Menu
RA-MICRO Logo

KI und Datenschutz: Wie Kanzleien die DSGVO-Anforderungen meistern können

von Gastautor Nils Möllers, Keyed GmbH | 23.05.2024

Am 25. Mai 2024 feiert die DSGVO ihr sechsjähriges Bestehen. Besonders interessant ist dabei der Umgang mit neuen Technologien wie der Künstlichen Intelligenz.

Die Datenschutz-Grundverordnung (DSGVO) hat die Art und Weise, wie Unternehmen und Organisationen in der gesamten Europäischen Union mit personenbezogenen Daten umgehen, grundlegend verändert. Gleiches gilt auch in kurzer Zeit schon für Künstliche Intelligenz (KI). Dabei kommt KI zunehmend in verschiedenen Branchen zum Einsatz. Dieser Beitrag beleuchtet, wie Unternehmen und Kanzleien die komplexen Anforderungen der DSGVO meistern können, wenn sie KI-Lösungen implementieren und nutzen.

1. Rechtmäßigkeit der Datenverarbeitung in KI-Systemen

Insbesondere das Training von KI-Modellen erfordert oft die Verarbeitung großer Datenmengen. Nach Artikel 6 DSGVO ist eine solche Verarbeitung nur zulässig, wenn sie auf einer wirksamen Rechtsgrundlage beruht. Mögliche Rechtsgrundlagen sind die Einwilligung der betroffenen Personen (Art. 6 Abs. 1 lit. a) DSGVO), die Notwendigkeit zur Vertragserfüllung (Art. 6 Abs. 1 lit. b) DSGVO) oder die Wahrung der berechtigten Interessen des Verantwortlichen (Art. 6 Abs. 1 lit. f) DSGVO).

Das Training von KI-Modellen ist nicht nur für Anbieter von KI-Lösungen relevant, sondern auch für die Organisationen, welche die KI-Lösungen nutzen. Das liegt darin begründet, dass oftmals durch die Nutzung der Organisationen die KI-Lösungen mit den eingegebenen Daten (oftmals auch Endkundendaten) weiter trainiert werden. Somit stellt sich die obenstehende Anforderung der Rechtmäßigkeit für fast jeden Anwendungsbereich. Besonders kritisch sind solche Fälle, wo besondere Kategorien personenbezogener Daten verarbeitet werden sollen oder Daten, welche unter das Berufsgeheimnis fallen (z.B. bei Anwälten und Notaren).

Zudem fordert Artikel 5 DSGVO, dass personenbezogene Daten für den festgelegten Zweck angemessen und relevant sowie auf das notwendige Maß beschränkt sind. Dies unterstützt den Grundsatz der Datenminimierung, welcher besonders beim Training von KI zu beachten ist. Methoden wie die Anonymisierung und Pseudonymisierung, die in Erwägungsgrund 26 der DSGVO behandelt werden, können helfen, die Einhaltung dieser Anforderungen zu gewährleisten bzw. zu vereinfachen.

2. Datenschutz-Folgenabschätzung nach Artikel 35 DSGVO

Artikel 35 DSGVO verlangt eine Datenschutz-Folgenabschätzung (DSFA), wenn die Verarbeitung voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten darstellt, was oft auf KI-Anwendungen zutrifft. Der Prozess der DSFA sollte folgende Schritte umfassen:

  • Systematische Beschreibung der Verarbeitungsvorgänge: Dies sollte die genauen Funktionen des KI-Systems, die Datenarten und die Verarbeitungszwecke umfassen.
  • Bewertung der Notwendigkeit und Verhältnismäßigkeit: Es muss beurteilt werden, ob die Datenverarbeitung notwendig und angemessen ist, um die festgelegten Ziele zu erreichen.
  • Bewertung der Risiken: Dies beinhaltet die Identifizierung und Analyse möglicher nachteiliger Auswirkungen der KI auf die Privatsphäre und weitere Rechte der betroffenen Personen.
  • Maßnahmen zur Risikominderung: Hierzu gehören technische und organisatorische Maßnahmen, die entwickelt werden müssen, um identifizierte Risiken zu adressieren und zu mindern, wie in Artikel 32 DSGVO beschrieben.

3. Abschließende Überlegungen

Die Einhaltung der DSGVO in der Entwicklung und Anwendung von KI erfordert eine sorgfältige Planung und kontinuierliche Überwachung. Organisationen, wie zum Beispiel Kanzleien, müssen sicherstellen, dass Datenschutz von Anfang an in die Systementwicklung integriert wird, ein Prozess, der oft als „Privacy by Design“ (Artikel 25 DSGVO) bezeichnet wird. Folgende Praxistipps sollten Sie berücksichtigen:

  • Sicherstellen der konformen Verarbeitung: Die Verarbeitung personenbezogener Daten sollte immer rechtmäßig sein.
  • Verträge mit Datenempfängern: Ein Auftragsverarbeitungsvertrag, eventuell inklusive Standardvertragsklauseln, sollte mit dem KI-Anbieter abgeschlossen werden.
  • Durchführung von Bewertungen: Eine Datenschutzfolgenabschätzung und ein Transfer Impact Assessment sollten durchgeführt und dokumentiert werden (Rechenschaftspflicht).
  • Datenschutzdokumentation: Der Einsatz des Dienstes sollte in der Datenschutzerklärung erwähnt und im Verzeichnis für Verarbeitungstätigkeiten dokumentiert werden.
  • Anonymisierung der Daten: Unternehmensinterne Daten sollten nur in anonymisierter Form verwendet werden, sodass keine Rückschlüsse auf einzelne Personen möglich sind. Für Kanzleien und Juristen steht dafür der JURA KI-Assistent zur Verfügung, dessen aktuellste Fassung kürzlich auf dem Verwaltungsgerichtstag vorgestellt wurde.
  • Technische und organisatorische Maßnahmen: Angemessene Schutzmaßnahmen sollten umgesetzt werden, wie etwa die Einstellung, dass Daten nicht für Trainingszwecke genutzt werden dürfen (sofern verfügbar).
  • Textbearbeitung: Generierte Texte sollten abgeändert oder paraphrasiert werden, um Urheberrechtsprobleme zu vermeiden. Informationen sollten auf ihre Richtigkeit geprüft werden.
  • Regeln festlegen: Die Nutzungsregeln für KI-Systeme sollten in Arbeitsverträge oder Verpflichtungserklärungen integriert werden.
  • Erfüllung der Informationspflichten: Die Informationspflichten gemäß der DSGVO sollten erfüllt und dokumentiert werden, welche Daten verarbeitet werden, und ob und an wen Daten weitergegeben werden.
  • Durchsetzung von Betroffenenrechten: Geeignete Prozesse sollten vorhanden sein, damit Mandanten und Dritte ihre Rechte ausüben können.

Diese rechtlich fundierte und praxisnahe Herangehensweise hilft, die komplexen Anforderungen der DSGVO beim Einsatz von KI effektiv zu managen und gleichzeitig innovative technologische Entwicklungen voranzutreiben.

Nils Möllers, Geschäftsführer Keyed GmbH

    • Artikel teilen: