit festlegen und verbindlich regeln
Die Verantwortlichkeit muss klar festgelegt und verbindlich geregelt werden, besonders bei der Nutzung externer KI-Anwendungen.
2.2 Interne Regelungen treffen
Es sollten klare interne Regelungen für den Einsatz von KI-Anwendungen getroffen werden, um unkontrollierte Nutzung durch Beschäftigte zu vermeiden.
2.3 Datenschutz-Folgenabschätzung
Vor der Verarbeitung personenbezogener Daten ist eine Datenschutz-Folgenabschätzung (DSFA) durchzuführen, wenn ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen besteht.
2.4 Beschäftigte schützen, betriebliche Accounts einrichten
Beschäftigte sollten für die Nutzung von KI-Anwendungen betriebliche Geräte und Accounts nutzen, um die Entstehung von Profilen zu vermeiden.
2.5 Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen
Technische und organisatorische Maßnahmen sollten ergriffen werden, um die Datenschutzgrundsätze umzusetzen.
2.6 Datensicherheit
KI-Anwendungen müssen den Anforderungen an IT-Sicherheit genügen, um unbefugten Zugriff zu verhindern.
2.7 Beschäftigte sensibilisieren
Beschäftigte sollten durch Schulungen und Leitfäden über den datenschutzkonformen Einsatz von KI-Anwendungen informiert werden.
2.8 Weitere Entwicklungen verfolgen
Verantwortliche müssen aktuelle Entwicklungen im rechtlichen und technischen Bereich verfolgen, um die internen Vorgaben gegebenenfalls anzupassen.
Nutzung von KI-Anwendungen
3.1 Vorsicht bei Eingabe und Ausgabe personenbezogener Daten
Bei der Eingabe und Ausgabe personenbezogener Daten ist besondere Vorsicht geboten. Es muss sichergestellt werden, dass betroffene Personen über die Verwendung ihrer Daten informiert sind.
3.2 Besondere Vorsicht bei besonderen Kategorien personenbezogener Daten
Besondere Kategorien personenbezogener Daten unterliegen strengen Schutzvorschriften und dürfen nur unter bestimmten Bedingungen verarbeitet werden.
3.3 Ergebnisse auf Richtigkeit prüfen
Die Ergebnisse von KI-Anwendungen müssen auf ihre Richtigkeit überprüft werden, um unzulässige Verarbeitungen zu vermeiden.
3.4 Ergebnisse und Verfahren auf Diskriminierung prüfen
Verantwortliche müssen sicherstellen, dass die Ergebnisse von KI-Anwendungen keine diskriminierenden Auswirkungen haben.