Werden personenbezogene Daten verarbeitet, greifen die Vorgaben der Datenschutz-Grundverordnung (DSGVO). Das gilt auch für Entwicklung und Einsatz künstlicher Intelligenz (KI). Insbesondere muss eine passende Rechtsgrundlage für die KI-basierte Datenverarbeitung gefunden werden.
Was gilt für personenbezogene Daten beim KI-Einsatz?
Der Einsatz von künstlicher Intelligenz bietet Unternehmen vielfältige Möglichkeiten, ihre Prozesse zu optimieren, Innovationen voranzutreiben und Wettbewerbsvorteile zu erlangen. Gleichzeitig stehen Unternehmen vor der Herausforderung, die rechtlichen Vorgaben im Datenschutz einzuhalten, insbesondere wenn personenbezogene Daten für das Training und die Anwendung von KI verwendet werden. Die Verarbeitung solcher Daten unterliegt strengen gesetzlichen Regelungen, die Unternehmen kennen und befolgen müssen, um rechtliche Risiken zu minimieren und das Vertrauen von Kunden und Geschäftspartnern zu gewinnen.
Insbesondere muss für die Datenverarbeitung eine geeignete Rechtsgrundlage gefunden werden. Basierend auf dem Diskussionspapier des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg beleuchten wir in diesem Artikel die einschlägigen Rechtsgrundlagen im Kontext von KI und geben praxisnahe Empfehlungen für den rechtssicheren Einsatz.
Welche Verarbeitungsphasen gibt es bei KI?
Im Kontext der künstlichen Intelligenz sind verschiedene Phasen der Datenverarbeitung datenschutzrechtlich relevant. Jede Phase bringt spezifische Anforderungen mit sich, die Einfluss darauf haben, welche gesetzlichen Bestimmungen zur Anwendung kommen. Die Verarbeitungstätigkeiten lassen sich in fünf Verarbeitungsphasen zusammenfassen:
Erhebung von Trainingsdaten
Am Anfang von KI-Anwendungen steht die Sammlung, Generierung, Strukturierung oder Kategorisierung von Daten, die als Trainings-, Test- und Anwendungsdaten verwendet werden. Diese Daten können entweder durch eigene Erhebung, z. B. durch Kameras, oder durch das Auslesen von öffentlich zugänglichen Quellen im Internet gewonnen werden.
Verarbeitung von Daten für das KI-Training
In dieser Phase werden die gesammelten personenbezogenen Daten zum initialen Training des KI-Systems verarbeitet. Auch das sogenannte Feintuning, bei dem die Daten wiederholt verarbeitet werden, um die Leistung der KI zu verbessern, fällt unter diesen Verarbeitungsbegriff.
Bereitstellung von KI-Anwendungen
Ob die Bereitstellung von KI-Systemen, die mit personenbezogenen Daten trainiert wurden, als Verarbeitung personenbezogener Daten gilt, hängt davon ab, ob die Trainingsdaten im System weiterhin verarbeitet werden. Außerdem können während der Nutzung neue personenbezogene Daten durch das KI-System verarbeitet werden, was eine separate rechtliche Grundlage erfordert.
Nutzung von KI-Anwendungen
Für die Nutzung von KI-Systemen muss jeder Verantwortliche eine Rechtsgrundlage finden; dies gilt umso mehr, wenn die Trainingsdaten bei jeder Nutzung weiterverarbeitet werden. Hierbei muss geprüft werden, auf welcher rechtlichen Grundlage die Nutzenden auf die Daten zugreifen und diese weiterverarbeiten dürfen.
Nutzung von KI-Ergebnissen
Auch die Ausgabe von KI-Anwendungen kann eine relevante Verarbeitung darstellen, etwa wenn personenbezogene Daten in Texten oder Bildern generiert werden. Besondere Beachtung erfordert der Umstand, dass der Personenbezug zu einem KI-Ergebnis oft erst durch die Personen oder Unternehmen hergestellt wird, die das KI-System nutzen. Erst wenn das KI-Ergebnis mit Daten einer realen Person kombiniert wird, entsteht ein rechtlicher Zusammenhang mit Datenschutzfragen, was eine neue Verarbeitung mit potenziellen Risiken für die betroffenen Personen darstellt.
Wer trägt die datenschutzrechtliche Verantwortlichkeit bei KI?
Gem. Art. 5 Abs. 1 DSGVO muss der Verantwortliche die datenschutzrechtlichen Grundsätze wie Rechtmäßigkeit, Transparenz, Zweckbindung, Datenminimierung und Vertraulichkeit bei der Verarbeitung personenbezogener Daten einhalten. Er ist auch verpflichtet, die Einhaltung der Grundsätze nachzuweisen.
Grundsätzlich können Personen, Unternehmen, Behörden oder andere Stellen, die KI-Systeme entwickeln oder einsetzen, als Verantwortliche im Sinne der DSGVO gelten. Verantwortlich ist nach Art. 4 Abs. 1 Nr. 7 DSGVO, wer alleine oder gemeinsam mit anderen über die Zwecke (das Warum der Datenverarbeitung) und Mittel (das Wie der Datenverarbeitung) entscheidet. Darunter fallen auch Vorgänge in den Bereichen der Entwicklung, Bereitstellung oder Nutzung eines KI-Systems.
Dabei ist möglich, dass mehr als ein Subjekt als für die Verarbeitung verantwortlich angesehen wird. Diese sog. gemeinsame Verantwortlichkeit liegt gem. Art. 26 Abs. 1 S. 1 DSGVO vor, wenn zwei oder mehr Parteien gemeinsam über die Zwecke und Mittel der Datenverarbeitung entscheiden. Dies erfordert eine Zusammenarbeit zwischen mindestens zwei Akteuren, deren Entscheidungen entweder gemeinsam oder ergänzend getroffen werden können, solange diese Entscheidungen wesentlichen Einfluss auf die Festlegung von Zwecken und Mitteln der Verarbeitung haben.
Ein weiteres wichtiges Merkmal ist, dass die Datenverarbeitung ohne die Zusammenarbeit beider Parteien nicht möglich wäre, da die Verarbeitungsprozesse der Parteien untrennbar miteinander verbunden sind. Ein Beispiel wäre die Nutzung von Datensätzen zweier Unternehmen zur Schulung eines gemeinsamen KI-Systems. Die gemeinsam Verantwortlichen müssen in einer transparenten Vereinbarung unter anderem festlegen, wer für die Wahrung der Rechte der betroffenen Personen verantwortlich ist und wer Informationspflichten gem. Art. 13 und 14 DSGVO erfüllt.
Davon ist der Einsatz eines Auftragsverarbeiters zu unterscheiden. Eine Auftragsverarbeitung gem. Art. 4 Nr. 8 und Art. 28 DSGVO liegt vor, wenn eine Organisation im Auftrag eines Verantwortlichen personenbezogene Daten verarbeitet. Dabei ist der Auftragsverarbeiter an die Weisungen des Verantwortlichen gebunden.
Welche Rechtsgrundlagen gelten beim KI-Einsatz?
Einwilligung (Art. 6 Abs. 1 lit. a) DSGVO)
Die Verarbeitung personenbezogener Daten ist rechtmäßig, wenn die betroffene Person ihre Einwilligung für klar definierte Zwecke gegeben hat. Eine Einwilligung gem. Art. 4 Nr. 11 DSGVO bedeutet eine freiwillige, eindeutige und informierte Zustimmung der betroffenen Person zur Datenverarbeitung. Die Einwilligung muss dabei so präzise sein, dass klar wird, welche Daten von wem und zu welchem Zweck verarbeitet werden sollen, damit die betroffene Person entscheiden kann, ob sie zustimmt. Die Anforderungen an die Bestimmtheit hängen vom konkreten Einzelfall ab, insbesondere von der Intensität des Eingriffs in die Rechte der betroffenen Person.
Eine Herausforderung stellt dabei in der Praxis die Widerruflichkeit der Einwilligung nach Art. 7 Abs. 3 DSGVO, die zur unverzüglichen Löschung der Daten nach Art. 17 Abs. 1 lit. b) DSGVO führen kann, wenn keine andere Rechtsgrundlage für die Verarbeitung besteht. Dies könnte die Funktionalität des KI-Systems beeinträchtigen, besonders wenn dieses auf Grundlage der widerrufenen Daten trainiert wurde und deren Entfernung schwer umsetzbar ist.
Eine weitere Hürde besteht in der oft unzureichenden Transparenz und Nachvollziehbarkeit komplexer KI-Systeme. Wenn die Datenverarbeitungsprozesse schwer verständlich sind, wird es schwierig, eine ausreichend bestimmte und präzise Einwilligungserklärung zu gewährleisten.
Erfüllung eines Vertrags (Art. 6 Abs. 1 lit. b) DSGVO)
Art. 6 Abs. 1 lit. b) DSGVO erlaubt die Verarbeitung personenbezogener Daten, wenn sie zur Erfüllung eines Vertrags notwendig ist, dessen Vertragspartei die betroffene Person ist. Diese Regelung gilt auch für vorvertragliche Maßnahmen, die auf Anfrage des Betroffenen erfolgen. Es reicht jedoch nicht aus, dass die Datenverarbeitung lediglich im Vertrag erwähnt wird, vielmehr muss sie tatsächlich zur Vertragserfüllung notwendig sein.
Zum Beispiel kann die Verarbeitung von Sprachdaten, wenn eine Person einen KI-Sprachgenerator mit ihrer Stimme trainieren lässt, unter diese Regelung fallen. Allerdings wäre die Nutzung dieser Daten zur Verbesserung eines allgemeinen KI-Modells nicht abgedeckt, da sie nur für den Vertrag nützlich, aber nicht notwendig ist.
Erfüllung rechtlicher Verpflichtungen (Art. 6 Abs. 1 lit. c) DSGVO)
Die Verarbeitung personenbezogener Daten ist gem. Art. 6 Abs. 1 lit. c) DSGVO rechtmäßig, wenn eine gesetzliche Verpflichtung zur Datenverarbeitung besteht. In diesem Fall hat der Verantwortliche keine Wahlfreiheit, da die Verarbeitung zwingend vorgeschrieben ist. Dabei müssen die rechtliche Grundlage und die Notwendigkeit der Verarbeitung besonders streng geprüft werden, sodass nur das „unbedingt Notwendige“ verarbeitet wird.
Im Zusammenhang mit KI-Systemen ist der Anwendungsbereich dieser Rechtsgrundlage somit derzeit nur beschränkt gegeben.
Schutz von lebenswichtigen Interessen (Art. 6 Abs. 1 lit. d) DSGVO)
Diese Rechtsgrundlage ist primär für Situationen gedacht, in denen eine konkrete Gefahr für das Leben oder die körperliche Unversehrtheit einer Person besteht.
Sie ist also nicht anwendbar, wenn es um das Training von KI-Systemen geht, da dafür typischerweise keine unmittelbare Notsituation vorliegt. Eine Anwendung dieser Rechtsgrundlage könnte jedoch in Einzelfällen gerechtfertigt sein, beispielsweise bei der Nutzung eines KI-Systems zur Rettung eines Notfallpatienten, wenn die Verarbeitung personenbezogener Daten mittels einer KI-Anwendung hierfür zwingend erforderlich ist.
Berechtigtes Interesse (Art. 6 Abs. 1 lit. f) DSGVO
Art. 6 Abs. 1 lit. f) DSGVO erlaubt nicht-öffentlichen Stellen, personenbezogene Daten zu verarbeiten, wenn dies zur Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten erforderlich ist und keine überwiegenden Interessen der betroffenen Person entgegenstehen. Dagegen können sich Behörden auf diese Rechtsgrundlage nicht stützen.
Im KI-Kontext ist diese Rechtsgrundlage besonders wichtig, da sie aufgrund ihrer Flexibilität und Offenheit gegenüber innovativen Anwendungen von KI-Systemen leicht herangezogen werden kann. Der Begriff des berechtigten Interesses wird weit ausgelegt und kann rechtliche, wirtschaftliche oder immaterielle Interessen umfassen. Insbesondere bei der Entwicklung und Nutzung von KI-Systemen ist ein berechtigtes Interesse häufig gegeben, beispielsweise wenn es um die Verbesserung von Produkten wie autonomen Fahrzeugen oder die Vermeidung von Betrug geht. Allerdings besteht auch ein gewisses Risiko der Rechtsunsicherheit, da die genaue Abwägung der Interessen oft komplex ist und von vielen Faktoren abhängt.
So muss die Verarbeitung personenbezogener Daten erforderlich sein, um das berechtigte Interesse zu wahren. Alternativen, die weniger stark in die Rechte der betroffenen Personen eingreifen, müssen in Betracht gezogen werden. Es darf kein milderes, weniger eingriffsintensives Mittel ersichtlich sein. Dabei ist besonders bei Trainingsdaten zu prüfen, ob das Training auch ohne personenbezogene Daten möglich ist (etwa mit anonymisierten oder synthetischen Daten), um den Grundsatz der Datenminimierung aus Art. 5 Abs. 1 lit. c) DSGVO zu gewährleisten.
Darüber hinaus muss eine Abwägung zwischen den berechtigten Interessen des Verantwortlichen und den Grundrechten der betroffenen Personen erfolgen (und dokumentiert werden). Hierbei spielen der Umfang und die Auswirkungen der Datenverarbeitung eine Rolle. Der Schutzbedarf der betroffenen Personen, insbesondere von Minderjährigen, ist besonders zu berücksichtigen. Zudem ist relevant, ob die betroffene Person in der konkreten Situation mit der Verarbeitung ihrer Daten rechnen konnte. Bei KI-Systemen hängt die Intensität des Eingriffs in die Rechte der Betroffenen ebenso von der Art der Verarbeitung ab. Die Eingriffsintensität wird zum Beispiel bei einem Training von großen Sprachmodellen (Large Language Models) höher bewertet als bei einem klassischen statistischen Model (Generalized Linear Mixed Models).
Dabei ist auch zu beachten, dass nicht nur die Art der Verarbeitung im Falle einer Abwägung eine wichtige Rolle spielt, sondern auch die zu verarbeitende Datenkategorie. So muss beispielsweise bei der Verarbeitung besonderer Kategorien personenbezogener Daten gem. Art. 9 Abs. 1 DSGVO berücksichtigt werden, dass zusätzlich zur allgemeinen Erlaubnis für die Datenverarbeitung gem. Art. 6 Abs 1 lit. f) DSGVO noch eine zusätzliche Rechtsgrundlage gem. Art. 9 Abs. 2 DSGVO notwendig ist (siehe unten).
Zusätzliche Rechtsgrundlagen für öffentliche Stellen
Art. 6 Abs. 1 lit. e) DSGVO bietet zwei weitere Möglichkeiten für die Verarbeitung personenbezogener Daten durch öffentliche Stellen: Die Verarbeitung kann sowohl im öffentlichen Interesse als auch zur Ausübung öffentlicher Gewalt erfolgen. Bei beiden ist jedoch eine rechtliche Grundlage erforderlich, die entweder aus dem EU-Recht oder dem nationalen Recht stammen muss. Art. 6 Abs. 1 lit. e) DSGVO stellt also keine eigenständige Rechtsgrundlage dar, sondern muss mit spezifischen nationalen oder landesspezifischen Regelungen – wie etwa den Landesdatenschutzgesetzen oder anderen, sektorspezifischen Gesetzen – kombiniert werden.
Zweckänderung (Art. 6 Abs. 4 DSGVO)
Bei einer Zweckänderung in der Verarbeitung personenbezogener Daten muss die Weiterverarbeitung auf einer zusätzlichen Rechtsgrundlage basieren. Diese Vorschrift ist besonders relevant, wenn es um die Nachnutzung von Daten geht, die nicht ursprünglich für KI-Training gesammelt wurden.
Exkurs: Beschäftigtendatenschutz
Bei der Durchführung eines Arbeitsvertrags oder während des Bewerbungsverfahrens kann die Datenverarbeitung mittels KI grundsätzlich auf Art. 6 Abs. 1 S. 1 lit. b) DSGVO (Erfüllung eines Vertrages) gestützt werden. Voraussetzung dafür ist, dass die Verarbeitung notwendig für die Zweckerreichung ist, keine zumutbare Alternative besteht und die Interessen des Arbeitgebers die der betroffenen Person überwiegen. Darüber hinaus wäre es möglich, die Verarbeitung auf das berechtigte Interesse des Verantwortlichen zu stützen.
Kollektivvereinbarungen können den Einsatz von KI-Systemen zusätzlich regeln, solange die Anforderungen aus der DSGVO eingehalten werden. Wichtig ist, dass beim Einsatz von KI im Arbeitskontext sowohl das Betriebsverfassungsrecht als auch das Tarifrecht beachtet werden müssen.
Aufgrund des Machtgefälles zwischen Arbeitgeber und Arbeitnehmer sind strenge Anforderungen an die Freiwilligkeit einer Einwilligung zu stellen. Insbesondere bei der Analyse von Persönlichkeitsprofilen im Bewerbungsverfahren oder im Personalwesen kann die Einwilligung als Rechtsgrundlage problematisch sein.
Darüber hinaus muss die Vorschrift des Art. 22 Abs. 1 DSGVO beachtet werden, wonach die betroffene Person das Recht hat, nicht einer ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt, solange die Ausschlussgründe in Abs. 2 nicht greifen.
Wie können besondere Kategorien personenbezogener Daten mittels KI verarbeitet werden?
Die DSGVO stellt erhöhte Anforderungen, wenn besondere Kategorien personenbezogener Daten gemäß Art. 9 Abs. 1 DSGVO verarbeitet werden.
Ausnahmen vom Verbot der Verarbeitung dieser Datenkategorien ergeben sich aus den Rechtsgrundlagen in Art. 6 Abs. 1 i. V. m. Art. 9 Abs. 2 – 4 DSGVO. So kann zum Beispiel abhängig vom Zweck der Verarbeitung auch eine ausdrückliche Einwilligung der betroffenen Person gem. Art. 6 Abs. 1 lit. a) i. V. m. Art. 9 Abs. 2 lit. a) DSGVO eine mögliche Rechtsgrundlage für eine Verarbeitung von besonderen Kategorien personenbezogener Daten sein. Diese Einwilligung muss jedoch freiwillig sein, was bei bestimmten Einflüssen wie Lock-in-Effekten oder kognitiven Verzerrungen nicht der Fall sein könnte.
Insbesondere bei der Nutzung von personenbezogenen Daten zu Forschungszwecken, etwa im Gesundheitswesen, ist das Recht auf informationelle Selbstbestimmung der betroffenen Personen zu wahren. Es ist dabei zu beachten, dass sobald die Verarbeitung personenbezogener Daten für das Training und Nutzung des KI-Systems zu Forschungszwecken durch eine gesetzliche Grundlage gerechtfertigt ist, die Einflussmöglichkeiten der betroffenen Personen, insbesondere ihr Widerspruchsrecht, dargelegt werden müssen.
Des Weiteren muss die Verarbeitung stets den hohen Schutz- und Vertraulichkeitsanforderungen aus Art. 32 Abs. 1 und ggf. Art. 89 Abs. 1 DSGVO entsprechen. Der Grundsatz lautet: Je stärker die Schutzmaßnahmen, desto umfangreicher und spezifischer können die Daten genutzt werden.
Fazit
Der Einsatz von Künstlicher Intelligenz bringt für Unternehmen große Chancen, aber auch erhebliche datenschutzrechtliche Herausforderungen mit sich. Um rechtliche Risiken zu minimieren und das Vertrauen von Kunden und Partnern zu stärken, ist es unerlässlich, die relevanten datenschutzrechtlichen Vorgaben zu kennen und in die Praxis umzusetzen. Dies erfordert eine sorgfältige Planung, die Integration von Datenschutzmaßnahmen in technische Prozesse sowie eine kontinuierliche Überwachung und Anpassung der Datenschutzmaßnahmen. Wenn beim KI-Einsatz personenbezogene Daten verarbeitet werden, ist insbesondere die Wahl der jeweils richtigen Rechtsgrundlage ausschlaggebend – sowie die sich daraus ergebenden Informationspflichten und die Wahrung der Betroffenenrechte.
Unternehmen sollten zudem stets die Entwicklungen in der Gesetzgebung und Rechtsprechung im Blick behalten, um auf neue Anforderungen zeitnah reagieren zu können. Gerade im Bereich der KI dürfte hier zukünftig noch viel passieren.