Rechtsgrundlagen im Datenschutz beim Einsatz von Künstlicher Intelligenz:
Diskutieren Sie mit!
Der LfDI BW will verantwortliche Stellen unterstützen und die nachhaltige digitale Entwicklung fördern, bei der Datenschutz und Künstliche Intelligenz von Anfang an gemeinsam gedacht werden müssen. So können sowohl die Freiheitsrechte der Bürger_innen gestärkt als auch Innovationen mit integriertem Datenschutz ermöglicht werden. Zur Nutzung dieser Potentiale trägt der Landesbeauftragte mit dem Diskussionspapier „Rechtsgrundlagen im Datenschutz beim Einsatz von Künstlicher Intelligenz“ vom 13.11.2023 bei. Dabei steht die Frage im Mittelpunkt, wann und wie personenbezogene Daten für das Training und die Anwendung von Künstlicher Intelligenz verarbeitet werden dürfen. Das Diskussionspapier ist keine abschließende datenschutzrechtliche Bewertung beim Einsatz von KI, vielmehr eine Arbeitshilfe, um spezifische Einsatzszenarien innerhalb des rechtlichen Rahmens besser verorten zu können. Es soll verantwortlichen Stellen in Baden-Württemberg dabei helfen, sich mit den Rechtsgrundlagen auseinanderzusetzen, die das geltende Datenschutzrecht für den Einsatz von Systemen der sogenannten KI vorsieht.
Sie können das Diskussionspapier kommentieren. Kommentare sind möglich bis 1.2.2024, 24.00 Uhr. Sie werden danach von der Seite gelöscht. Ein Anspruch auf Aufnahme der Kommentare oder ihrer Inhalte im überarbeiteten Papier besteht nicht. Soweit dies erfolgt, werden im überarbeiteten Papier die entsprechenden Abschnitte mit Hinweis auf die im Online-Kommentar ersichtliche Autorenschaft gekennzeichnet.
4 Kommentare
Einen Kommentar abschicken
Netiquette
Wir freuen uns über respektvolle und konstruktive Diskussionen sowie Kommentare. Bitte verzichten Sie auf vulgäre, menschenverachtende, diskriminierende oder beleidigende Beiträge. Ungeachtet der gesetzlicher Vorschriften im Übrigen, werden Beiträge, die die Netiquette verletzen, gegebenenfalls auch ohne Angabe von Gründen verborgen oder gelöscht. Sachfremde Beiträge, kommerzielle Beiträge, bloße Links ohne inhaltliche Bezüge, Beiträge mit schutzwürdigen personenbezogene Daten, insbesondere solchen Dritter, sowie durch uns nicht übersetzbare fremdsprachige Texte behalten wir uns vor zu löschen. Wir bitten um Verständnis dafür, dass wir nicht auf alle Beiträge antworten können. Bitte nutzen Sie für Anfragen an den LfDI BaWü die genannten Kontaktmöglichkeiten.
Datenschutzhinweis
Die Informationen zur Erhebung und weiteren Verarbeitung von personenbezogenen Daten nach Artikel 13 DS-GVO finden Sie hier.
„Berlin Commissioner for Data Protection and Freedom of Information Meike Kamp said the mounting decisions against targeted advertising in the GDPR contexts of legal basis of a contract, legitimate interest and consent are creating „very, very strong doubts“ that companies can arrive at lawful practices with their „very intensive profiling of behavioral data.““ (quote from iapp.org) – if it is not possible to consent in advertisement, what legal basis could possibly exist to use big data algorithms (AI is nothing more than this, just a fancier name) which are much more intrusive and an enigma even to those who designed them?
Die Rechtsgrundlagen sind erschöpfend in Art. 6 Abs. 1 aufgelistet (std. Rspr. EuGH, zuletzt Urt. v. 4.7.23, Rn. 90). Bei der Beurteilung der Rechtmäßigkeit sind auch Datenverarbeitungen der Vergangenheit einzubeziehen, sofern deren Informationsgehalt weiterhin vorhanden ist und Wirkungen auf die Betroffenen zeitigt. Andernfalls würde dem Risiko der Informationspermanenz nicht Rechnung getragen, aus dem vor allem Einschränkungen der Selbstbestimmung(sfähigkeit) entstehen (siehe Voodoo-Scores der Schufa, die nach einem Jahr alle Infos löscht und dann behauptet, es sei nichts vorhanden, obwohl die Effekte ihres Tuns noch nachwirken).
Die Einwilligung gem. lit. a scheidet für bereits erfolgte Datenverarbeitungen aus. Zwar kann eine Einwilligung auch rückwirkend Datenverarbeitungen legitimieren. Allerdings ist dies sowohl nicht praktikabel weil keine Kontaktdaten der Betroffenen vorhanden sind, als auch weil es die theoretische Möglichkeit einer Verweigerung und eines jederzeitigen Widerrufs geben muss – diese sind in den LLMs etwa von Microsoft oder Meta schlicht nicht vorgesehen. Dies ist fürderhin ein Verstoß gegen Art. 25 DSGVO.
Ein Vertrag i.S.v. lit. b scheidet ebenfalls aus, nicht nur weil der EuGH (aaO) ausdrücklich eine enge Auslegung verfolgt, sondern weil es keine Verträge gibt. Das wirft das o.g. Problem der bereits erfolgten Datenverarbeitungen auf und insb. unter amerikanischem Recht einen unzulässigen Eingriff in das Property Right des 4th amendments.
Bleibt letztlich nur eine Abwägung der berechtigten Interessen als alleinige denkbare Rechtsgrundlage. Diese muss dokumentiert und gem. Art. 12 ff. transparent allen Betroffenen zur Verfügung gestellt werden. Das erfolgt bislang nirgends. Damit muss auch die sowohl vom EuGH als auch von den ErwG hervorgehobene „vernünftige Erwartung“ der Betroffenen als schlicht nicht vorhanden eingestuft werden. Es rechnet niemand damit (zu Recht!), dass alle Dokumente, Mails oder Chats durch ein IT Programm seines Arbeitgebers ausgewertet und zu einem „semantischen Index“, der einen als Mensch – nicht nur als Arbeitnehmer (!) – unverkennbar identifiziert, verwurstet werden. Und es rechnet auch niemand damit, dass alle Bilder, die ggf. in irgendwelchen Online-Archiven von Dritten hochgeladen werden, dazu genutzt werden, biometrische Muster in den Bevölkerungsgruppen zu identifizieren und auf der Basis Scores zu bilden. Damit handelt es sich letztlich um entweder bewusst heimliche Verarbeitungen von Daten, oder zumindest um grob fahrlässig unbekannt belassene. An solchen heimlichen oder grob fahrlässig intransparent durchgeführten Datenverarbeitungen kann kein *legitimes* Interesse bestehen. Legitim setzt zuförderst nämlich eine Akzeptanz des Interesses durch die Rechtsordnung voraus (vgl. Kamlah, in: Plath, Art. 6, mit diesem Argument) und unsere Rechtsordnung hält heimliche Datenverarbeitungen zu mehr als dubiosen, aber jedenfalls sehr einseitig (kommerziell) förderlichen Zwecken, nicht für legitim.
Nur hilfsweise sei erwähnt, dass neben der basalen Frage nach „berechtigten“ Interessen und Intransparenz, auch die restlichen Normen der DSGVO nicht außer Acht gelassen werden dürfen: bieten Midjourney oder Open AI irgendwelche AVVs (mit den umfangreichen Konkretisierungen des Art. 28 (3)/JCAs (mit der Pflicht „das Wesentliche“ der Vereinbarung offenzulegen) an? Auf welcher Basis benutzen dann europäische Unternehmen deren Services? Gibt es eine Dokumentation gem. Art. 30 Abs. 1 in der insb. Zwecke genannt sind? Wurde eine DSFA durchgeführt und – es kann nicht anders sein! – die zuständige Aufsicht gem. Art. 36 vorab konsultiert? Letzte rhetorische Frage: kann eine Datenverarbeitung i.S.v. Art. 6 Abs. 1 lit. f als „berechtigt“ angesehen werden, wenn sie sämtliche weiteren Normen der DSGVO ignoriert bzw. ganz bewusst verletzt?
Konsequent müssten die Aufsichtsbehörden ein Verbot gegen diese Art Anwendungen aussprechen (Art. 58 Abs. 2 lit. f), bis die o.g. Pflichtaufgaben erfüllt sind – und bei einigen auch die Feststellung treffen, dass sie schlicht und ergreifend unzulässig sind.
Es ist ein Skandal wie amerikanische Unternehmen (und TikTok) im Alleingang mit AI Auswertungen Europäer und Menschen allgemein zum ultimativen Objekt der Algorithmen degradieren und den Sargnagel in die informationelle Selbstbestimmung treiben. Und unsere Aufsichtsbehörden sehen zu, anstatt von den starken Mitteln Gebrauch zu machen, die ihnen ganz bewusst vom europäischen Gesetzgeber an die Hand gegeben wurden. Es ist unverständlich, wie oft der EuGH noch die weite Auslegung der DSGVO Normen unterstreichen muss, bis es auch in der letzten Behörde angekommen ist.
Kommentar *