Relevanz der DS-GVO im Zusammenhang mit Künstlicher Intelligenz
Die Möglichkeit, Informationen und Daten zu sammeln sowie sie effizient zu verarbeiten, stellt einen der wesentlichen Vorzüge dar, die KI-Tools bieten. Insbesondere um Zeit zu sparen, erscheint es verlockend, als Unternehmen von dieser Funktionalität Gebrauch zu machen.
In Unternehmen wird eine beträchtliche Menge an personenbezogenen Daten der Mitarbeitenden verarbeitet, darunter viele äußerst sensible Informationen. Wenn nun die Möglichkeiten der künstlichen Intelligenz genutzt werden soll, sei es für die Analyse von Gesundheitsdaten, die Zusammenstellung von Finanzberichten oder die Auswertung von Kundenprofilen, ist äußerste Vorsicht geboten.
Sobald in die KI personenbezogenen Daten eingegeben werden, unterliegt die Verarbeitung der DS-GVO. Daher ist das Thema der Sicherstellung der Betroffenenrechte von entscheidender Bedeutung.
Betroffenenrechte
Die Betroffenenrechte spielen eine zentrale Rolle im Schutz personenbezogener Daten und im Recht auf informationelle Selbstbestimmung. Jede Person hat das Recht zu bestimmen, wer Zugriff auf ihre Daten hat und wie sie verarbeitet werden. In den Artikeln 12 ff. DS-GVO werden konkrete Betroffenenrechte definiert, die als Kontrollmechanismen für die Datenverarbeitung dienen. Ziel ist es, eine Balance zwischen Datenschutz und anderen Interessen, wie der unternehmerischen Freiheit, herzustellen. Die DS-GVO gewährt den Betroffenen transparente Informationen und die Möglichkeit zur Kommunikation mit den datenverarbeitenden Stellen.
Zu den Betroffenenrechten gehören:
- Recht auf Auskunft (Art. 15 DS-GVO)
- Recht auf Berichtigung (Art. 16 DS-GVO)
- Recht auf Löschung (Art. 17 DS-GVO)
- Recht auf Einschränkung (Art. 18 DS-GVO)
- Recht auf Datenübertragbarkeit (Art. 20 DS-GVO)
- Recht auf Widerspruch (Art. 21 DS-GVO)
- Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DS-GVO)
- Recht keiner automatisierten Entscheidung unterworfen zu werden (Art. 22 DS-GVO)
- Beschwerderecht bei der Aufsichtsbehörde (Art. 77 DS-GVO i. V. m. § 19 BDSG)
Auftragsverarbeitung
Die Datenverarbeitung erfolgt in der Regel auf den Servern des Anbieters des KI-Systems. Da der KI-Anbieter die Daten im Auftrag und auf Weisung des Unternehmens verarbeitet, ist es naheliegend, dass der Anbieter ein Auftragsverarbeiter sein sollte. In dem Fall wäre ein Auftragsverarbeitungsvertrag abzuschließen.
Es ist davor allerdings zu prüfen, ob der Anbieter den, in der DS-GVO enthaltenen Mindestkatalog an Verpflichtungen, überhaupt einhalten kann. Dies stellt keine einfache Aufgabe dar, da sogar der Anbieter selbst gewisse Aspekte des KI-Modells nicht beeinflussen kann (daher werden KI-Modelle oft als Black Box bezeichnet). Darüber hinaus ist es erforderlich, sicherzustellen, dass die im Auftrag durchzuführende Datenverarbeitung vertraglich in ausreichender Klarheit definiert ist.
Da zahlreiche Anbieter die von KI-Systemen erfassten Daten zur Verbesserung von KI-Systemen verwenden, stellt sich die Frage auf, ob dies mit ihrer Rolle als Auftragsverarbeiter in Einklang steht. Gemäß den Richtlinien der französischen Aufsichtsbehörde (CNIL) ist dies nur mit der ausdrücklichen Zustimmung des Auftraggebers möglich, wobei der Anbieter in diesem Fall als Verantwortlicher für die Verarbeitung angesehen wird.
Sicherstellung von Betroffenenrechten
Unternehmen müssen auch beim Einsatz von KI sicherstellen, dass Betroffene ihre Rechte ausüben können. Als Verantwortliche im Sinne der DS-GVO tragen sie die Verpflichtung, die Rechte der betroffenen Personen gemäß Kapitel 3 der DS-GVO zu wahren. Insbesondere das Recht auf Löschung gemäß Art. 17 DS-GVO kann für Unternehmen eine herausfordernde Aufgabe darstellen.
Unternehmen sind verpflichtet, personenbezogene Daten auf Anfrage zu löschen, sofern die Verarbeitung dieser Daten ausschließlich auf der Grundlage einer erteilten Einwilligung erfolgte.
In Situationen, in denen ein Unternehmen personenbezogene Daten in die Eingabeaufforderung an eine KI übertragen hat und eine Person einen Antrag auf Löschung stellt, muss das Unternehmen ihre Aufzeichnungen in der KI überprüfen und die Informationen löschen. Dies ist erforderlich, wenn folgende Bedingungen erfüllt sind:
- Aufbewahrung von Aufzeichnungen
Wenn die Organisation Aufzeichnungen über die an die KI übermittelten Daten führt, ist sie verpflichtet, diese sorgfältig zu überprüfen und zu löschen.
- Fehlen zusätzlicher zulässiger Zwecke
Wenn die Organisation keine zusätzlichen rechtmäßigen Zwecke hat, um diese Aufzeichnungen der Eingabeaufforderungen zu führen, müssen die Daten gemäß den geltenden Datenschutzbestimmungen gelöscht werden.
Die Herausforderung besteht darin, dass viele generative KI-Systeme möglicherweise nicht in der Lage sind, Daten vollständig zu „vergessen". Stattdessen nutzen sie diese Daten, um ihre eigenen Fähigkeiten zu verbessern. Das bedeutet, dass personenbezogene Daten unwiderruflich in das Daten- und Verhaltensmuster der KI integriert sein können. Dieses Problem kann umgangen werden, indem man die „Nicht-Anlernen“ Funktion aktiviert, um zu verhindern, dass KI Systeme Daten aufnehmen, es sei denn sie sind erforderlich.
Aufgrund ihrer komplexen Struktur ergibt sich bei KI-Systemen das Problem der sogenannten „Black-Box". Selbst für Hersteller von KI-Systemen ist es nicht möglich, vollständig zu offenbaren und nachzuvollziehen, wie die eingegebenen Daten gespeichert und verarbeitet werden. Daher ist es ihnen auch technisch unmöglich, einzelne Daten zu entfernen oder gezielt zu verändern.
Transparenzgebot und Informationspflichten
Wenn ein Arbeitgeber beabsichtigt, KI in seinem Unternehmen zu nutzen, um beispielsweise Berichte zu erstellen, Zusammenfassungen anzufertigen oder Datensätze mit personenbezogenen Daten auszuwerten, ist Transparenz von entscheidender Bedeutung. Hier sind einige wesentliche Aspekte zu beachten:
- Transparente Information der Angestellten
Der Arbeitgeber muss seine Angestellten transparent darüber informieren, wie KI-Technologien in den Arbeitsprozessen eingesetzt werden. Dies umfasst nicht nur die Absicht, KI-Tools zu verwenden, sondern auch die Art und Weise, wie diese Daten verarbeiten.
- Detaillierte Datenaufschlüsselung
Der Arbeitgeber muss genau angeben, welche Arten von Daten für KI-Verarbeitungszwecke genutzt werden. Dies beinhaltet sowohl die Art der Daten als auch deren Herkunft. Eine genaue Aufschlüsselung ermöglicht es den Mitarbeitenden, den Umfang der Datennutzung zu verstehen.
- Offenlegung von Rechtsgrundlagen und Zwecken
Es ist wichtig, die rechtlichen Grundlagen für die Datenverarbeitung zu definieren. Dies kann auf bestehenden Verträgen oder Einwilligungen basieren. Ebenso müssen die konkreten Zwecke der Datenverarbeitung deutlich dargelegt werden, sei es zur Verbesserung von Prozessen oder zur Erstellung von Berichten. Hierzu lohnt sich ein Blick in das Diskussionspapier Version 1.0 vom 07.11.2023 “Rechtsgrundlagen im Datenschutz beim Einsatz von Künstlicher Intelligenz” des LDI Baden-Württemberg.
- Verständliche Kommunikation
Alle Informationen sollten den Mitarbeitenden in einer leicht verständlichen Form zur Verfügung gestellt werden. Dies erleichtert es den Angestellten, die Auswirkungen der KI-Nutzung auf ihre Daten und Privatsphäre zu erfassen.
Handlungsempfehlung
Unternehmen, die KI in ihren Betriebsabläufen nutzen möchten, stehen vor einer Vielzahl von datenschutzrechtlichen Herausforderungen. Es sollte vor der Eingabe personenbezogener Daten immer geprüft werden, ob dies notwendig ist und wenn möglich die Daten pseudonymisiert werden. Falls die Eingabe von personenbezogenen Daten nicht umgangen werden kann, ist es wichtig geeignete Maßnahmen zu ergreifen:
- Überprüfen, ob Durchführung einer Datenschutzfolgenabschätzung (DSFA) notwendig ist
- Richtlinie zum Einsatz von KI im Unternehmen einführen und Einhaltung kontrollieren
- Vertragliche Regelungen, in Form von Auftragsverarbeitungsverträgen (DPA) mit KI-Anbietern abschließen.
- Datenschutzeinstellungen in KI-Systemen überprüfen und aktivieren, um Daten von Anfang an zu schützen.
- „Nicht-Anlernen“-Optionen nutzen, um zu verhindern, dass KI-Systeme Daten aufnehmen, es sein denn, es ist erforderlich. Dies erleichtert die spätere Datenlöschung.