Das Bayerische Landesamt für Datenschutz (BayLDA) veröffentlicht KI-Checkliste und Flyer
Der Einsatz von solchen KI-Systemen wirft damit auch zwangsläufig datenschutzrechtliche Fragen auf, die sich an die Anforderungen und den Einsatz der KI-Systeme richtet.
Um in diesem Zusammenhang Klarheit zu schaffen, hat das BayLDA einen Flyer sowie eine Checkliste zum Thema "KI und Datenschutz" veröffentlicht. Unternehmen erhalten damit eine Orientierungshilfe, um das Training und den Einsatz von KI-Systemen datenschutzkonform zu gestalten.
Verständnis von „künstlicher Intelligenz“
Der Entwurf des AI-Act legt in Artikel 3 eine Legaldefinition für den Begriff „künstliche Intelligenz“ fest.
„Für die Zwecke dieser Verordnung [AI-Act] bezeichnet der Ausdruck System der künstlichen Intelligenz‘ (KI-System) eine Software, die mit einer oder mehreren […] Techniken und Konzepte entwickelt worden ist und im Hinblick auf eine Reihe von Zielen, die vom Menschen festgelegt werden, Ergebnisse wie Inhalte, Vorhersagen, Empfehlungen oder Entscheidungen hervorbringen kann, die das Umfeld beeinflussen, mit dem sie interagieren“.
Die Checkliste des BayLDA bezieht sich jedoch nicht auf den KI-Begriff im Allgemeinen. Es unterscheidet vielmehr zwischen dem Training der KI-Systeme und dem Einsatz der KI-Systeme. Das BayLDA hält für beide Varianten unterschiedliche Checklisten bereit.
Relevante Aspekte aus beiden Checklisten für KI-Systeme
Die datenschutzrechtlichen Anforderungen an das Training und den Einsatz von KI-Systemen variieren folglich je nach Anwendungsfall. Einige dieser Anforderungen finden sich jedoch in beiden Checklisten wieder. Nachfolgend sind die wesentlichsten dieser Anforderungen aufgelistet:
Informationspflichten (Art. 12 ff. DS-GVO)
Die Umsetzung der Informationspflichten nach Art. 12 ff. DS-GVO (auch dann, wenn ein KI-as-a-Service Dienst verwendet wird) ist erforderlich. Die Informationspflichten nach Art. 12 ff. der DS-GVO verpflichten den Verantwortlichen der betroffenen Person klare und umfassende Informationen über die Verarbeitung ihrer personenbezogenen Daten zu liefern. Dies beinhaltet Details wie den Zweck der Datenverarbeitung, die Rechtsgrundlage und an wen die Daten weitergegeben werden.
Betroffenenrechte (Art. 15, 16, 17, 18,20, 21 DS-GVO)
Die Sicherstellung das Betroffenenrechte zur Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch gegen die Verarbeitung im Datenschutzmanagement berücksichtigt werden. Die Betroffenenrechte ermöglichen es den betroffenen Personen, ihre personenbezogenen Daten zu kontrollieren.
Dienstleisterbeauftragung (Art. 26, 28,44-50 DS-GVO)
Bei der Beauftragung eines Dienstleisters für den Einsatz von KI müssen geeignete Garantien und Rechtsgrundlagen geprüft werden, wenn z. B. ein Drittlandbezug besteht (Angemessenheitsbeschluss, Standardvertragsklauseln, EU-US Data Privacy Framework). Außerdem muss ggf. ein Auftragsverarbeitungsvertrag geschlossen werden.
Aufnahme in das Verzeichnis der Verarbeitungstätigkeiten (VVT) (Art. 30 DS-GVO)
Das Training oder die Verwendung der KI-Systeme müssen in das Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DS-GVO aufgenommen werden. Bei Training oder Verwendung mehrerer KI-Systeme mit unterschiedlichen KI-Technologien, Zwecken, Kategorien personenbezogenen Daten und ggf. Empfängern im Drittland empfiehlt es sich nach Ansicht der Aufsichtsbehörde, jeweils einen eigenen Eintrag aufzunehmen.
Rechtsgrundlage bei Verarbeitung personenbezogener Daten
Es ist zu überprüfen, ob bei der Verarbeitung personenbezogener Daten eine gültige Rechtsgrundlage gem. Art. 6 DS-GVO vorhanden ist.
Datenschutzfolgeabschätzung (Art. 35 DS-GVO)
Es muss geprüft und dokumentiert werden, ob eine Datenschutzfolgenabschätzung (DSFA) erforderlich ist. Eine DSFA ist ein Prozess, der dazu dient, das Risiko zu erkennen, zu bewerten und zu bewältigen. Es handelt sich um ein Instrument im Datenschutz, das prüft, ob eine Verarbeitung von personenbezogenen Daten ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt.
Bewertung von Risiken bei KI
Unabhängig von den Checklisten adressiert das BayLDA auch wie die Risiken bei der Erzeugung von KI-Modellen als auch deren Betrieb bewertet werden sollen. Bei der Durchführung einer DSFA nach Art. 35 DS-GVO stellen die spezifischen Risiken von KI den Kern der DSFA dar (der Output von KI-Modellen birgt folglich immer auch Risiken z. B. wenn Anleitungen zur Ausführung illegaler Aktivitäten generiert werden). Die DS-GVO adressiert in ihren Erwägungsgründen auch diese Risiken, indem sie eine objektive Methode zur Bestimmung der Auswirkungen vorschreibt (EW76) und wirksame Maßnahmen zur Risikoeindämmung fordert (Art. 25, 35 DS-GVO). Verantwortliche und Auftragsverarbeiter müssen sich der spezifischen Risiken also bewusst sein und diese gemäß der Rechenschaftspflicht nach Art. 5 Abs. 2 DS-GVO dokumentieren.
Um die für die DSFA erforderlichen spezifischen Risiken zu identifizieren und angemessen bewerten zu können, hat das BayLDA Schutzziele in einem Risikomodell definiert:
- Fairness
Es sollen keine unvertretbaren Risiken in Bezug auf Diskriminierung oder Ungleichbehandlung vorhanden sein.
- Autonomie und Kontrolle
Es sollen Eingriffsmöglichkeiten in den Betrieb bei einer KI-Anwendung existieren bzw. Entscheidungen mit Rechtswirkung sollen nicht ohne menschliche Kontrolle erfolgen.
- Transparenz
Es sollen Betroffene über die Verwendung ihrer personenbezogenen Daten beim Training von KI-Modellen informiert werden. Gleichzeitig ist sicherzustellen, dass KI-Systeme prüfbar im Sinne der Rechenschaftspflicht (s. o.) sind.
- Verlässlichkeit
Es soll gewährleistet sein, dass KI-Systeme zuverlässig innerhalb ihrer tolerierbaren Fehlergrenzen operieren und gegen manipulative Eingriffe geschützt sind.
- Sicherheit
Es sollen ungewollte technische Störungen (z. B. Hardwarefehler) aber vor allem unbefugte Zugriffe/Änderungen (Manipulation von Trainingsdaten) wirksam verhindert werden können.
- Datenschutz
Es sollen Rechtsgrundlagen vorliegen falls personenbezogene Daten verarbeitet werden. Außerdem müssen die Betroffenenrechte und Compliance-Anforderungen gewahrt bleiben (s. o.).
Fazit
Das BayLDA neben Hamburg, Baden-Württemberg und Frankreich erstmals auf die zunehmende Bedeutung und Nutzung generativer KI-Systeme reagiert. Die Veröffentlichung unterstützt Verantwortliche bei der Bewältigung der spezifischen Herausforderungen im Zusammenhang mit KI und der gleichzeitigen Einhaltung der DS-GVO. Jedoch ist zu beachten, dass obwohl die Checkliste und der Flyer eine wertvolle Hilfestellung bieten, andere europäische Datenschutzbehörden oder der Europäische Gerichtshof (EuGH) bestimmte Aspekte anders interpretieren könnten. Das BayLDA betont auch in ihrer Veröffentlichung, dass es sich bei der Checkliste um einen „Good-Practice-Ansatz“ handelt in welchem „aufgrund der stetig fortschreitenden Entwicklung […], Anpassungen zu dieser Checkliste – insbesondere zur Harmonisierung mit deutschen und europäischen Datenschutzpositionen zu KI – erforderlich werden [können]“. Dies könnte insbesondere dann relevant werden, wenn es um grenzüberschreitende Datenverarbeitung oder die Anwendung unterschiedlicher Datenschutzstandards geht. Es bleibt abzuwarten, wie sich die Rechtsprechung und regulatorische Praxis in diesem Bereich entwickeln wird.
Handlungsempfehlung
- Sollten personenbezogene Daten verarbeitet werden, gilt es insbesondere die folgenden Aspekte zu beachten:
- Sicherstellen, dass eine Verarbeitung ausschließlich mit einer gültigen Rechtsgrundlage erfolgt.
- Sowohl beim Training als auch dem Einsatz von KI ist die Einhaltung der Informationspflichten und Betroffenenrechte sicherzustellen.
- Bei Dienstleisterbeauftragung müssen Garantien und Anforderungen in Verbindung mit der Drittlandübermittlung beachtet werden.
- Die mit dem Anlernen und dem anschließenden Einsatz der KI einhergehenden Aktivitäten sind in das Verzeichnis der Verarbeitungstätigkeiten aufzunehmen.
- Bei der DSFA gilt es die Schutzziele des Risikomodells einzubeziehen.
- Weitere Auseinandersetzung mit der regulatorischen Entwicklung von KI. Durch die fortschreitende Entwicklung von KI werden auch nach Ansicht des BayLDA Anpassungen der Checkliste nötig werden.
- Außerdem sind die Positionen von anderen Datenschutzbehörden relevant und wie diese die datenschutzrechtlichen Anforderungen einordnen.