von Gastautor Nils Möllers, Keyed GmbH | 23.05.2024
Am 25. Mai 2024 feiert die DSGVO ihr sechsjähriges Bestehen. Besonders interessant ist dabei der Umgang mit neuen Technologien wie der Künstlichen Intelligenz.
Die Datenschutz-Grundverordnung (DSGVO) hat die Art und Weise, wie Unternehmen und Organisationen in der gesamten Europäischen Union mit personenbezogenen Daten umgehen, grundlegend verändert. Gleiches gilt auch in kurzer Zeit schon für Künstliche Intelligenz (KI). Dabei kommt KI zunehmend in verschiedenen Branchen zum Einsatz. Dieser Beitrag beleuchtet, wie Unternehmen und Kanzleien die komplexen Anforderungen der DSGVO meistern können, wenn sie KI-Lösungen implementieren und nutzen.
1. Rechtmäßigkeit der Datenverarbeitung in KI-Systemen
Insbesondere das Training von KI-Modellen erfordert oft die Verarbeitung großer Datenmengen. Nach Artikel 6 DSGVO ist eine solche Verarbeitung nur zulässig, wenn sie auf einer wirksamen Rechtsgrundlage beruht. Mögliche Rechtsgrundlagen sind die Einwilligung der betroffenen Personen (Art. 6 Abs. 1 lit. a) DSGVO), die Notwendigkeit zur Vertragserfüllung (Art. 6 Abs. 1 lit. b) DSGVO) oder die Wahrung der berechtigten Interessen des Verantwortlichen (Art. 6 Abs. 1 lit. f) DSGVO).
Das Training von KI-Modellen ist nicht nur für Anbieter von KI-Lösungen relevant, sondern auch für die Organisationen, welche die KI-Lösungen nutzen. Das liegt darin begründet, dass oftmals durch die Nutzung der Organisationen die KI-Lösungen mit den eingegebenen Daten (oftmals auch Endkundendaten) weiter trainiert werden. Somit stellt sich die obenstehende Anforderung der Rechtmäßigkeit für fast jeden Anwendungsbereich. Besonders kritisch sind solche Fälle, wo besondere Kategorien personenbezogener Daten verarbeitet werden sollen oder Daten, welche unter das Berufsgeheimnis fallen (z.B. bei Anwälten und Notaren).
Zudem fordert Artikel 5 DSGVO, dass personenbezogene Daten für den festgelegten Zweck angemessen und relevant sowie auf das notwendige Maß beschränkt sind. Dies unterstützt den Grundsatz der Datenminimierung, welcher besonders beim Training von KI zu beachten ist. Methoden wie die Anonymisierung und Pseudonymisierung, die in Erwägungsgrund 26 der DSGVO behandelt werden, können helfen, die Einhaltung dieser Anforderungen zu gewährleisten bzw. zu vereinfachen.
2. Datenschutz-Folgenabschätzung nach Artikel 35 DSGVO
Artikel 35 DSGVO verlangt eine Datenschutz-Folgenabschätzung (DSFA), wenn die Verarbeitung voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten darstellt, was oft auf KI-Anwendungen zutrifft. Der Prozess der DSFA sollte folgende Schritte umfassen:
3. Abschließende Überlegungen
Die Einhaltung der DSGVO in der Entwicklung und Anwendung von KI erfordert eine sorgfältige Planung und kontinuierliche Überwachung. Organisationen, wie zum Beispiel Kanzleien, müssen sicherstellen, dass Datenschutz von Anfang an in die Systementwicklung integriert wird, ein Prozess, der oft als „Privacy by Design“ (Artikel 25 DSGVO) bezeichnet wird. Folgende Praxistipps sollten Sie berücksichtigen:
Diese rechtlich fundierte und praxisnahe Herangehensweise hilft, die komplexen Anforderungen der DSGVO beim Einsatz von KI effektiv zu managen und gleichzeitig innovative technologische Entwicklungen voranzutreiben.
Nils Möllers, Geschäftsführer Keyed GmbH