Wie beeinflusst die Datenschutz-Grundverordnung (DSGVO) die Nutzung Künstlicher Intelligenz?
Die Grundsätze der DSGVO sind immer dann zu berücksichtigen, wenn Daten mit Personenbezug verarbeitet werden (z. B. Name, Anschrift, Kontaktdaten, Geburtsdaten, ärztliche Diagnosen, allgemeine äußerliche Merkmale, aber auch Kfz-Kennzeichen oder IP-Adressen). Da dies sehr weitgehend zu verstehen ist, sollte man das Datenschutzrecht immer mitdenken.
Tipp
Sonderregelung für sensible Daten
Auch dann, wenn im Einzelfall kein Personenbezug anzunehmen ist, kann es sich um sensible Daten handeln, z. B. Geschäftsgeheimnisse. Diese unterliegen eigenen gesetzlichen Regelungen, insbesondere dem Geschäftsgeheimnisgesetz (GeschGehG).
Leser-Umfrage zum Einsatz von ChatGPT und anderen KI-Tools
Künstliche Intelligenz und Datenschutz: KI-Systeme zur Verarbeitung personenbezogener Daten
Wenn Sie in Ihrem Unternehmen KI-Tools nutzen möchten, stehen Sie beim Schutz von personenbezogenen Daten vor einigen Herausforderungen.
KI und Datenschutz: Der Arbeitsvertrag
Wenn Sie etwa Name, Anschrift und Geburtsdatum eines neuen Mitarbeiters in eine KI-Anwendung wie z. B. ChatGPT von OpenAI eingeben, um sich einen Arbeitsvertrag erstellen zu lassen, erhalten Sie zwar einen professionell aussehenden Vertragstext. Sie können sich aber einerseits nicht sicher sein, ob die KI die aktuelle Rechtslage wiedergibt. Andererseits müsste es eine Rechtsgrundlage geben, damit Sie die Mitarbeiterdaten überhaupt in die KI eingeben dürfen. Im Zweifel benötigen Sie hierzu die (vorherige) Einwilligung der betreffenden Person, was im Rahmen eines arbeitsrechtlichen Über-Unterordnungsverhältnisses zwischen Arbeitgeber und Arbeitnehmer leider nicht ganz so einfach ist. Insbesondere ist darauf hinzuweisen, dass die Einwilligungserklärung jederzeit ohne Angabe von Gründen und ohne etwaige Nachteile frei widerrufen werden kann.
Wenn das genutzte KI-Tool aus einem sog. unsicheren Drittstaat außerhalb der EU stammt, also etwa aus China oder den USA, dann muss dies zusätzlich legitimiert sein. Sie müssten dazu im Vorfeld spezielle Verträge mit dem KI-Anbieter abschließen und noch weitere Voraussetzungen erfüllen. Diesen nicht unerheblichen Aufwand wird nicht jedes Unternehmen und auch nicht jeder KI-Anbieter auf sich nehmen.
Tipp
Bei KI-Tools mit Platzhaltern arbeiten
Wenn Sie also etwa einen Arbeitsvertrag per KI erstellen lassen, dann nutzen Sie dazu Fantasie- oder Platzhalter-Daten, auf keinen Fall die echten Daten des Angestellten. So entgehen Sie rechtlichen Gefahren hinsichtlich der KI beim Datenschutz. Zudem sollten Sie den Vertrag immer von einem entsprechend spezialisierten Anwalt prüfen lassen.
KI und Datenschutz: Das Verzeichnis von Verarbeitungstätigkeiten (VVT)
Wenn Sie personenbezogene Daten verarbeiten, sei es mit oder ohne KI-Unterstützung, müssen Sie dies in nachvollziehbarer Weise dokumentieren, insbesondere im Verzeichnis von Verarbeitungstätigkeiten (VVT) nach Art. 30 DSGVO. Beabsichtigen Sie, KI-Anwendungen geschäftlich einzusetzen und darin jedenfalls auch personenbezogene Daten zu verarbeiten, dann müssen Sie dies entsprechend in Ihr VVT aufnehmen. Leider gestaltet sich diese Dokumentation recht schwierig, da Sie nicht genau durchblicken können, wie, wozu, wo und wie lange die Daten auf den Servern des KI-Anbieters verarbeitet werden.
Tipp
Pflichtangaben nach Anforderungen der DSGVO
Nach Art. 13, 14 DSGVO sind Sie dazu verpflichtet, proaktiv bestimmte Pflichtangaben bereitzustellen (z. B. Ihre Anschrift und Kontaktdaten, die Zwecke oder die Rechtsgrundlage der Verarbeitung). Dies gilt auch in Bezug auf Datenschutz bei KI-Tools. Und auch hier fehlen Ihnen in aller Regel die betreffenden Informationen.
KI und Datenschutz: Die Datenschutz-Folgenabschätzung (DSFA)
Hinzu kommt, dass Sie im Rahmen der geschäftlichen Nutzung von KI-Anwendung ggf. eine sog. Datenschutz-Folgenabschätzung (DSFA) vornehmen müssen (Art. 35 DSGVO). Dies gilt jedenfalls dann, wenn mit der geplanten Datenverarbeitung voraussichtlich ein hohes Risiko verbunden ist.
Der Begriff „Risiko“ meint hier nicht Ihr unternehmerisches Risiko als Nutzer der Software, sondern das Risiko für die Menschen, deren Daten verarbeitet werden (wie z. B. Diskriminierung, Identitätsdiebstahl, Rufschädigung etc.).
Die DSFA ist ein spezielles Verfahren, bei dessen Durchführung Sie etwaige Risiken identifizieren, bewerten und nach Möglichkeit technische oder organisatorische Maßnahmen zur Risikoreduzierung festlegen müssen. Am Ende einer solchen DSFA steht dann entweder das Ergebnis, dass zumindest kein hohes Risiko mehr besteht, oder dass das Risiko nicht in ausreichender Weise reduziert werden konnte. Im letzteren Fall müssen Sie sich dann an die für Sie zuständige Aufsichtsbehörde wenden und um deren Stellungnahme bitten, bevor Sie die Datenverarbeitung ein- bzw. weiterführen.
Tipp
Risiken für den Datenschutz richtig einschätzen
Die Bewertung, ob ein Risiko besteht und ob dieses als „hoch“ im Sinne von Art. 35 Abs. 1 DSGVO einzustufen ist, obliegt Ihnen als datenschutzrechtlich verantwortliche Stelle. Um Ihnen bei dieser Entscheidung zu helfen, stellen die Datenschutzaufsichtsbehörden sog. „Muss-Listen“ gemäß Art. 35 Abs. 4 DSGVO bereit; diese Liste steht z. B. auf der Website des Bundesdatenschutzbeauftragten zum kostenfreien Download bereit. Auf ihr werden solche Arten von Datenverarbeitungen aufgeführt, die potenziell hohe Risiken aufweisen, so dass hierbei auf jeden Fall eine DSFA durchzuführen ist. Und u.a. werden dort Telefongespräch-Auswertungen durch Algorithmen oder auch Kundensupport mittels künstlicher Intelligenz aufgeführt.
Wenn Sie also zum Beispiel einen KI-Chat-Bot für Ihre Website oder ein Programm zur Auswertung von Gesprächsaufzeichnungen mit Kunden oder Bewerbern planen, dann unterliegen Sie automatisch auf datenschutzrechtlicher Ebene einer DSFA-Pflicht. Aber auch andere Einsatzzwecke von KI-Anwendungen können ein hohes Risiko für Betroffenen aufweisen, deren Daten damit verarbeitet werden sollen.
Achtung
Besondere Vorsicht bei sensiblen Daten mit Personenbezug
Auch mit dem Einsatz anderer KI-Anwendungen, wie etwa mit der Übersetzung eines Vertrages oder der Erstellung eines Gratulationsschreibens zum 10-jährigen Firmenjubiläum, können hohe Risiken verbunden sein. Das hängt jeweils vom konkreten Einsatzzweck, den verarbeiteten Daten sowie der genutzten KI ab. Insbesondere dann, wenn sehr sensible Daten mit Personenbezug, wie z.B. Angaben zur Gesundheit, Religion oder Gewerkschaftszugehörigkeit (vgl. Art. 9 Abs. 1 DSGVO), verarbeitet werden, ist in aller Regel ein hohes Risiko anzunehmen. Das gleiche gilt, wenn besonders viele (auch nicht-sensible) personenbezogene Daten verarbeitet werden (sog. Big-Data-Analysen).