An dieser Stelle finden Sie verschiedene Links rund um das Thema Künstliche Intelligenz und Aufsicht. Wir sammeln hier Lesetipps für alle, die sich rechtlich, technisch und gesellschaftlichtlich mit Künstlicher Intelligenz auseinandersetzen und die für den Datenschutz von Bedeutung sind. Die Leseecke wird kontinuierlich erweitert.

Im Amtsblatt der Europäischen Union wurde die KI-Verordnung am 12. Juli 2024 bekannt gegeben: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=OJ%3AL_202401689

Fünf prominente Mythen zu KI und Datenschutz kurz erklärt

In unserer Beratungstätigkeit stoßen wir immer wieder auf folgende Mythen, die wir an dieser Stelle ausräumen möchten.

Mythos 1: KI-Modelle haben nie Personenbezug

KI-Modelle, die mit personenbezogenen Daten trainiert wurden, haben in aller Regel einen Personenbezug.[1] Dies ist nur nicht der Fall, wenn folgende Punkte einschlägig sind:

  • 1) personenbezogene Daten, die mit den Trainingsdaten in Zusammenhang stehen, können nicht aus dem Modell extrahiert werden; und
  • 2) die bei der Abfrage des Modells erzeugten Ergebnisse beziehen sich nicht auf die betroffenen Personen, deren personenbezogene Daten zum Trainieren des Modells verwendet wurden.

Um den fehlenden Personenbezug im KI-Modell nachzuweisen, sind diverse Punkte zu beachten.[2]

Ein Personenbezug ergibt sich beispielsweise bereits, wenn z. B. bei der Eingabe in eine KI die Frage „Wer ist Bundeskanzler?“ gestellt wird und als Ausgabe „Friedrich Merz“ erscheint. Auch die Verarbeitung personenbezogener Daten öffentlicher Personen unterliegt den Anforderungen der DS-GVO.

Mythos 2: Betroffenenrechte sind kein Problem

Die Umsetzung der Betroffenenrechte, z.B. Informationspflichten nach Art. 13 DS-GVO, des Rechts auf Auskunft gemäß Art. 15 DS-GVO, des Rechts auf Berichtigung gemäß Art. 16 DS-GVO und des Rechts auf Löschung nach Art. 17 DS-GVO, stellt für Verantwortliche eine große Herausforderung dar.[3] Wenn beispielsweise die Löschung nicht umgesetzt werden kann, Betroffene aber ihre Einwilligung widerrufen bzw. einen Widerspruch nach Art. 21 DS-GVO einlegen (können), muss geprüft werden, ob der Einsatz der KI überhaupt  erfolgen kann. Das Unterdrücken unerwünschter Ausgaben mittels nachgeschalteter Filter stellt generell keine Löschung im Sinne von Art. 17 DS-GVO dar. Filtertechnologien können aber einen Beitrag dazu leisten, bestimmte Ausgaben zu vermeiden und damit den Rechten und Freiheiten der von einer bestimmten Ausgabe betroffenen Personen dienen.[4]

Mythos 3: Man kann blind auf Angaben des Herstellers vertrauen und hat keine Prüfungspflicht hinsichtlich der Infrastruktur

Sobald der Betreiber einer KI personenbezogene Daten verarbeitet, ist er datenschutzrechtlich Verantwortlicher. Er muss sicherstellen, dass die Verarbeitung gemäß der DS-GVO erfolgt, und den entsprechenden Nachweis erbringen.[5]

Der Umfang der Prüfung und das erwartete Detailniveau können dabei z.B. von Art und Ausmaß der Risiken abhängen, die sich aus der KI-basierten Verarbeitung in Bezug auf die betroffenen Personen ergeben, deren Daten zur Entwicklung des Modells verwendet wurden.[6]

Mythos 4: Beim Training von KI liegt immer ein berechtigtes Interesse (nach Art. 6 Abs. 1 Buchst. f DS-GVO) vor

Aufgrund der Anforderungen an ein berechtigtes Interesse gemäß Art. 6 Abs. 1 Buchst. f DS-GVO sowie der im Einzelfall erforderlichen Interessenabwägung und Berücksichtigung der Grundrechte und Grundfreiheiten der betroffenen Person ist eine pauschale Annahme eines berechtigten Interesses nicht möglich. Es muss der individuelle Verarbeitungskontext geprüft und beurteilt werden, beispielsweise unter Berücksichtigung der Datenherkunft und der Kategorien der Daten, etwa von schutzbedürftigen Personen oder Gesundheitsdaten sowie sonstigen besonderen Kategorien personenbezogener Daten.

Die Rechtmäßigkeit muss für jede Phase der Datenverarbeitung (z.B. Datensammlung, KI-Training und KI-Einsatz) gesondert geprüft und nachvollziehbar dokumentiert werden.[7] Gemäß dem 3-Stufen-Modell[8] ist dabei nicht nur das Vorliegen eines berechtigten Interesses (1. Stufe), sondern auch die Erforderlichkeit der Datenverarbeitung (2. Stufe) und die Interessenabwägung im eigentlichen Sinne zugunsten des Verantwortlichen/Dritten (3. Stufe, s.o.) nachzuweisen.

Mythos 5: Datenschutz-Folgenabschätzung ist nie erforderlich

Im Kontext von KI können sich unterschiedliche Risiken realisieren, die in einer individuellen Schwellwertanalyse[9] hinreichend berücksichtigt werden müssen. Mit Blick auf die bekannten KI-spezifischen Risiken bei der Verarbeitung personenbezogener Daten (umfangreiche Verarbeitung, Datenminimierung, Betroffenenrechte, Richtigkeit und Halluzinationen, Nutzung von Ein- und Ausgabedaten zum KI-Training, Erfüllung der Transparenz- und Informationspflichten etc.) können hohe Risiken für die Rechte und Freiheiten betroffener Personen entstehen, sodass eine DSFA erforderlich sein kann. Dies gilt insbesondere für eingriffsintensive Verarbeitungen nach Art. 22 DS-GVO oder im Sinne des Anhangs III KI-VO. Dies muss stets im Einzelfall geprüft werden.

 

Fußnoten

[1] EDSA Opinion 28/2024 on certain data protection aspects related to the processing of personal data in the context of AI models, Adopted on 17 December 2024.

[2] EDSA Opinion 28/2024 Rn. 38 ff.

[3] Vgl. LfDI BW ONKIDA, https://www.baden-wuerttemberg.datenschutz.de/onkida/.

[4] DSK OH KI und Datenschutz, 6. Mai 2024, https://www.datenschutzkonferenz-online.de/media/oh/20240506_DSK_Orientierungshilfe_KI_und_Datenschutz.pdf.

[5] Art. 24 und 5 Abs. 2 DS-GVO.

[6] EDSA Opinion 28/2024 Rn 130.

[7] Eingehend dazu und den einzelnen Stufen LfDI BaWü, Diskussionspapier Rechtsgrundlagen im Datenschutz beim Einsatz von Künstlicher Intelligenz Version 2.0, S. 21-24, abrufbar unter: https://www.baden-wuerttemberg.datenschutz.de/rechtsgrundlagen-datenschutz-ki/

[8] EDSA Opinion 28/2024 Rn. 66 ff.

[9] WP 248 der ehemaligen Art. 29-Gruppe.

 

Orientierung und Checklisten

1. Datenschutzkonferenz (DSK)

Hambacher Erklärung zu KI (2019)

Positionspapier zu empfohlenen technischen und organisatorischen Maßnahmen bei der Entwicklung und dem Betrieb von KI-Systemen

Orientierungshilfe der DSK zu KI und Datenschutz erschienen. V1.0 (2024)

Positionspapier zu nationalen Zuständigkeiten für die Verordnung zur Künstlichen Intelligenz

2. Einzelne Aufsichtsbehörden (.de)

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit: Checkliste zum Einsatz LLM-basierter Chatbots

LfDI Baden-Württemberg: Rechtsgrundlagen zum Einsatz von KI

LfDI Baden-Württemberg: Orientierungs­hilfen-Navigator KI & Datenschutz (ONKIDA)

Bayerisches Landesamt für Datenschutz:  KI Checkliste V0.9

3. Europäischer Datenschutzausschuss (EDSA)

Report der EDSA TaskForce ChatGPT (Mai 2024)

4. Einzelne Aufsichtsbehörden (andere .eu)

EDPS (Europäischer Beauftragter für Datenschutz): Guidelines on generative AI: embracing opportunities, protecting people

ICO (Information Commissioner´s Office, GB): Guidance, Tools, Opinions, AI Working Groups

CNIL (F) Commission Nationale de l’Informatique et des Libertés: Empfehlungen zum Einsatz von KI hier die englische Fassung

DSB (Datenschutzbehörde) Österreich: FAQ-Liste zu KI und Datenschutz

DSB (Datenschutzbehörde) Österreich: Informationen der Datenschutzbehörde zum Verhältnis zwischen der DSGVO und der Verordnung (EU) über künstliche Intelligenz (KI-VO) für Verantwortliche des privaten Bereichs und KI im öffentlichen Bereich

AP (Aufsicht NL): Handreichung zum Scraping (OF, nicht übersetzt)

Datatilsynet (Aufsicht Dänemark): Hinweise und Checkliste (.xls) für DSFA bei KI (OF, nicht übersetzt)

 

Für Rückfragen erreichen Sie uns unter der Telefonnummer
0711/615541-23 und per E-Mail: pressestelle@lfdi.bwl.de

Weitere Informationen zu Datenschutz und Informationsfreiheit finden Sie im Internet unter www.baden-wuerttemberg.datenschutz.de oder unter www.datenschutz.de.