Rechtsgrundlagen im Datenschutz beim Einsatz von Künstlicher Intelligenz

Switch to English

I. Ziel und Grenzen dieses Diskussionspapiers

Die Verwendung Künstlicher Intelligenz bietet großes Potential für unsere Gesellschaft. Wie mit jeder neuen Technologie gehen auch mit ihr Herausforderungen einher. Nach dem Motto „Daten nützen, Daten schützen“ sollten Datenschutz und Künstliche Intelligenz von Anfang an gemeinsam gedacht werden. So können sowohl die Freiheitsrechte der Bürger_innen gestärkt als auch Innovationen mit integriertem Datenschutz ermöglicht werden. Zur Nutzung dieser Potentiale möchte der Landesbeauftragte für den Datenschutz und die Informationsfreiheit in Baden-Württemberg (folgend: LfDI BW) mit diesem Diskussionspapier beitragen.

Das Papier soll verantwortlichen Stellen in Baden-Württemberg dabei helfen, sich mit den Rechtsgrundlagen auseinanderzusetzen, die das Datenschutzrecht für den Einsatz von Systemen der sogenannten Künstlichen Intelligenz^[1] (folgend: KI) vorsieht. Ausgangssituation ist das geltende Recht. Vorgaben der gegenwärtig noch nicht final ausverhandelten Verordnung zur Festlegung harmonisierter Vorschriften für Künstliche Intelligenz der Europäischen Union (folgend: KI-Verordnung)^[2] werden allenfalls gestreift.

Mit der Bezeichnung als Diskussionspapier soll unterstrichen werden, dass es sich – auch hinsichtlich einzelner Punkte – nicht um finale Festlegungen handelt, sondern das Paper einen Diskussionsstand abbilden soll. Zusammen mit einer weiterführenden Materialsammlung am Ende ist das Diskussionspapier letztlich als Arbeitshilfe zu verstehen, um spezifische Einsatzszenarien innerhalb des rechtlichen Rahmens besser verorten zu können.

Wir hoffen, mit diesem „lebenden Dokument“ sowohl für Unternehmen und Vereine (nicht-öffentliche Stellen) als auch für Behörden (öffentliche Stellen) einen Mehrwert zu schaffen, indem zentrale Begrifflichkeiten erläutert, Überblickswissen zu den Rechtsgrundlagen in der Datenschutz-Grundverordnung (folgend: DS-GVO), dem Bundesdatenschutzgesetz (folgend: BDSG) und dem Landesdatenschutzgesetz Baden-Württemberg (folgend: LDSG BW) vermittelt und die rechtliche Bewertung über die Formulierung von Leitfragen erleichtert werden.

Wir erheben keinen Anspruch auf Vollständigkeit, und auch die Checkliste am Ende der Zusammenfassung hat keinen abschließenden Charakter. Die Überlegungen sind auch innerhalb der datenschutzrechtlichen Perspektive thematisch begrenzt. Gegenstand sind hier nur die für eine Verarbeitung personenbezogener Daten erforderlichen Erlaubnistatbestände, die beim Einsatz von KI-Systemen^[3] zum Tragen kommen können. Ausdrücklich nicht adressiert und gegebenenfalls weiteren Diskussionspapieren vorbehalten bleiben beispielsweise die Themen Transparenz und Diskriminierungsfreiheit der Systeme (Stichwort „bias“), Betroffenenrechte (Art. 12-22 DS-GVO), Datensicherheit und Data Protection by Design (Art. 25, 32 DS-GVO), Datenschutz-Folgenabschätzung (Art. 35 DS-GVO) oder spezifische Herausforderungen durch Datentransfers außerhalb der Europäischen Union.

Um den jeweiligen Bearbeitungsstand dieses Diskussionspapiers zu kennzeichnen, enthält es eine Versionsnummer und das Datum des letzten Bearbeitungsstands.

II. Personenbezogene Daten und der Einsatz von Künstlicher Intelligenz

Die DS-GVO enthält keine spezifischen Vorschriften für KI-Systeme, weshalb sich die Bestimmung des Personenbezugs nach der allgemeinen Begriffsbestimmung aus Art. 4 Nr. 1 DS-GVO richtet.^[4] Danach sind unter personenbezogenen Daten alle Informationen zu verstehen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Bereits aus dem Wortlaut der Norm lässt sich entnehmen, dass dem Begriff des personenbezogenen Datums ein weites Verständnis zu Grunde liegt.[5]

Ausreichend für einen Personenbezug kann es daher sein, wenn eine Identifizierbarkeit der natürlichen Person aufgrund weiterer (zusätzlicher) Informationen gegeben ist, vgl. Art. 4 Nr. 1, Hs. 2 DS-GVO. Eine Identifizierbarkeit kann daraus folgen, dass Zahlen zur Kodierung und Darstellung von Daten verwendet werden.^[6] Bei der Prüfung eines Personenbezugs sind darüber hinaus sämtliche Mittel zu berücksichtigen, deren Nutzung nach allgemeinen Ermessen wahrscheinlich ist, vgl. Erwägungsgrund 26 S. 3. Vor diesem Hintergrund sind etwa die zum Zeitpunkt der Verarbeitung verfügbare Technologie und die technologischen Entwicklungen zu berücksichtigen. Allerdings bedarf es für die Annahme eines Personenbezugs einer bestehenden oder potentiellen Zugriffsmöglichkeit auf die für die Identifizierung der natürlichen Person erforderlichen Zusatzinformationen.^[7] Dabei müssen sich die zur Identifizierung erforderlichen Informationen nicht in den Händen einer einzigen Stelle befinden.^[8]

Der Frage nach dem Personenbezug kommt auch bei KI-Systemen eine besondere Bedeutung zu, da hiervon die Anwendbarkeit der DS-GVO abhängt. In diesem Zusammenhang stellt sich vor allem die Frage, ob und inwieweit ein abgeschlossen trainiertes KI-Modell[9] die Identifizierbarkeit natürlicher Personen aktuell und in Zukunft zulässt.^[10]

Ein solcher Personenbezug könnte sich beispielsweise daraus ergeben, dass im KI-Modell die personenbezogenen Daten selbst enthalten sind. Aber auch außerhalb der direkten Speicherung der personenbezogenen Daten könnte eine mittelbare Identifizierbarkeit wahrscheinlich sein. In diesem Zusammenhang sind sogenannte Model Attacks zu beachten.[11] Als Beispiel wird bei sog. Membership Inference Attacks versucht, herauszufinden, welche personenbezogenen Daten in den Trainingsdaten waren, um damit Merkmale der natürlichen Personen abzuleiten. Bei sog. Model Inversion Attacks wird hingegen direkt versucht, aus den Lernergebnissen des Modells Informationen über die Trainingsdaten zu gewinnen. Sollten solche Attacken auf KI-Systeme möglich sein, so könnte dadurch das Modell selbst wiederum als personenbezogenes Datum anzusehen sein.^[12]

Bei der Betrachtung muss indes auch berücksichtigt werden, ob solche Model Attacks nach allgemeinen Ermessen wahrscheinlich sind.^[13] Es bedarf damit grundsätzlich einer regelmäßigen Risikobewertung. Diese hat neben der rechtlichen Bewertung der (Re-)Identifizierbarkeit natürlicher Personen, die technischen Methoden im Sinne einer datenschutzkonformen Technikgestaltung einzubeziehen, vgl. Art. 25 Abs. 1 DS-GVO. Dazu gehören präventive Maßnahmen in der technischen Gestaltung eines KI-Systems derart, dass z. B. Model Attacks vermieden werden, wofür die Methode „Differential Privacy“ diskutiert wird.^[14] Ebenso könnte die technische Methoden des „Unlearning“[15] für das Löschen und das Recht auf Vergessen herangezogen werden, vgl. Art. 17 DS-GVO.

Kurz gesagt:
Inwieweit KI-Systeme personenbezogene Daten verarbeiten, ist abhängig vom Zeitpunkt der Bewertung: Es kann von vornherein eine Identifizierbarkeit der natürlichen Personen wahrscheinlich sein oder erst zu einem späteren Zeitpunkt mit Zusatzinformationen. Es sind jeweils die zum Einsatz gelangenden maschinellen Lernverfahren ebenso zu analysieren wie die Wahrscheinlichkeit, dass eine (Re-)Identifizierbarkeit natürlicher Personen durch atypisches Einwirken auf die Systeme möglich ist.

III. Phasen der Verarbeitung

Da der Verarbeitungsbegriff des Art. 4 Nr. 2 DS-GVO nahezu jeden Vorgang im Zusammenhang mit personenbezogenen Daten erfasst, können datenschutzrechtlich relevante Verarbeitungen im Kontext der Künstlichen Intelligenz entsprechend vielfältig sein. Exemplarisch werden im Folgenden fünf Verarbeitungsphasen dargestellt.

1. Erhebung von Trainingsdaten für Künstliche Intelligenz

Eine regelmäßig am Anfang von Anwendungen der Künstlichen Intelligenz stehende Verarbeitung ist das Sammeln, Generieren, Strukturieren oder Kategorisieren von Trainings-, Test- und Anwendungsdaten. Dieses kann sich sowohl aus einer eigenständigen Erhebung personenbezogener Daten, etwa dem Anfertigen von Bilddaten mit einer Kamera, als auch in einem Download von Daten aus öffentlich zugänglichen Quellen insbesondere dem Internet ergeben.

2. Verarbeitung von Daten für das Training von Künstlicher Intelligenz

Ein weiterer Verarbeitungsschritt kann in der Herstellung bzw. Entwicklung eines KI-Systems liegen. Hierbei werden die personenbezogenen Daten zum initialen Training des KI-Systems verarbeitet. Auch ein Verbessern oder Spezifizieren (sog. Fine-Tuning) der KI, zu dem weitere oder wiederholt dieselben personenbezogenen Daten verarbeitet werden, um die Qualität der Ergebnisse des KI-Systems zu steigern, ist unter den Verarbeitungsbegriff zu fassen.

3. Bereitstellen von Anwendungen der Künstlichen Intelligenz

Ob es sich bei einem Bereitstellen von mit personenbezogenen Daten trainierten KI-System um eine Verarbeitung personenbezogener Daten handelt, bedarf einer differenzierten Bewertung. Auf der einen Seite kann die kostenfreie und kontogebundene Bereitstellung solcher Anwendungen eine Verarbeitung der zuvor zu ihrer Entwicklung und Fortentwicklung verwendeten personenbezogenen Daten darstellen. Ob dies der Fall ist, hängt davon ab, inwieweit die Trainingsdaten als noch in dem KI-System „enthalten“ anzusehen sind, da sie bei der Nutzung der Anwendung weiter verarbeitet werden.^[16] Auf der anderen Seite werden im Rahmen der Nutzung erhobene personenbezogene Daten unter Umständen durch das KI-System ebenfalls weiterverarbeitet, insbesondere durch ein weiteres Training der Anwendung. Eine solche Verarbeitung bedürfte einer separaten Rechtsgrundlage.

4. Nutzung von Anwendungen der Künstlichen Intelligenz

Nach dem sogenannten Doppeltürmodell des Datenschutzrechts ist bei Verarbeitungen personenbezogener Daten mit mehreren Beteiligten für jede Rechtsbeziehung separat eine Rechtsgrundlage notwendig. Dies bedeutet, dass Vorgänge der dritten Verarbeitungsphase sowohl aus der Sicht des Bereitstellenden wie auch aus Sicht des Nutzenden zu bewerten sind.^[17]

Soweit also ein KI-System so konstruiert ist, dass ihre Trainingsdaten bei jeder Nutzung weiterverarbeitet werden, ist die Rechtsgrundlage zu prüfen, mit der die Nutzenden auf diese Daten zugreifen können. Von dieser Rechtsgrundlage würde auch die damit verbundene Weiterverarbeitung mittels der KI-Nutzung umfasst sein.

5. Nutzung von Ergebnisse der Künstlichen Intelligenz

Schließlich kann auch bei Ausgaben durch Anwendungen der Künstlichen Intelligenz eine datenschutzrechtlich relevante Verarbeitung vorliegen. Dies gilt etwa für Fälle, in denen personenbezogene Daten in einem Text eines Sprachmodells ausgegeben werden oder mit einem KI-Bildgenerator Bilder real existierender Personen generiert werden.

Besonderer Prüfung und Beachtung bedarf auf dieser Ebene der Verarbeitungsvorgang, dass die Herstellung des Personenbezugs zu einem KI-Ergebnis erst durch die das KI-System nutzende Stelle erfolgt (z. B. ein Textentwurf wird mit Anrede und Adressdaten versehen, eine Diagnose wird übernommen und gespeichert). Hier muss sich die Rechtsgrundlage auch darauf beziehen, dass das KI-Ergebnis in Verbindung mit einer natürlichen Person gebracht wird und eine neue Verarbeitung mit einem neuen Risiko für die Rechte und Freiheiten natürlicher Personen entsteht.

Kurz gesagt:
Die datenschutzrechtlich relevanten Vorgänge sind mit Blick auf die genannten Phasen der Verarbeitung im Zusammenhang mit den KI-Systemen differenziert und jeweils aus der Perspektive sowohl der Anbietenden, Nutzenden und Betroffenen datenschutzrechtlich zu bewerten.

IV. Datenschutzrechtliche Verantwortlichkeit

1. Alleinige Verantwortlichkeit

Der Verantwortliche ist zur Einhaltung der datenschutzrechtlichen Grundsätze der Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit der Verarbeitung personenbezogener Daten verpflichtet, vgl. Art. 5 Abs. 1 DS-GVO. Er ist zudem rechenschaftspflichtig, hat die Erfüllung der vorgenannten Anforderungen und die Anwendung dieser auf das KI-System nachzuweisen.

Generell kommen mit der Künstlichen Intelligenz befasste Personen, Unternehmen, Behörden oder sonstige Stellen als Verantwortliche im datenschutzrechtlichen in Betracht.
Verantwortlich ist gemäß Art. 4 Abs. 1 Nr. 7 DS-GVO, wer allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Die Entscheidung über „Zwecke“ und „Mittel“ kann auch als Entscheidung über das „Warum“ und „Wie“ der Verarbeitung verstanden werden.^[18] Hiervon umfasst sein können z. B. Vorgänge, in denen eine Stelle ein KI-System entwickelt, bereitstellt oder nutzt.

2. Verarbeitung in gemeinsamer Verantwortung

Eine gemeinsame Verantwortlichkeit besteht gemäß Art. 26 Abs. 1 S. 1 DS-GVO, wenn zwei oder mehr Verantwortliche gemeinsam die Zwecke und die Mittel der Verarbeitung entscheiden. Es bedarf also eines Zusammenwirkens von mindestens zwei Akteuren. Deren Entscheidungen über die Verarbeitungen personenbezogener Daten kann gemeinsam getroffen werden. Alternativ können auch sich ergänzende Entscheidungen zu einer gemeinsamen Verantwortlichkeit führen, wenn die Entscheidungen jeweils spürbare Auswirkungen auf die Festlegung der Zwecke und Mittel der Verarbeitungen haben. Ein weiteres wichtiges Kriterium für die gemeinsame Verantwortlichkeit ist, dass die Verarbeitung ohne die Beteiligung beider Parteien nicht möglich wäre, und zwar in dem Sinne, dass die Verarbeitungen jeder der Parteien untrennbar miteinander verbunden sind.^[19] Eine gemeinsame Verantwortlichkeit wäre etwa denkbar, wenn Datensätze zweier Unternehmen für das Training eines gemeinsamen KI-Systems verwendet werden.

Gemeinsam Verantwortliche legen  gemäß Art. 26 Abs. 1 S. 2 DS-GVO in einer Vereinbarung^[20] transparent fest, wer für die Erfüllung der Rechte der betroffenen Person Sorge trägt und wer welchen Informationspflichten gemäß Art. 12, 13 und 14 DS-GVO nachkommt.^[21]

LEITFRAGEN:

• Gibt es mehrere Parteien, die gemeinsam über die Verarbeitung personenbezogener Daten entschieden haben?
• Liegt zumindest eine sich ergänzende Entscheidung mehrerer Parteien vor, die spürbare Auswirkungen auf die Zwecke und Mittel der Verarbeitung hat?
• Wäre eine Verarbeitung ohne die Beteiligung von einer der Parteien möglich?

3. Auftragsverarbeitung

In einem wirksamen Auftragsverarbeitungsverhältnis bekommt der Auftragsverarbeiter die Rechtsgrundlagen zur Verarbeitung der personenbezogenen Daten vom Auftraggeber durchgereicht. Der Auftragsverarbeiter braucht dann keine eigene Rechtsgrundlage zur Verarbeitung.

Eine Auftragsverarbeitung liegt gemäß Art. 4 Nr. 8 DS-GVO und Art. 28 DS-GVO vor, wenn eine Stelle personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Der Auftragsverarbeiter ist im Verhältnis zum Verantwortlichen also zum einen eine eigenständige Stelle und zum anderen an die Weisungen des Verantwortlichen gebunden.^[22] Nach Art. 28 Abs. 1 DS-GVO darf der Verantwortliche lediglich mit solchen Auftragsverarbeitern zusammenarbeiten, die durch geeignete technische und organisatorische Maßnahmen hinreichend garantieren können, dass eine Verarbeitung im Einklang mit den Anforderungen der DS-GVO erfolgt und den Schutz der Rechte der betroffenen Personen gewährleistet. Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der Grundlage eines Vertrages mit dem Verantwortlichen^[23] oder eines anderen Rechtsinstruments, Art. 28 Abs. 3 S. 1 DS-GVO.

Möglich wäre eine Auftragsverarbeitung dahingehend, dass unter Weisung eines Verantwortlichen ein KI-System ausschließlich zu Zwecken des Verantwortlichen mit personenbezogenen Daten trainiert wird. Darüber hinaus würde eine Auftragsverarbeitung in Betracht kommen, wenn ein Verantwortlicher ein bereits bestehendes und von einem Cloud-Dienstanbieter ihm online zur Verfügung gestelltes KI-System für die Verarbeitung personenbezogener Daten z. B. für die Diagnostik nutzt. Die Grenze einer bloßen Auftragsverarbeitung ist in diesem Fall aber dann überschritten, wenn die eingegebenen personenbezogenen Daten in das KI-System auch der Verbesserung der Anwendung zugutekommen und die Verarbeitung damit auch den eigenen Zwecken des Anbieters dient.

Kurz gesagt:
Im Rahmen des Einsatzes von KI-Systemen kann für die Bestimmung der datenschutzrechtlichen Verantwortlichkeit eine differenzierte Tatsachenanalyse notwendig sein. In diesem Zusammenhang ist zu ermitteln, ob personenbezogene Daten lediglich auf Weisung und im Auftrag für eine andere Stelle verarbeitet werden und ob eine Partei ein eigenes Interesse an der Verarbeitung der personenbezogenen Daten aufweist.

LEITFRAGEN:

• Was ist zwischen den Parteien vereinbart und wie ist die tatsächliche Verarbeitung der personenbezogenen Daten ausgestaltet?
• Spiegelt sich in der tatsächlichen Verarbeitung die Parteivereinbarung wider?

V. Rechtsgrundlagen für öffentliche und nicht-öffentliche Stellen

Zunächst sollen die Rechtsgrundlagen der DS-GVO zur Verarbeitung von personenbezogenen Daten vorgestellt werden, welche sowohl für öffentliche als auch nicht-öffentliche Stellen anwendbar sind.

1. Einwilligung, Art. 6 Abs. 1 Buchst. a DS-GVO

Nach Art. 6 Abs. 1 Buchst. a DS-GVO ist die Verarbeitung personenbezogener Daten rechtmäßig, wenn die betroffene Person ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für eindeutig festgelegte Zwecke gegeben hat.

Nach der Begriffsdefinition aus Art. 4 Nr.  11 DS-GVO wird eine Einwilligung definiert als „jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist“. Voraussetzung ist damit neben einer freiwillig unmissverständlich abgegebenen Willensbekundung insbesondere, dass die Einwilligung hinreichend bestimmt und in Kenntnis der Sachlage, also in informierter Weise abgegeben wird.^[24]
Damit die Einwilligung hinreichend bestimmt ist, muss unter anderem festgelegt werden, welche Daten für welche Zwecke von wem verarbeitet werden, was die Art der Datenverarbeitung ist und wer die Empfänger sind.^[25] Dies dient vor allem dazu, dass die betroffene Person überprüfen kann, ob sie eine Einwilligung zur Datenverarbeitung erteilen möchte. Welche konkreten Anforderungen dabei an die Bestimmtheit zu stellen sind, muss unter Berücksichtigung der jeweiligen Eingriffsintensität der Datenverarbeitung für den konkreten Einzelfall festgestellt werden.^[26] Eng verbunden hiermit ist das Erfordernis einer informierten Erklärung, wonach der Verantwortliche die betroffene Person über die wesentlichen Aspekte der Datenverarbeitung zu informieren hat.^[27] Nach dem Erwägungsgrund 42 S. 4 sind dies mindestens Informationen über den Verantwortlichen sowie die Zwecke der Datenverarbeitung.
In der Praxis kann die Einhaltung der datenschutzrechtlichen Anforderungen bei der einwilligungsbasierten Datenverarbeitung durch KI-Systeme eine  Herausforderung darstellen.^[28] Dies kann an der Widerruflichkeit der Einwilligung nach Art. 7 Abs. 3 S. 1 DS-GVO liegen. Macht die betroffene Person von ihrem Widerrufsrecht Gebrauch, so hat der Verantwortliche gemäß Art. 17 Abs. 1 Buchst. b DS-GVO ihre personenbezogenen Daten unverzüglich zu löschen, sofern es an einer anderweitigen Rechtsgrundlage für die Datenverarbeitung fehlt.^[29] Das könnte unter Umständen Auswirkungen für die Funktionsfähigkeit des KI-Systems haben, wenn dieses auf Grundlage eben dieser Daten trainiert wurde oder eine Separierung der betroffenen Datensätze zur Erfüllung der Löschungspflicht mit einem unverhältnismäßigem Aufwand umsetzbar wäre.^[30]

Eine weitere Schwierigkeit kann die Intransparenz und mangelnde Nachvollziehbarkeit komplexer KI-Systeme sein,^[31] wenn dadurch die Einhaltung der datenschutzrechtlichen Anforderungen in Form einer hinreichend bestimmten und informierten Einwilligungserklärung infrage zu stellen ist.^[32] Die Informationen müssen in präziser, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache sein, dass die betroffene Person die Funktionsweise der Datenverarbeitung verstehen kann.^[33] Dem nachzukommen kann für Verantwortliche insbesondere dann herausfordernd sein, wenn sogar Fachleute die KI-Systeme und deren Datenverarbeitungsprozesse aufgrund ihrer Komplexität und Architektur (z. B. bei der Verwendung von tiefen neuronalen Netzen) nicht mehr eindeutig nachvollziehen können.

Der Intransparenz und mangelnden Nachvollziehbarkeit kann jedoch bis zu einem gewissen Grad entgegengewirkt werden, indem der betroffenen Person zumindest die Informationen über die wesentlichen Aspekte der Datenverarbeitung – wie etwa Informationen über die Zwecke der Datenverarbeitung sowie die Person des Verantwortlichen – bereitgestellt werden (z. B. in den Datenschutzhinweisen).^[34]

LEITFRAGEN:

• Liegt eine informierte, eindeutig bestätigende Einwilligungserklärung des Betroffenen vor?
• In welche Phase der Verarbeitung soll eingewilligt werden? Kann die betroffene Person bei der Verwendung des (komplexen) KI-Systems überhaupt so informiert sein, dass sie abschätzen kann, welche Auswirkungen und Tragweite die Datenverarbeitung hat?
• Könnte die Funktionalität des KI-Systems infrage stehen, wenn Betroffene ihre Einwilligung widerrufen und von ihrem Recht auf Löschung Gebrauch machen? Kann eine Umsetzung derzeit überhaupt gewährleistet werden?

2. Erfüllung eines Vertrages, Art. 6 Abs. 1 Buchst. b DS-GVO

Art. 6 Abs. 1 Buchst. b Alt. 1 DS-GVO erlaubt die Verarbeitung personenbezogener Daten zum einen, soweit sie für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, erforderlich^[35] ist. Zum anderen kann die Verarbeitung zur Durchführung vorvertraglicher Maßnahmen gemäß Art. 6 Abs. 1 Buchst. b Alt. 2 DS-GVO zulässig sein.

Eine gemeinsame Voraussetzung ist, dass zwischen den von der Datenverarbeitung betroffenen Parteien ein konkretes vertragliches oder vorvertragliches Verhältnis besteht.^[36] Es reicht daher nicht aus, dass eine Verarbeitung lediglich in einem Vertrag erwähnt wird oder für dessen Erfüllung nützlich ist.^[37] Allein durch die Aufnahme in eine Nutzungsvereinbarung kann eine Datenverarbeitung insoweit nicht bereits rechtmäßig sein.

Eine Verarbeitung personenbezogener Daten Dritter, die nicht Partei des Vertrags oder der vorvertraglichen Maßnahme sind, ist nicht durch die Rechtsgrundlage gedeckt. Hierdurch können Parteien, die ein KI-System herstellen, bereitstellen oder nutzen, somit keine vertragliche Vereinbarung schließen, die die Verarbeitungen personenbezogener Daten von Dritten legitimiert.

Soweit beispielsweise eine Person einen KI-Sprachgenerator erstellen lässt, der mit ihrer Stimme trainiert wird, erscheint als Rechtsgrundlage für die Verarbeitung der hierfür erforderlichen Sprachdaten Art. 6 Abs. 1 Buchst. b DS-GVO durchaus denkbar. Die Verwendung der zur Verfügung gestellten Sprachdaten zur weiteren Verbesserung eines grundlegenden KI-Modells wäre jedoch allenfalls für die Erfüllung des Vertrags nützlich und wird deshalb nicht von Art. 6 Abs. 1 Buchst. b DS-GVO umfasst sein.

Ebenso könnte der Einsatz von KI-Systemen innerhalb einer medizinischen Behandlung von der Rechtsgrundlage gemäß Art. 6 Abs. 1 Buchst. b DS-GVOi. V. m. § 630a Abs. 1 des Bürgerlichen Gesetzbuches zur vertraglichen Hauptpflicht gehören. Denn für die Unterstützung in der Diagnostik zur Erfüllung des Behandlungsvertrages wäre die mit dem Einsatz des KI-Systems verbundene Verarbeitung personenbezogener Daten von dieser Rechtsgrundlage unter Umständen erfasst. Gleichzeitig müsste der Einsatz des KI-Systems aus der Perspektive der betroffenen Personen vernünftigerweise zu erwarten sein und die betroffenen Personen müssten über die Funktionalität des KI-Systems informiert werden.

LEITFRAGEN:

• Besteht ein vertragliches Verhältnis, dessen Vertragspartei die betroffene Person ist, oder ein auf Anfrage der betroffenen Person begründetes vorvertragliches Verhältnis?
• Ist die Verarbeitung ein objektiv erforderlicher Bestandteil, kann also insbesondere nicht hinweggedacht werden, ohne dass der Hauptgegenstand des (vor-)vertraglichen Verhältnisses entfällt?
• Ist die Verarbeitung für die (vor-)vertraglichen Zwecke nicht lediglich nützlich und somit für diese nicht erforderlich?

3. Erfüllung einer rechtlichen Verpflichtung, Art. 6 Abs. 1 Buchst. c DS-GVO

Die Verarbeitung personenbezogener Daten kann nach Art. 6 Abs. 1 Buchst. c DS-GVO rechtmäßig sein.^[38] Die rechtliche Verpflichtung bedeutet hier eine echte gesetzlich angeordnete Pflicht, also ein „Muss“ zur Datenverarbeitung. Dem Verantwortlichen kommt dabei generell keine Entscheidungsfreiheit zu. Außerdem besteht eine verschärfte Anforderung in Bezug auf die Rechtsgrundlage und auch die Erforderlichkeit, die Verarbeitungen in diesem Rahmen auf das „unbedingt Notwendige“ zu beschränken. Die Rechtsgrundlage des Art. 6 Abs. 1 Buchst. c DS-GVO bietet im Kontext von KI-Systemen insoweit einen beschränkten Anwendungsbereich.

LEITFRAGEN:

• Besteht eine Pflicht, die eine Datenverarbeitung ohne Entscheidungsspielraum für den Verantwortlichen erfordert?
• Beschränkt sich die Verarbeitung wirklich auf das, was unbedingt notwendig ist, um der Rechtspflicht nachzukommen?

4. Schutz lebenswichtiger Interessen, Art. 6 Abs. 1 Buchst. d DS-GVO

Warum die Unterscheidung zwischen Training und Anwendung mit Blick auf die Rechtsgrundlage bedeutsam sein kann, wird in der folgenden Konstellation deutlich. Die Verarbeitung personenbezogener Daten für das Training des KI-Systems in Gestalt der Sammlung, des Generierens, des Strukturierens oder Kategorisierens von Daten zum Schutz lebenswichtiger Interessen kommt als Rechtsgrundlage aufgrund der hierfür erforderlichen kurzfristigen Notsituation nicht in Frage. Denn diese Rechtsgrundlage gilt nur für Notlagen hinsichtlich des Schutzes gegenüber einer konkreten Gefahr für die körperliche Unversehrtheit und das Leben, so dass diese subsidiär ist, vgl. Erwägungsgrund 46 S. 2 zur DS-GVO. Mit dieser Rechtsgrundlage wird dem Bedarf entsprochen, für kurzfristig (lebens-)notwendige Verarbeitungen personenbezogener Daten eine Rechtsgrundlage zu schaffen. Dabei muss es um die lebenswichtigen Interessen der betroffenen Person gehen und es darf kein milderes Mittel geben. Dass hierzu das Training eines KI-Systems erforderlich sein könnte, ist derzeit kaum vorstellbar.

Anders könnte im Einzelfall die Frage zu beurteilen sein, ob die Anwendung eines KI-Systems durch die verantwortliche Stelle unter Eingabe von personenbezogenen Daten der betroffenen Person (ohne dass das KI-System die eingegebenen Daten zum Training verwendet) sich auf Art. 6 Absatz 1 Buchstabe d DS-GVO stützen lässt. Hier erscheinen Anwendungsfälle – etwa beim lebensrettenden Einsatz mit einem KI-System im Rahmen eines nicht ansprechbaren Notfallpatienten – denkbar, die zudem den Voraussetzungen nach Art. 9 Abs. 2 Buchst. c DS-GVO unterliegen würden.

Kurz gesagt:
Diese Rechtsgrundlage kommt grundsätzlich nur für eine Anwendung der Künstlichen Intelligenz in der Notsituation für kurzfristige Maßnahmen zum Schutz lebenswichtiger Interessen der betroffenen Person in Betracht.

5. Zweckänderung, Art. 6 Abs. 4 DS-GVO

Die DS-GVO regelt in Art. 6 Abs. 4 den Fall der Weiterverarbeitung personenbezogener Daten bei einer Zweckänderung. Es geht also um eine Verarbeitung zu einem anderen Zweck als zu demjenigen, zu dem die personenbezogenen Daten ursprünglich erhoben wurden. Eine besondere Bedeutung kommt der Vorschrift vor allem beim Training von KI-Systemen zu, wenn die zugrunde liegenden Trainingsdaten zuvor zu einem anderen Zweck (z. B. zur Vertragserfüllung) erhoben wurden und diese nun für das Training genutzt werden sollen.^[39] Dann stellt sich die entscheidende Frage, ob die Weiterverarbeitung der personenbezogenen Daten im Rahmen von Art. 6 Abs. 4 DS-GVO zulässig ist.^[40] Für die Weiterverarbeitung im Sinne des Art. 6 Abs. 4 DS-GVO und Art. 5 Abs. 1 Buchst. b DS-GVO für einen neuen Zweck bedarf es (nach umstrittener Rechtsauffassung^[41]) zudem einer weiteren Rechtsgrundlage.

LEITFRAGEN:

• Zu welchem Zweck wurden die Trainingsdaten ursprünglich erhoben und sollen diese nun zu einem anderen Zweck weiterverarbeitet werden?
• Ist die Weiterverarbeitung zu einem anderen Zweck mit den Vorgaben nach Art. 6 Abs. 4 DS-GVO mit dem ursprünglichen Zweck vereinbar?
• Gibt es eine Rechtsgrundlage für die Weiterverarbeitung?

VI. Rechtsgrundlagen für nicht-öffentliche Stellen

Die folgenden vorgestellten Rechtsnormen sind in Bezug auf Art. 6 Abs. 1 Buchst. f DS-GVO in aller Regel nur für nicht-öffentliche Stellen als Rechtsgrundlage der Verarbeitung personenbezogener Daten im Zusammenhang mit Künstlicher Intelligenz anwendbar.

Gemäß Art. 6 Abs. 1 UAbs. 2 DS-GVO gilt die Rechtsgrundlage des Art. 6 Abs. 1 Buchst. f DS-GVO nicht für Verarbeitungen durch öffentliche Stellen in Erfüllung ihrer Aufgaben. Damit ist die Anwendung der Norm für öffentliche Stellen, wie z. B. Gemeinden, insoweit ausgeschlossen.^[42]

1. Berechtigte Interessen, Art. 6 Abs. 1 Buchst. f DS-GVO

Nach Art. 6 Abs. 1 Buchst. f DS-GVO ist die Verarbeitung personenbezogener Daten rechtmäßig, wenn diese zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Im Bereich der Datenverarbeitung durch KI-Systeme dürfte der Rechtsgrundlage nach Art. 6 Abs. 1 Buchst. f DS-GVO eine besondere Bedeutung zukommen. Dies liegt vor allem daran, dass die Norm aufgrund ihrer (innovations-)offenen Formulierung eine gewisse Flexibilität bietet: Sie orientiert sich an einem grundsätzlich nicht näher bestimmten berechtigten Interesse des Verantwortlichen oder eines Dritten. Darüber hinaus bedarf sie im Gegensatz zu anderen Rechtsgrundlagen keiner weiteren gesetzlichen Ausgestaltung im europäischen oder nationalen Recht. Die offene Formulierung kann allerdings gleichzeitig zu einer gewissen Rechtsunsicherheit in der Praxis führen. So können bei komplexeren Verarbeitungsprozessen viele Umstände Einfluss auf den der Norm immanenten Abwägungsprozess haben. Da die Betroffenen u. a. nicht in jeder Situation mit einer Verarbeitung ihrer Daten rechnen, kann dies einerseits zu Unvorhersehbarkeit für die Betroffenen und andererseits zu Rechtsunsicherheit für den Verantwortlichen führen.^[43]

Verarbeitungen personenbezogener Daten gem. Art. 6 Abs. 1 Buchst. f DS-GVO sind nach der Rechtsprechung des EuGH^[44] unter drei kumulativen Voraussetzungen rechtmäßig:

1) Berechtigtes Interesse

Der Begriff des berechtigten Interesses wird weit verstanden.^[45] Demnach kann das vom Verantwortlichen wahrgenommene berechtigte Interesse grundsätzlich in jedem rechtlichen, wirtschaftlichen oder immateriellen Interesse der Verantwortlichen oder Dritter bestehen.^[46]

Bei der Entwicklung und Verwendung von KI-Systemen wird zunächst ein berechtigtes Interesse des Verantwortlichen anzunehmen sein. Ein berechtigtes Interesse kann beispielsweise in der Entwicklung von KI-Systemen bestehen. So werden Verantwortliche im kommerziellen Kontext regelmäßig das Ziel verfolgen, immer bessere und innovativere Produkte anzubieten, was z. B. die Entwicklung autonomer Fahrzeuge oder die fehlerfreie Erkennung menschlicher Interaktionen sein kann.

Ein berechtigtes Interesse könnte sich darüber hinaus für die Herstellung, Bereitstellung oder Nutzung von KI-Systemen auch aus den in der Datenschutz-Grundverordnung ausdrücklich genannten Interessen ergeben, wie z. B. der Betrugsprävention oder der Direktwerbung.^[47]

2) Erforderlichkeit

Im Rahmen der Erforderlichkeit hat der Verantwortliche zu prüfen, ob dem berechtigten Interesse an der Verarbeitung der Daten nicht „in zumutbarer Weise ebenso wirksam mit anderen Mitteln [entsprochen] werden kann, die weniger stark in die Grundrechte und Grundfreiheiten der betroffenen Personen […] eingreifen“^[48]. Verarbeitungen im Rahmen von KI-Systemen müssen somit möglichen, insbesondere weniger Daten verarbeitenden, Alternativen gegenübergestellt und damit verglichen werden.

Wenn beispielsweise die Entwicklung eines KI-Systems zum Zeitpunkt der Bewertung auch ohne personenbezogene oder mit anonymisierten Daten möglich ist (und somit keine Rückschlüsse auf einzelne Personen zulässt), ist eine (eingriffsintensivere) Verarbeitung personenbezogener Daten nicht erforderlich. Gerade in Bezug auf Trainingsdaten stellt sich daher immer die Frage, ob es einer Verarbeitung personenbezogener Daten bedarf.

In der Bewertung der Erforderlichkeit wirkt sich zudem der Grundsatz der Datenminimierung gemäß Art. 5 Abs. 1 Buchst. c DS-GVO aus, der unter anderem verlangt, dass personenbezogene Daten nicht über das notwendige Maß hinaus verarbeitet werden.^[49] Insofern gilt für den Umgang mit personenbezogenen Daten im Zusammenhang mit KI-Systemen – vereinfacht ausgedrückt – nicht „Viel hilft viel!“, sondern vielmehr „Nur das Nötigste!“.

3) Abwägung

Zuletzt dürfen die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Personen nicht gegenüber dem berechtigten Interesse des Verantwortlichen oder eines Dritten überwiegen.^[50] Die Abwägung der jeweiligen einander gegenüberstehenden Rechte und Interessen hängt grundsätzlich von den konkreten Umständen des Einzelfalls ab.^[51] Dabei sind unter anderem der Umfang der fraglichen Verarbeitung und ihre Auswirkungen auf die betroffenen Personen zu berücksichtigen.^[52] Weitere Kriterien können beispielsweise auch der Informationsgehalt und die Anzahl der betroffenen Personen sein.^[53] Zu beachten ist auch, ob es sich bei der betroffenen Person um ein Kind handelt, das besonderen Schutz bedarf.^[54]

Die Verarbeitung personenbezogener Daten hat bezüglich sämtlicher Abwägungskriterien generell in einem in Relation zum berechtigten Interesse angemessenen Verhältnis zu erfolgen. Erheblich ist zudem, ob die betroffene Person in der konkreten Situation mit einer Verarbeitung ihrer personenbezogenen Daten zu rechnen hat, vgl. Erwägungsgrund 47 S. 1 Hs. 2, S. 3, 4 Ist dies nicht der Fall, kann dies der Verarbeitung entgegenstehen.^[55] Mittelbare Auswirkungen auf den insoweit anzustellenden Abwägungsprozess dürfte auch die Frage haben, wie weit eine verantwortliche Stelle ihren Transparenz- und Informationspflichten entspricht.

Bei der Datenverarbeitung durch KI-Systeme sind neben Detailliertheit und Umfang der Trainingsdaten auch solche Umstände wie beispielsweise die Auswirkungen auf die betroffenen Personen oder die Garantien zur Gewährleistung eines ordnungsgemäßen Trainings in die Interessenabwägung einzubeziehen.^[56] Die Eingriffsintensität hängt dabei von der spezifischen Verarbeitung ab. Das Trainieren eines großen Sprachmodells (sog. Large Language Models) könnte einen größeren Eingriff in die Rechte der betroffenen Personen darstellen als das Trainieren eines klassischen statistischen Modells (z. B. Generalized Linear Mixed Models). Darüber hinaus kommt es auch auf die zu verarbeitende Datenkategorie an (z. B. Verarbeitung besonderer Kategorien personenbezogener Daten, Art. 9 Abs. 1 DS-GVO, für die grundsätzlich zusätzlich zu Art. 6 Absatz 1 Buchst. f DS-GVO noch eine Rechtsgrundlage gemäß Art. 9 Abs. 2 DS-GVO gegeben sein muss).^[57]

Kurz gesagt:
Insgesamt stellt Art. 6 Abs. 1 Buchst. f DS-GVO aufgrund des offenen Tatbestands für die meisten Verarbeitungsprozesse im KI-Kontext eine besonders geeignete Rechtsgrundlage dar. Aufgrund der obligatorischen Interessenabwägung kann die Norm allerdings nur bedingt eine Rechtssicherheit vermitteln, da es stets erforderlich sein wird, den konkreten Einzelfall umfassend zu bewerten.

LEITFRAGEN:

• Welches konkrete berechtigte Interesse besteht an der Verarbeitung personenbezogener Daten? Ließe sich das verfolgte Ziel auch ohne eine Verarbeitung personenbezogener Daten erreichen (bspw. durch den Einsatz synthetischer Trainingsdaten im Rahmen der Entwicklung oder der Herstellung eines KI-Systems oder einer ausreichenden Verfremdung der zum Training genutzten Daten)? Bedarf es des konkreten Verfahrens überhaupt oder können die verfolgten Zwecke nicht auch auf sonstige Weise erreicht werden? (So wäre bspw. für einen einfachen Blick vor die Tür mittels einer Klingelkamera eine KI-basierte Gesichtserkennung nicht erforderlich.)
• Überwiegen die Interessen der betroffenen Personen gegenüber den Interessen der verantwortlichen Stelle?
• Ist für die betroffenen Personen aufgrund der konkreten Situation absehbar, dass es zu einer Verarbeitung ihrer personenbezogenen Daten kommen kann?

2. Beschäftigtendatenschutz, § 26 BDSG

Der Einsatz Künstlicher Intelligenz gewinnt auch in der Arbeitswelt an Bedeutung. Der Arbeitsalltag vieler Beschäftigter wird durch datenbasierte Anwendungen geprägt. Im Beschäftigungskontext bietet der § 26 BDSG auf Grundlage der Öffnungsklausel in Art. 88 DS-GVO eine Möglichkeit zur Verarbeitung personenbezogener Daten in Beschäftigungsverhältnissen, wobei die Anwendbarkeit von § 26 Abs. 1 S. 1 BDSG nach dem Urteil des Europäischen Gerichtshofes vom 30 März 2023^[58] umstritten ist.  Datenverarbeitungen im Beschäftigungskontext zur Durchführung des Arbeitsvertrages oder im Bewerbungsverfahren mit der betroffenen Person können jedoch in der Regel ohne die Rechtsgrundlage des § 26 Absatz 1 Satz 1 BDSG heranzuziehen, direkt mit der Rechtsgrundlage des Art. 6 Abs. 1 Satz 1 Buchst. b DS-GVO legitimiert sein.

Dies setzt allerdings voraus, dass die Datenverarbeitung mit einem KI-System zur Durchführung des Beschäftigungsverhältnisses oder des Bewerbungsverfahrens erforderlich ist. Es darf keine zumutbare und vergleichbar effektive datenschutzfreundlichere Alternative geben. Außerdem muss das Interesse am Einsatz der Künstlichen Intelligenz das Interesse der betroffenen Person überwiegen. Eine nähere Regelung des Einsatzes von KI-Systemen kann auch durch Kollektivvereinbarungen erfolgen, wobei das Schutzniveau der DS-GVO jedoch nicht unterschritten werden darf. Außerdem müssen gerade auch beim Einsatz von KI-Systemen im Beschäftigungskontext selbstverständlich sowohl die Grundsätze des Betriebsverfassungsrechts als auch die des Tarifrechts beachtet werden.

Im Kontext des Beschäftigtendatenschutzes ist zudem zu beachten, dass aufgrund eines Unter- und Überordnungsverhältnisses strenge Maßstäbe an eine Prüfung der Einwilligung^[59] anzulegen sind. Schon dem Gesetzeswortlaut von § 26 Abs. 2 BDSG nach muss bei der Prüfung der Freiwilligkeit die Abhängigkeit vom Unternehmen in die Abwägung einbezogen werden. In Bezug auf die praktisch bedeutsamen Fragen der KI-Analysen im Bewerbungsverfahren oder des „HR-Managements“ ist zu beachten, dass eine beachtliche Analysetiefe bei Persönlichkeitsprofilen erreicht werden kann. Dadurch können Einwilligungen als Rechtsgrundlage in diesen Anwendungsfällen ausscheiden. Zudem sind ggf. die Anforderungen des Art. 22 DS-GVO zu beachten.^[60]

Kurz gesagt:
Im Beschäftigtendatenschutz sind aufgrund eines Unter- und Überordnungsverhältnisses strenge Maßstäbe an eine Prüfung der Einwilligung anzulegen.

LEITFRAGEN:

• Auf welcher Rechtsgrundlage erfolgt der Einsatz des KI-Systems im Beschäftigungskontext?
• Ist der Einsatz von KI-Systemen für die Durchführung des Beschäftigungsverhältnisses oder des Bewerbungsverfahrens erforderlich?
• Gibt es eine zumutbare und effektive datenschutzfreundlichere Alternative zum Einsatz von KI- Systemen?
• Überwiegen die Interessen der Beschäftigten gegenüber den Interessen der verantwortlichen Stelle?
• Wurden die Grundsätze des Betriebsverfassungsrechts und des Tarifrechts berücksichtigt?
• Im Falle der Einwilligung als Rechtsgrundlage: Ist die Einwilligung auch unter Berücksichtigung des Abhängigkeitsverhältnisses als freiwillig erteilt anzusehen?

VII. Rechtsgrundlagen für öffentliche Stellen in Baden-Württemberg

Gemäß Art. 6 Abs. 1 Buchst. e, Abs. 3 DS-GVO könnten für  öffentliche Stellen des Landes beim Einsatz von Künstlicher Intelligenz zudem Rechtsgrundlagen aus dem LDSG BW in Betracht kommen. Die Sonderregelungen im Bereich der Strafverfolgung und Justiz mit der JI-Richtlinie^[61] und dem Landesdatenschutzgesetz für Justiz- und Bußgeldbehörden (LDSG-JBBW) werden  im Rahmen dieses Diskussionspapiers nicht weiter betrachtet.

1. Öffentliches Interesse oder öffentliche Gewalt, Art. 6 Abs. 1 Buchst. e DS-GVO

Die generalklauselartige Formulierung des Art. 6 Abs. 1 Buchst. e DS-GVO nennt zwei Möglichkeiten der Verarbeitung. Entweder muss eine Verarbeitung im öffentlichen Interesse liegen oder aber die Verarbeitung muss in Ausübung öffentlicher Gewalt erfolgen. In beiden Fällen ist jedoch die Übertragung einer Aufgabe an den Verantwortlichen erforderlich. Damit ist nach Art. 6 Abs. 3 DS-GVO jedoch eine rechtliche Grundlage im Unionsrecht oder Recht des Mitgliedstaats erforderlich.  Die Regelunge des Art. 6 Abs. 1 Buchst. e DS-GVO schafft gerade keine  Rechtsgrundlage zur Verarbeitung personenbezogener Daten, sondern  gilt nur in Verbindung mit z. B. den hier spezifisch vorgestellten Rechtsgrundlagen im nationalen und Landesrecht.^[62]

2. Dienst- und Arbeitsverhältnisse, § 15 LDSG BW

Ähnlich wie § 26 BDSG bietet § 15 LDSG BW im öffentlichen Beschäftigungskontext zur Datenverarbeitung eine Rechtsgrundlage. Die Datenverarbeitung muss wie bei § 26 Abs. 1 S. 1 BDSG zur Eingehung, Durchführung, Beendigung oder Abwicklung des jeweiligen Dienst- oder Arbeitsverhältnisses oder zur Durchführung innerdienstlich planerischer, organisatorischer, personeller, sozialer oder haushalts- und kostenrechnerischer Maßnahmen, insbesondere zu Zwecken der Personalplanung und des Personaleinsatzes, erforderlich sein.

Eine strenge Prüfung vor dem Hintergrund eines Unter- und Überordnungsverhältnisses gegenüber der öffentlichen Stelle könnte eine Anwendung von KI-Systemen im Beschäftigungskontext auf Grundlage von § 15 LDSG BW zum Teil jedoch ausschließen. Nach § 84 Landesbeamtengesetz, der nach § 15 Abs. 4 LDSG BW auch  auf die Verarbeitung von Personalaktendaten von Arbeitnehmer_innen sowie Auszubildenden im öffentlichen Dienst Anwendung findet, darf eine beamtenrechtliche Entscheidung nur dann auf einer ausschließlich automatisierten Verarbeitung von personenbezogenen Daten beruhen, wenn weder ein Ermessen noch ein Beurteilungsspielraum besteht.^[63]

Kurz gesagt:
Das Unter- und Überordnungsverhältnis bei Beschäftigen des öffentlichen Dienstes könnte dem Einsatz von KI-Systemen auf Grundlage von § 15 LDSG BW entgegenstehen. Im jeden Fall ist eine strenge und umfangreiche Prüfung nötig.

LEITFRAGEN:

Besteht ein Ermessens- oder Beurteilungsspielraum bei der zu treffenden Entscheidung? Liegt dieser vor, ist der Einsatz eines KI-Systems unzulässig. Liegt dieser nicht vor, schließen sich folgende Fragen an:

• Auf welcher Rechtsgrundlage erfolgt der Einsatz KI-gestützter Verarbeitungsvorgänge in Dienst- und Arbeitsverhältnissen? (gesetzliche Grundlage oder Kollektivvereinbarung)
• Ist der Einsatz von KI-Systemen für die Durchführung des Dienst- und Arbeitsverhältnisses oder des Bewerbungsverfahrens erforderlich?
• Gibt es eine zumutbare und effektive datenschutzfreundlichere Alternative zum Einsatz von KI- Systemen?
• Überwiegen die Interessen der betroffenen Personen gegenüber den Interessen und Rechten der verantwortlichen Stelle?

3. Videoüberwachung öffentlich zugänglicher Räume, § 18 LDSG BW

Ob § 18 LDSG BW als Rechtsgrundlage für den Einsatz von Künstlicher Intelligenz im Zusammenhang mit einer Videoüberwachungsanlage in Betracht kommen kann, ist unter Beachtung des Normzwecks näher zu betrachten.

Eine Beobachtung öffentlich zugänglicher Räume mit Hilfe einer Videoüberwachungsanlage durch öffentliche Stellen ist gemäß § 18 Abs. 1 LDSG BW lediglich dann zulässig, soweit diese zur Erfüllung öffentlicher Aufgaben oder in Ausübung des Hausrechts im Einzelfall erforderlich ist: zum einen, um das Leben, die Gesundheit, die Freiheit oder das Eigentum von Personen (Alt. 1)  oder Kulturgüter, öffentliche Einrichtungen, öffentliche Verkehrsmittel, Amtsgebäude zu schützen, und zum anderen, um sonstige bauliche Anlagen öffentlicher Stellen (Alt. 2) zu schützen. Dabei dürfen keine Anhaltspunkte für ein überwiegendes schutzwürdiges Interesse der betroffenen Personen erkennbar sein.

Zwar dient § 18 LDSG BW nach diesem Normzweck erkennbar auch dem Schutz vor strafbarem Verhalten. Für die Kommunen als Ortspolizeibehörden sowie den Polizeivollzugsdienst ist § 18 LDSG BW jedoch zu polizeilichen Zwecken nicht anwendbar, da es sich zwar um öffentliche Stellen handelt, § 44 Polizeigesetz Baden-Württemberg (PolG BW) die Videoüberwachung durch die Polizei aber als speziellere Norm regelt, vgl. auch § 2 Abs. 1 S. 3 LDSG BW. Der Normgehalt des § 44 Abs. 4 PolG BW weckt darüber hinaus auch Zweifel an einer Zulässigkeit des Einsatzes von KI-Systemen im Rahmen des Anwendungsbereichs des § 18 LDSG BW. Denn § 44 Abs. 4 PolG BW erlaubt dem Polizeivollzugsdienst (nicht jedoch der Ortspolizeibehörde) eine Auswertung der nach § 44 Abs. 1 PolG BW erhobenen Videobilder mittels KI-Systemen. Der Landesgesetzgeber hat hiermit zum Ausdruck gebracht, dass er die Norm zur Erhebung der Videobilder (§ 44 Abs. 1 PolG BW) nicht für ausreichend hält, um auch eine algorithmische Auswertung der Bilddaten zur Erkennung potentiell strafbarer Verhaltensweisen darauf zu stützen. Er hielt hierfür vielmehr eine explizite Rechtsgrundlage in § 44 Abs. 4 PolG BW für erforderlich. Für § 18 LDSG BW lässt sich im Umkehrschluss ableiten: Hätte der Gesetzgeber eine algorithmische Erkennung von bestimmten menschlichen Verhaltensweisen auch für andere öffentliche Stellen zulassen wollen, so hätte er dies wohl in § 18 LDSG BW ebenfalls normiert.

Jede Videoüberwachung stellt einen Eingriff in das Recht auf informationelle Selbstbestimmung dar.^[64]  Es ist daher auch fraglich, ob der Einsatz von Künstlicher Intelligenz im Rahmen der Videoüberwachung gemäß § 18 LDSG BW verhältnismäßig sein kann. Der Einsatz müsste einem legitimen Zweck dienen, geeignet, erforderlich und angemessen sein.

Ihr Einsatz dient in der Regel dem Zweck der Unterstützung bei der Beaufsichtigung öffentlich zugänglicher Räume und ist hierzu auch geeignet. Fraglich ist jedoch, ob der Einsatz von KI-basierten Videoüberwachungsanlage auch erforderlich und angemessen sein kann. Gerade unter Berücksichtigung, dass es sich bei dem Einsatz von KI-gestützten Videosystemen im öffentlichen Raum um das mildeste zur Verfügung stehende Mittel zur Zweckerreichung handeln müsste und die Interessen der verantwortlichen Stelle nicht außer Verhältnis zu den Interessen der Betroffenen stehen dürften, gehen wir davon aus, dass § 18 LDSG BW keine geeignete Rechtsgrundlage für die Verarbeitung personenbezogener Daten im Zusammenhang mit intelligenter Videoüberwachungstechnik im öffentlichen Raum sein kann.

Kurz gesagt:
Unter dem gegenwärtigen Rechtsrahmen ist § 18 LDSG BW für den Einsatz von künstlicher Intelligenz im Rahmen der Videoüberwachung keine geeignete Rechtsgrundlage.

4. Generalklausel für öffentliche Stellen, § 4 LDSG BW

Die Regelung in § 4 LDSG BW ist grundsätzlich für öffentliche Stellen als Rechtsgrundlage zur Verarbeitung von personenbezogenen Daten in einem KI-System in Betracht zu ziehen. Jedoch ist zu beachten, dass § 4 LDSG BW als Generalklausel ein Auffangtatbestand ist und lediglich dann zur Anwendung kommt, sofern nicht spezifische Vorschriften die Verarbeitung insoweit abschließend regeln.

Die Regelung setzt zunächst voraus, dass die öffentliche Stelle in Erfüllung einer in ihrer Zuständigkeit liegenden Aufgabe oder in Ausübung öffentlicher Gewalt handelt, die ihr übertragen wurde. Es bedarf mithin einer weiteren – gesetzlichen – Regelung, die der öffentlichen Stelle die in Rede stehende Aufgabe zuweist. Außerdem muss die Datenverarbeitung mittels KI-System zur Erfüllung dieser bzw. für die ihr obliegende Ausübung öffentlicher Gewalt im strengen Sinne erforderlich^[65] sein. Sind die Datenverarbeitungen lediglich hilfreich, z. B. weil sie Verarbeitungen einfacher oder kostengünstiger machen, so wird dadurch nicht notwendigerweise die Erforderlichkeit indiziert.^[66] Auch wird die Entwicklung oder das Training eines KI-Systems regelmäßig nicht für die Erfüllung der mit dem KI-System verfolgten behördlichen Aufgabe erforderlich sein. Ebenso können nur Datenverarbeitungen mit geringer Eingriffsintensität auf diese Rechtsgrundlage gestützt werden, da die Regelung sonst mit dem Bestimmtheits- und Verhältnismäßigkeitsgrundsatz kollidieren würde.^[67] Beim Einsatz einer Anwendung der Künstlichen Intelligenz kann aber schon der Umstand, dass die Verarbeitung nicht vollständig erklärbar ist, für einen schwerwiegenden Eingriff sprechen, der den Rückgriff auf die Generalklausel ausschließt und eine spezialgesetzliche Regelung erfordert. Es wird daher darauf ankommen, welche einzelnen Phasen der Verarbeitungen zu welchem Zweck mit welchen Mitteln vorgenommen werden.

Besondere Sorgfalt ist auf die Prüfung anzuwenden, wenn Drittanbieter eines KI-Systems eingebunden werden sollen. Soweit die bei der Nutzung entstehenden Daten von dem KI-System zu deren weiterem Training verwendet werden sollen, wäre die Überlassung dieser Daten an den Anbieter in der Regel eine Übermittlung, die nicht auf die Rechtsgrundlage nach § 4 LDSG BW gestützt werden kann. Soweit das KI-System die Daten nur zum jeweiligen Eingabezweck verarbeitet, käme hingegen unter den beschriebenen Voraussetzungen die Verarbeitung im Rahmen einer Auftragsverarbeitung in Betracht, wenn der öffentlichen Stelle selbst eine Verarbeitungsbefugnis mittels des in Rede stehenden KI-Systems zukommt.

Kurz gesagt:
Sollten öffentliche Stellen Verarbeitungen auf § 4 LDSG BW stützten, so ist in jedem Falle eine ausführliche rechtliche Begründung nötig.

LEITFRAGEN:

• Gibt es für die öffentliche Stelle keine andere Rechtsgrundlage als § 4 LDSG BW?
• Dient die Verarbeitung der personenbezogenen Daten einer der öffentlichen Stelle gesetzlich zugewiesenen Aufgabe?
• Ist die Verarbeitung für die Aufgabenerfüllung erforderlich? Gibt es weniger eingriffsintensive Verarbeitungen? Oder ist die Verarbeitung nur einfacher bzw. kostengünstiger als die Alternativen?
• Ist die Verarbeitung über das KI-System mit einer hohen Eingriffsintensität verbunden, die nicht mehr auf die Generalklausel gestützt werden kann?

VIII. Verarbeitung besonderer Kategorien personenbezogener Daten nach Art. 9 Abs. 1 DS-GVO

Gesteigerte Schutzanforderungen sieht die Datenschutz-Grundverordnung vor, wenn besondere Kategorien personenbezogener Daten im Sinne des Art. 9 Abs. 1 DS-GVO Gegenstand der Verarbeitung sind. Sobald für das Training und die Nutzung von KI-Systemen personenbezogene Daten im Sinne des Art. 4 Nr. 1 DS-GVO verarbeitet werden, ist auch die Möglichkeit zu bedenken und prüfen, dass sich aus diesen personenbezogenen Daten mit einem geringen Risiko für die Rechte und Freiheiten natürlicher Personen im Laufe des Lebenszyklus der Daten sensible Informationen mit einem hohen Risiko in Gestalt der besonderen Kategorien personenbezogener Daten nach Art. 9 Abs. 1 DS-GVO ableiten lassen können. Sobald sensible Erkenntnisse ableitbar sind, geht damit ein gesteigerter Schutz- und Vertraulichkeitsbedarf einher, da die Verarbeitung erhebliche Risiken für den Schutz der Rechte und Freiheiten natürlicher Personen bedeuten können.^[68] Daher sind die – für die umfangreichen Datenverarbeitungen des Maschinellen Lernens notwendigen – potentiellen Datenarten auch dahingehend zu bewerten, ob aus den personenbezogenen Daten im Laufe des Lebenszyklus solche Informationen ableitbar sind, die besondere Kategorien personenbezogener Daten nach Art. 9 Abs. 1 DS-GVO betreffen.

In Anbetracht des gesteigerten Vertrauens- und Schutzniveaus für die Verarbeitung besonderer Kategorien personenbezogener Daten bedarf es einer differenzierten und sorgfältigen Bewertung der Richtigkeit und Qualität der Daten im Sinne des Art. 5 Abs. 1 Buchst. d DS-GVO. Aufgrund der für das Training von KI-Systemen notwendigen umfangreichen Verarbeitungen besonderer Kategorien personenbezogener Daten sind die mit diesen Trainingsdaten einhergehenden vermuteten hohen Risiken für die Rechte und Freiheiten rechtzeitig zu identifizieren und zu minimieren. Für die Bewertung und Sicherstellung der Qualität der Trainingsdaten sind bezüglich der Nutzung von besonderen Kategorien personenbezogener Daten nach Art. 10 Abs. 5 des Entwurfs der KI-Verordnung „modernste Sicherheits- und Datenschutzmaßnahmen wie Pseudonymisierung oder Verschlüsselung“ vorgesehen.

Ausnahmen von dem Verbot der Verarbeitung besonderer Kategorien personenbezogener Daten ergeben sich aus den eng auszulegenden Rechtsgrundlagen nach Art. 9 Abs. 2-4 DS-GVO. Abhängig von dem konkreten Zweck der Verarbeitung der besonderen Kategorien personenbezogener Daten für die Vorbereitung des Trainings des KI-Systems (z. B. Sammlung und Kategorisierung der Daten) und der Anwendung des KI-Systems kann die Rechtsgrundlage nach Art. 6 Abs. 1i. V. m. Art. 9 Abs. 2 DS-GVO variieren.

Die Rechtsgrundlage der ausdrücklichen Einwilligung nach Art. 6 Abs. 1 Buchst. ai. V. m. Art. 9 Abs. 2 Buchst. a DS-GVO kann für die Sammlung und Strukturierung der Trainingsdaten und den Einsatz des KI-Systems abhängig vom Kontext der Verarbeitung eine jeweils geeignete Rechtsgrundlage darstellen. Die Freiwilligkeit der Einwilligung kann im Einzelfall wegen Einflüssen etwa von Lock-in-Effekten, Nudging und kognitiven Verzerrungen (Deceptive Design Patterns)^[69] in ihrer Wirksamkeit in Frage stehen.^[70] Gleichzeitig stellt sie gegenüber der gesetzlichen Rechtsgrundlage ein Mehr an Einflussmöglichkeit dar.

Die datenschutzrechtliche Einwilligung als Rechtsgrundlage für die Nutzung der personenbezogenen Daten für die wissenschaftliche Forschung im Gesundheitswesen verleiht zudem dem Recht auf informationelle Selbstbestimmung unmittelbar Ausdruck.^[71] Sobald die Verarbeitung personenbezogener Daten für das Training und den Einsatz des KI-Systems zu Forschungszwecken mit einer gesetzlichen Rechtsgrundlage legitimiert ist, sind die Einflussmöglichkeiten der Betroffenen, insbesondere das Recht auf Widerspruch (z. B. über Dashboard-Systeme oder andere Management-Systeme), nachzuzeichnen.^[72] Dabei gilt es insbesondere, die Garantien zum Schutz der Rechte und Freiheiten und zur Gewährleistung eines hohen Schutz- und Vertrauensniveaus der Verarbeitungen im Zusammenhang mit KI umzusetzen. Insofern lässt sich für die Verarbeitung personenbezogener Daten zur Vorbereitung des Trainings von KI-Systemen der Grundsatz nach der Petersberger Erklärung unter der Maßgabe heranziehen, dass das gesetzlich vorgesehene hohe Schutzniveau nach Art. 32 Abs. 1 und Art. 89 Abs. 1 DS-GVO gewahrt bleibt: „Je höher der Schutz der betroffenen Personen durch geeignete Garantien und Maßnahmen, desto umfangreicher und spezifischer können die Daten genutzt werden.“

Kurz gesagt:
Mit der Verarbeitung umfangreicher Datensätze personenbezogener Daten im Zusammenhang mit KI-Systemen geht das Risiko einher, dass diese im Laufe des Lebenszyklus der Verarbeitung zu besonderen Kategorien personenbezogener Daten werden. Daher sollten Verantwortlichen von Anfang an die Anforderungen an die Verarbeitung besonderer Kategorien personenbezogener Daten einbeziehen.

LEITFRAGEN:

• Können die verarbeiteten personenbezogenen Daten zu Informationen und Erkenntnissen führen, dass besondere Kategorien personenbezogener Daten zum Gegenstand der Verarbeitung werden?
• Führt der Lebenszyklus der verarbeiteten personenbezogenen Daten dazu, dass auch eine Rechtsgrundlage nach Art. 6 Abs. 1i. V. m. Art. 9 Abs. 2 DS-GVO einzubeziehen ist?

1. Datenverarbeitung zu wissenschaftlichen oder historischen Forschungszwecken und zu statistischen Zwecken, § 27 BDSG

Nach § 27 BDSG können besonders geschützte besondere Kategorien personenbezogener Daten im Sinne des Art. 9 Abs. 1 DS-GVO unter bestimmten Umständen für die wissenschaftliche Forschung im Kontext von KI-Systemen genutzt werden. Es ist dabei umstritten, ob § 27 BDSG eine eigene Rechtsgrundlage ist oder einer weiteren Rechtsgrundlage bedarf.^[73] Für die Rechtsanwendung wird es in den meisten Konstellationen auf die Abwägung und den Nachweis über das die gegenteiligen Interessen der betroffenen Person überwiegende Interesse des Verantwortlichen ankommen.

Die Regelung Art. 27 Abs. 1 S. 1 BDSG geht zurück auf die Öffnungsklausel des Art. 9 Abs. 2 Buchst. j DS-GVO und setzt für den Verarbeitungszweck der wissenschaftlichen Forschung eine Interessenabwägung mit einem nachgewiesenen erheblich überwiegenden Interesse des Verantwortlichen voraus. Die Verarbeitung der personenbezogenen Daten zur Strukturierung und die Nutzung der Daten für das Maschinelle Lernen und schließlich die Anwendung des Ergebnisses des Maschinellen Lernens müsste jeweils nachweislich wissenschaftlichen Forschungszwecken dienen und für diese erforderlich sein.

2. Datenverarbeitung zu wissenschaftlichen oder historischen Forschungszwecken und zu statistischen Zwecken, § 13 LDSG BW

Für die privilegierte Verarbeitung personenbezogener Daten durch öffentliche Stellen in Baden-Württemberg im Zusammenhang mit dem Einsatz Künstlicher Intelligenz zu wissenschaftlichen und historischen Forschungszwecken und zu statistischen Zwecken gilt § 13 LDSG BW. Diese Regelung verdrängt die allgemeinen Vorschriften.^[74]

Unter dem Zweck der wissenschaftlichen Forschung ist dabei die Absicht der Ermittlung der Wahrheit im Sinne eines ernsthaften, planmäßigen Versuchs bzw. die Absicht der methodisch geleitete Generierung neuen Wissens zu verstehen.^[75] Eine Abwägung zwischen dem grundrechtlichen Schutz der Forschungsfreiheit auf der einen Seite und dem Recht auf informationelle Selbstbestimmung auf der anderen Seite setzt voraus, dass für das Forschungsvorhaben die Verarbeitung personenbezogener Daten notwendig ist. Dies ist im Vorfeld des Forschungsvorhabens gründlich zu bewerten.

Für die Interessenabwägung gelten höhere Anforderungen im Sinne einer intensiveren Begründung, wenn die verantwortliche Stelle besondere Kategorien personenbezogener Daten nach Art. 9 Abs. 1 DS-GVO verarbeitet.^[76] Von der bestehenden Rechtsgrundlage sind für die Verarbeitungen notwendige vorbereitende Maßnahmen erfasst.^[77] Die Rechtsgrundlage kann somit die Sammlung und Strukturierung der Trainingsdaten, den Vorgang des Maschinellen Lernens mit diesen Daten und die Anwendung der KI-Systeme umfassen, solange diese Verarbeitungen von den ursprünglich festgelegten Zwecken gedeckt und für deren Erreichung erforderlich sind.

Neben der zu bewertenden Rechtsgrundlage ist es notwendig, dass die technischen und organisatorischen Maßnahmen insbesondere zur Umsetzung des Grundsatzes der Datenminimierung, Anonymisierung, Verschlüsselung und Pseudonymisierung der Daten implementiert werden, vgl. § 13 Abs. 2 LDSG BW. Dies gilt für die Verarbeitungsphasen im Zusammenhang mit KI-Systemen, wobei sich die Vorfrage stellt, ob § 13 LDSG BW als Rechtsgrundlage anwendbar ist, da ggf. spezielle Regelungen z. B. aus dem Landeskrankenhausgesetz gelten könnten. Für die Veröffentlichung der Forschungsergebnisse bedarf es dagegen einer Einwilligung, es sei denn, die Darstellung von Forschungsergebnissen über Ereignisse der Zeitgeschichte ist unerlässlich, vgl. § 13 Abs. 3 LDSG BW.

LEITFRAGEN:

• Handelt es sich bei dem verfolgten Zweck um wissenschaftliche Forschung im Gemeininteresse?
• Ist die Verarbeitung personenbezogener Daten für das beschriebene Forschungsvorhaben zwingend notwendig?
• Welche Interessen der Betroffenen und der Verantwortlichen stehen sich gegenüber?

IX. Fazit

Das Vertrauen der Bürger_innen in die Innovationsfähigkeit, die Sicherheit und den verantwortungsvollen Umgang mit KI-Systemen verlangt, dass die datenschutzrechtlichen Vorgaben umgesetzt werden. Es gibt zahlreiche Möglichkeiten des Verantwortlichen, die Datenverarbeitung im Zusammenhang mit Künstlicher Intelligenz auf datenschutzrechtliche Rechtsgrundlagen zu stützen. Der Verantwortliche hat dabei zum Teil die Wahlmöglichkeit, welche Rechtsgrundlage für seine Verarbeitungsschritte vorzugswürdig ist. Hat er sich für eine Rechtsgrundlage entschieden, ist es entscheidend, dass er dann auch deren Anforderungen umfassend gerecht wird. Dies betrifft unter anderem die häufig zu erfolgende Erforderlichkeitsprüfung. Um den Verantwortlichen die Prüfung der Schritte zur Findung einer Rechtsgrundlage zu vereinfachen, fügen wir im Folgenden eine übersichtliche Kurz-Checkliste an.

X. Kurz-Checkliste zur Verarbeitung

1. Welche Phase der Verarbeitung von Daten im Zusammenhang mit KI unterliegt der rechtlichen Bewertung? (Siehe hierzu Kap. III.)

2. Werden personenbezogene Daten im Anwendungsbereich der DS-GVO (siehe Art. 2, 3 DS-GVO) verarbeitet? Bzw. werden anonyme Daten verarbeitet, die zu personenbezogenen Daten werden können?

• Es herrscht ein weiter Begriff des personenbezogenen Datums, siehe Art. 4 Nr. 1 DS-GVO, d. h. alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen. Nur eine dauerhafte Anonymisierung hebt den Personenbezug auf.

• Der Begriff der Verarbeitung ist in Art. 4 Nr. 2 DS-GVO definiert. Bitte beachten Sie, dass jede einzelne Phase der Verarbeitung einer Rechtsgrundlage bedarf (Erheben, Speichern, Verändern, etc.). Insbesondere benötigt auch das Anonymisieren eine Rechtsgrundlage.

Sollten dauerhaft keine personenbezogenen Daten verarbeitet werden, so finden DS-GVO, BDSG bzw. LDSG BW keine Anwendung.

3. Wer ist der Verantwortliche der Datenverarbeitung? (Siehe hierzu auch Kap. IV.)
Verantwortlicher nach Art. 4 Nr. 8 DS-GVO ist derjenige, welcher über Mittel und Zwecke der Verarbeitung entscheidet.

4. Ist eine Rechtsgrundlage im Datenschutzrecht vorhanden? Werden besondere Kategorien personenbezogener Daten nach Art. 9 Abs. 1 DS-GVO verarbeitet, die eine Rechtsgrundlage nach Art. 9 Abs. 2 DS-GVO bedürfen? (Zu Zweitem siehe Kap. VIII.)

5. Rechtsfolge: Grundsätzlich ist die Verarbeitung möglich. Jedoch müssen die übrigen Pflichten eingehalten werden, z. B. die Grundsätze der DS-GVO (Art. 5 DS-GVO), die Beachtung der Betroffenenrechte (Art. 12 ff. DS-GVO), die Umsetzung der technischen und organisatorischen Maßnahmen und Garantien (Art. 24 ff. und Art. 89 Abs. 1 DS-GVO) und ggf. die Anfertigung einer Datenschutz-Folgeabschätzung (Art. 35 DS-GVO).

XI. Materialsammlung

Urteile

EuGH, Urteil vom 19. Oktober 2018, C‑582/14, ECLI:EU:C:2016:779 (Breyer-Entscheidung zum Personenbezug von Daten). Online abrufbar unter: https://curia.europa.eu/juris/document/document.jsf?text=&docid=184668&pageIndex=0&doclang=DE&mode=lst&dir=&occ=first&part=1&cid=2858251 (letzter Abruf: 03.11.2023).

EuG, Urteil vom 26. April 2023, T‑557/20, ECLI:EU:T:2023:219 (SRB gegen EDSB, nicht rechtskräftig, zur Verordnung (EU) 2018/1725). Online abrufbar unter: https://curia.europa.eu/juris/document/document.jsf?text=&docid=272910&pageIndex=0&doclang=DE&mode=lst&dir=&occ=first&part=1&cid=2858552 (letzter Abruf: 03.11.2023).

EuGH, Urteil vom 21. Juni 2022, C-817/19, ECLI:EU:C:2022:65 (Künstliche Intelligenz bei Fluggastdaten), Online abrufbar unter:
https://curia.europa.eu/juris/document/document.jsf?text=&docid=252841&pageIndex=0&doclang=DE&mode=lst&dir=&occ=first&part=1&cid=2859153 (letzter Abruf: 06.11.2023).

Papiere des Europäischen Datenschutzausschusses (EDSA)

Artikel-29-Datenschutzgruppe, Stellungnahme 06/2014 zum Begriff des berechtigten Interesses des für die Verarbeitung Verantwortlichen gemäß Artikel 7 der Richtlinie 95/46/EG, WP 217, 9. April 2014. Online abrufbar unter: https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp217_en.pdf (letzter Abruf: 03.11.2023).

EDSA, Leitlinien 2/2019 zur Verarbeitung personenbezogener Daten gemäß Artikel 6 Absatz 1 Buchstabe b DS-GVO im Zusammenhang mit der Bereitstellung von Online-Diensten für betroffene Personen, 8. Oktober 2019. Online abrufbar unter: https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines-art_6-1-b-adopted_after_public_consultation_de_0.pdf (letzter Abruf: 06.11.2023).

EDSA, Leitlinien 3/2019 zur Verarbeitung personenbezogener Daten durch Videogeräte, 29. Januar 2020. Online abrufbar unter: https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_201903_video_devices_de.pdf (letzter Abruf: 03.11.2023).

EDSA, Leitlinien 07/2020 zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“ in der DS-GVO, 7. Juli 2021. Online abrufbar unter: https://edpb.europa.eu/system/files/2022-02/eppb_guidelines_202007_controllerprocessor_final_de.pdfb (letzter Abruf: 03.11.2023).

Papiere der Datenschutzkonferenz

DSK, Kurzpapier Nr. 20, Einwilligung nach der DS-GVO, 22. Februar 2019. Online abrufbar unter: https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_20.pdf (letzter Abruf: 06.11.2023).

DSK, Hambacher Erklärung zur Künstlichen Intelligenz, 3. April 2019. Online abrufbar unter: https://www.datenschutzkonferenz-online.de/media/en/20190405_hambacher_erklaerung.pdf (letzter Abruf: 03.11.2023).

DSK, Positionspapier der DSK zu empfohlenen technischen und organisatorischen Maßnahmen bei der Entwicklung und dem Betrieb von KI-Systemen, 06. November 2019. Online abrufbar unter: https://www.datenschutzkonferenz-online.de/media/en/20191106_positionspapier_kuenstliche_intelligenz.pdf (letzter Abruf: 03.11.2023).

DSK, Petersberger Erklärung zur datenschutzkonformen Verarbeitung von Gesundheitsdaten in der wissenschaftlichen Forschung, 24. November 2022, S. 5. Online abrufbar unter: https://www.datenschutzkonferenz-online.de/media/en/20221124_en_06_Entschliessung_Petersberger_Erklaerung.pdf (letzter Abruf: 06.11.2023).

Aufsätze

Joos, Daniel/Meding, Kristof: Anforderungen bei der Einführung und Entwicklung von KI zur Gewährleistung von Fairness und Diskriminierungsfreiheit, DUD 46/2022, 376-380.

Keber, Tobias/Maslewski, Daniel: Rechtsgrundlagen für das Training von Systemen Künstlicher Intelligenz nach der DS-GVO, RDV 5/2023, S. 273-280.

Merkert, Pina: Aufmerksamkeit reicht. So funktionieren Sprach-KIs vom Typ „Transformer“, c’t 11/2022, S. 136-142.

Wacke, Jan/Nägele, Peter, KI und Datenschutz, BvD-NEWS 2/2023.

Sonstiges

Arbeitsgruppe „Einsatz von KI und algorithmischen Systemen in der Justiz“, Grundlagenpapier zur 74. Jahrestagung der Präsidentinnen und Präsidenten der Oberlandesgerichte, des Kammergerichts, des Bayerischen Obersten Landesgerichts und des Bundesgerichtshofs vom 23. bis 25. Mai 2022 in Rostock. Online abrufbar unter: https://oberlandesgericht-celle.niedersachsen.de/download/184478/Grundlagenpapier_der_Arbeitsgruppe_zum_Einsatz_von_KI_und_algorithmischen_Systemen_in_der_Justiz.pdf (letzter Abruf: 06.11.2023).

Bundesministerium für Arbeit und Soziales (BMAS)/Bundesministerium des Innern und für Heimat (BMI), Eckpunktepapier: Vorschläge für einen modernen Beschäftigtendatenschutz Innovation ermöglichen – Persönlichkeitsrechte schützen – Rechtsklarheit schaffen, Mai 2023. Online abrufbar unter: https://fragdenstaat.de/anfrage/aktueller-stand-beschaeftigtendatenschutz/804753/anhang/vorschlge-beschftigtendatenschutz.pdf (letzter Abruf: 06.11.2023).

Bundesamt für Sicherheit in der Informationstechnik (BSI), Große KI-Sprachmodelle – Chancen und Risiken für Industrie und Behörden, 2021. Online abrufbar unter:  https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/KI/Grosse_KI_Sprachmodelle.pdf?__blob=publicationFile&v=2 (letzter Abruf: 03.11.2023).

Commission Nationale de l’Informatique et des Libertés (CNIL), Umfangreiche Materialien der französischen Aufsichtsbehörde zum Thema KI. Online abrufbar unter: https://www.cnil.fr/en/topics/artificial-intelligence-ai (letzter Abruf: 06.11.2023).

EU-Parlament und Rat: Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zur Festlegung harmonisierter Vorschriften für Künstliche Intelligenz (Gesetz über Künstliche Intelligenz) und zur Änderung bestimmter Rechtsakte der Union, Stand 21. April 2021). Online abrufbar unter: https://eur-lex.europa.eu/resource.html?uri=cellar:e0649735-a372-11eb-9585-01aa75ed71a1.0019.02/DOC_1&format=PDF (letzter Abruf: 03.11.2023).

Gesetz zur elektronischen Verwaltung für Schleswig-Holstein (E-Government-Gesetz – EGovG) vom 08. Juli 2009. Online abrufbar unter: https://www.gesetze-rechtsprechung.sh.juris.de/bssh/document/jlr-EGovGSH2009rahmen/part/X (letzter Abruf: 06.11.2023).

Informations Commissioner’s Office (ICO), Umfangreiche Materialien der britischen Aufsichtsbehörde. Online abrufbar unter: https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/artificial-intelligence/ (letzter Abruf: 06.11.2023).

LfDI BW, Schreiben mit Fragenkatalog an OpenAI zu ChatGPT vom 21. April 2023. Online abrufbar unter: https://fragdenstaat.de/anfrage/schreiben-an-openai/811596/anhang/openai-chatgpt.pdf (letzter Abruf: 06.11.2023).

Stiftung Datenschutz, Praxisleitfaden für die Anonymisierung personenbezogener Daten, 2022. Online abrufbar unter:  https://stiftungdatenschutz.org/fileadmin/Redaktion/Dokumente/Anonymisierung_personenbezogener_Daten/SDS_Studie_Praxisleitfaden-Anonymisieren-Web_01.pdf (letzter Abruf: 03.11.2023).

Fußnoten

[1] Das Datenschutzrecht definiert den Begriff der Künstlichen Intelligenz nicht. Unter dem in Wissenschaft und Praxis umstrittenen Begriff verstehen wir in diesem Papier – im Sinne einer denkbar weiten Arbeitsdefinition – alle Systeme des maschinellen Lernens. Vgl. dazu auch Art. 3 Abs. 1 Nr. 1 KI-VO-E.

[2] Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zur Festlegung harmonisierter Vorschriften für Künstliche Intelligenz (Gesetz über Künstliche Intelligenz) und zur Änderung bestimmter Rechtsakte der Union (Stand 21.0 4.2021). Online abrufbar unter: https://eur-lex.europa.eu/resource.html?uri=cellar:e0649735-a372-11eb-9585-01aa75ed71a1.0019.02/DOC_1&format=PDF (letzter Abruf: 03.11.2023).

[3] Der Begriff der KI-Systeme umfasst übergeordnet: 1.) die Vorbereitung einer KI, 2.) das aufgesetzte Modell, 3.) das Training der KI, 4.) die Anwendung und 5.) den Einsatz der KI.

[4] Vgl. Paal, in: Kaulartz/Braegelmann, Rechtshandbuch Artificial Intelligence und Machine Learning, 2020, S. 427 Rn. 1 f.

[5] Vgl. Ernst, in: Paal/Pauly, DS-GVO Kommentar, 3 Aufl. 2021, Art. 4 Rn. 3; vgl. EuG, Urteil vom 26 April 2023, SRB gegen EDSB, T‑557/20, (nicht rechtskräftig, zur Verordnung (EU) 2018/1725), Rn. 68.

[6] Vgl. Kaulartz, in: Kaulartz/Braegelmann, Rechtshandbuch Artificial Intelligence und Machine Learning, 2020, S. 463 Rn. 4.

[7] Vgl. EuGH, Urteil vom 19 Oktober 2018, Breyer, C‑582/14, ECLI:EU:C:2016:779.

[8] Vgl. ebd., Rn. 43.

[9] Ein KI-Modell ist ein Bestandteil des KI-Systems, was sich aus Parametern, Erlerntem und einer Architektur zusammensetzt.

[10] Vgl. Kaulartz, in: Kaulartz/Braegelmann, Rechtshandbuch Artificial Intelligence und Machine Learning, 2020, S. 468 ff.

[11] Vgl. Rigaki/Garcia, A Survey of Privacy Attacks in Machine Learning, 2020, S. 1.

[12] Vgl. Veale/Binns/Edwards, Phil. Trans. R. Soc. A 2018, 376, 376 ff.

[13] Vgl. Kaulartz, in: Kaulartz/Braegelmann, Rechtshandbuch Artificial Intelligence und Machine Learning, 2020, S. 467 Rn. 13; vgl. zur Grundproblematik auch: Stiftung Datenschutz, Praxisleitfaden für die Anonymisierung personenbezogener Daten, 2022, S. 28, Pkt. 6.2 Online abrufbar unter:  https://stiftungdatenschutz.org/fileadmin/Redaktion/Dokumente/Anonymisierung_personenbezogener_Daten/SDS_Studie_Praxisleitfaden-Anonymisieren-Web_01.pdf (letzter Abruf: 03.11.2023); Bundesamt für Sicherheit in der Informationstechnik, Große KI-Sprachmodelle – Chancen und Risiken für Industrie und Behörden, 2021, S. 16, Pkt. 3.4.2 Online abrufbar unter:  https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/KI/Grosse_KI_Sprachmodelle.pdf?__blob=publicationFile&v=2 (letzter Abruf: 03.11.2023).

[14] Siehe hierzu auch: Blanco-Justicia, Alberto et al., A critical review on the use (and misuse) of differential privacy in machine learning, ACM Computing Surveys 2022, 1, S. 1 ff.

[15] Bourtoule, Lucas et al., Machine Unlearning, in: 2021 IEEE Symposium on Security and Privacy (SP), 2021.

[16] Zur Problematik des Personenbezugs siehe Kap. II.

[17] I. d. R. können sich die Nutzenden nicht auf die Haushaltsausnahme Art. 2 Abs. 2 Buchst. c DS-GVO berufen, da die Verarbeitung nicht ausschließlich im privaten Kontext zu verorten ist.

[18] Vgl. EDSA, Leitlinien 07/2020 zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“ in der DS-GVO, 07.07.2021, S. 3.

[19] Vgl. ebd.

[20] Vgl. LfDI BW, Mustervereinbarung nach Art. 26 DS-GVO. Online abrufbar unter: https://www.baden-wuerttemberg.datenschutz.de/praxishilfen/#gemeinsame_verantwortlichkeit (letzter Abruf: 03.11.2023).

[21] Betroffene Personen können ungeachtet der Vereinbarung ihre Rechte gemäß Art. 26 Abs. 3 DS-GVO bei und gegenüber jedem der gemeinsam Verantwortlichen geltend machten.

[22] Vgl. EDSA, Leitlinien 07/2020 zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“ in der DS-GVO, 07.07.2021, S. 4 Aufbauend hierauf siehe: LFDI BW, FAQ zur Abgrenzung der Verantwortlichkeiten und des Begriffs der Auftragsverarbeitung. Online abrufbar unter: https://www.baden-wuerttemberg.datenschutz.de/faq-zur-abgrenzung-der-verantwortlichkeiten-und-des-begriffs-der-auftragsverarbeitung/ (letzter Abruf: 03.11.2023).

[23] Vgl. LfDI BW, Auftragsverarbeitungsvertrag nach Art. 28 Abs. 3 DS-GVO. Online abrufbar unter: https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2020/12/200429_AVV-Muster_DE_neu.pdf (letzter Abruf: 03.11.2023).

[24] EDSA, Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679, 04.04.2020, S. 7. Online abrufbar unter: https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-052020-consent-under-regulation-2016679_de (letzter Abruf: 03.11.2023).

[25] Vgl. Arning/Rothkegel, in: Taeger/Gabel, DS-GVO – BDSG – TTDSG, 4 Aufl. 2022, Art. 4 Rn. 329.

[26] Vgl. ebd., Art. 4 Rn. 330.

[27] Vgl. Albers/Veit, in: Wolff/Brink/v. Ungern-Sternberg, BeckOK Datenschutzrecht, 45 Ed. 01.08.2023, Art. 6 Rn. 36.

[28] Vgl. Keber/Maslewski, RDV 2023, 273, 277.

[29] Vgl. Niemann/Kevekordes, CR 2020, 17, 23.

[30] Vgl. Kloos/Schmidt-Bens, in: Hartmann, KI & Recht kompakt, 2020, S. 174.

[31] Vgl. Datenethikkommission, Gutachten, 23.10.2019, S. 169 Online abrufbar unter: https://www.bmi.bund.de/SharedDocs/downloads/DE/publikationen/themen/it-digitalpolitik/gutachten-datenethikkommission.pdf?__blob=publicationFile&v=6 (letzter Abruf: 03.11.2023).

[32] Vgl. Skistims, in: Kaulartz/Braegelmann, Rechtshandbuch Artificial Intelligence und Machine Learning, 2020, S. 358 Rn.19 f.

[33] EuGH, Urteil vom 01 Oktober 2019, Planet 49 GmbH, C-673/17, ECLI:EU:C:2019:801, ZD 2019, 556, 560.

[34] Vgl. ErwG. 42 S. 4 DS-GVO.

[35] Vgl. zum Begriff der Erforderlichkeit ausführlich die Besprechung von Art. 6 Abs. 1 Buchst. f DS-GVO (Kap. VI.1.).

[36] Siehe hierzu EuGH, Urteil vom 04 Juli 2023, Meta Platforms, C-252/211, ECLI:EU:C:2023:537, Rn. 98: „muss sie [Verarbeitung pbD] objektiv unerlässlich sein, um einen Zweck zu verwirklichen, der notwendiger Bestandteil der für die betroffene Person bestimmten Vertragsleistung ist. Der Verantwortliche muss somit nachweisen können, inwiefern der Hauptgegenstand des Vertrags ohne die betreffende Verarbeitung nicht erfüllt werden könnte.“

[37] Vgl. EuGH, Urteil vom 4 Juli 2023, Meta Platforms, C-252/211, ECLI:EU:C:2023:537, Rn. 99.

[38] Dies ist der Fall, wenn sie „zur Erfüllung einer rechtlichen Verpflichtung, der der Verantwortliche gemäß einer Vorschrift des Unionsrechts oder des Rechts des betreffenden Mitgliedstaats unterliegt, tatsächlich erforderlich ist, diese Rechtsgrundlage ein im öffentlichen Interesse liegendes Ziel verfolgt und in einem angemessenen Verhältnis zu dem verfolgten legitimen Ziel steht und diese Verarbeitung innerhalb der Grenzen des unbedingt Notwendigen erfolgt.“ EuGH, Urteil vom 4 Juli 2023, Meta Platforms, C-252/211, ECLI:EU:C:2023:537, Rn. 138.

[39] Vgl. Kaulartz, in: Kaulartz/Braegelmann, Rechtshandbuch Artificial Intelligence und Machine Learning, 2020, S. 472 Rn. 30.

[40] Zur umstrittenen Frage, ob es im Rahmen der Weiterverarbeitung für die Rechtmäßigkeit der Datenverarbeitung einer weiteren (gesonderten) Rechtsgrundlage nach Art. 6 Abs. 1 DS-GVO bedarf, siehe: Albers/Veit, in: Wolff/Brink/v. Ungern-Sternberg, BeckOK Datenschutzrecht, 45 Ed. 01.08.2023, Art. 6 Rn. 107 f.

[41] Siehe hierzu: Keber/Maslewski, RDV 2023, 273.

[42] Den Fragen, inwieweit der Ausschluss von Art. 6 Abs. 1 Buchst. f DS-GVO durch Art. 6 Abs. 1 UAbs. 2 DS-GVO für öffentliche Wettbewerbsunternehmen gilt und inwieweit Verarbeitungen durch öffentliche Stellen außerhalb der Aufgabenerfüllung auf Art. 6 Abs. 1 Buchst. f DS-GVO gestützt werden können, soll hier nicht nachgegangen werden.

[43] Vgl. Schantz, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 2019, DS-GVO Art. 6 Abs. 1 Rn. 86.

[44] Vgl. EuGH, Urteil vom 4 Juli 2023, Meta Platforms, C-252/211, ECLI:EU:C:2023:537, Rn. 106 m.w.N.

[45] Vgl. Buchner/Petri, in: Kühling/Buchner, DS-GVO/BDSG, 3 Aufl. 2020, Art. 6 Rn. 146.

[46] Vgl. EDSA, Leitlinien 3/2019 zur Verarbeitung personenbezogener Daten durch Videogeräte, 29 Januar 2020, Rn. 18.

[47] Vgl. ErwG 47 S. 6 f. DS-GVO.

[48]  EuGH, Urteil vom 4 Juli 2023, Meta Platforms, C-252/211, ECLI:EU:C:2023:537, Rn. 108.

[49] Vgl. ebd., Rn. 109.

[50] Vgl. ebd., Rn. 106.

[51] Vgl. ebd., Rn. 110.

[52] Vgl. ebd., Rn. 116.

[53] Vgl. EDSA, Leitlinien 3/2019 zur Verarbeitung personenbezogener Daten durch Videogeräte, Rn. 33; vgl. auch Artikel-29-Datenschutzgruppe, Stellungnahme 06/2014 zum Begriff des berechtigten Interesses des für die Verarbeitung Verantwortlichen gemäß Artikel 7 der Richtlinie 95/46/EG, WP 217, S. 43 ff.

[54] Vgl. ErwG 38 DS-GVO.

[55] Vgl. EuGH, Urteil vom 4 Juli 2023, Meta Platforms, C-252/211, ECLI:EU:C:2023:537, Rn. 112.

[56] Vgl. Kaulartz, in Kaulartz/Braegelmann, Rechtshandbuch Artificial Intelligence und Machine Learning, 2020, S. 473 Rn. 35.

[57] Ebenso kann sich auf die Abwägung auswirken, inwieweit die verantwortliche Stelle Vorgaben von „Data Protection by Design“ und „Data Protection by Default“ umgesetzt hat.

[58] Vgl. EuGH, Urteil vom 30 März 2023, C 34/21, ECLI:EU:C:2023:270. Siehe hierzu auch: https://www.baden-wuerttemberg.datenschutz.de/faq-rechtsgrundlagen-bei-beschaeftigtendaten/ (letzter Abruf: 03.11.2023).

[59] Zur Einwilligung als Rechtsgrundlage siehe weiterführend Kap. V.1.

[60] Siehe auch ausführlich zur Problematik der KI im Beschäftigungskontext: Joos, NZA 2020, 1216, 1216 ff.

[61] Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27 April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates. Online abrufbar unter: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=uriserv%3AOJ.L_.2016.119.01.0089.01.DEU (letzter Abruf 03.11.2023).

[62] Siehe auch Gesetzesentwurf der Landesregierung zum Gesetz zur Anpassung des allgemeinen Datenschutzrechts und sonstiger Vorschriften an die Verordnung (EU) 2016/679, Landtagsdrucksache 16/3930, S. 93; zur Vertiefung siehe: LfDI BW, Datenschutz bei Gemeinden. Online abrufbar unter: https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2019/11/Brosch%C3%BCre-Gemeinden-November-2019.pdf (letzter Abruf: 03.11.2023).

[63] Siehe auch Holz/Stich, in: Brinktrine/Hug, BeckOK Beamtenrecht Baden-Württemberg, 2020, § 84 LDSG, Rn.  7 ff.

[64] Debus, in: Debus/Sicko, Landesdatenschutzgesetz Baden-Württemberg, 2020, § 18 Rn. 24ff.

[65] Grundsätzliches zum Begriff der Erforderlichkeit siehe bereits bei den obigen Ausführungen zu Art. 6 Abs. 1 Buchst. f DS-GVO, Kap. VI.1.

[66] Siehe auch Osterried, in: Debus/Sicko, LDSG, § 4 Rn. 36.

[67] Siehe auch ebd., LDSG, § 4 Rn. 12 ff.

[68] Vgl. ErwG 51 S. 1 DS-GVO.

[69] Lock-in-Effekt: technisch-funktionale Kundenbindung, bspw. dadurch, dass eine Dienstleitung nur mit dem Gerät des gleichen Unternehmens in Anspruch genommen werden kann oder durch Monopolstellung; Nudging: für den Nutzenden unbewusste Verhaltensbeeinflussung; Deceptive Design Patterns: Interface-Design, das gezielt psychologische Effekte nutzt, um Nutzende unbewusst zu einem gewünschten Verhalten zu verleiten.

[70] Vgl. Schantz, in: Simitis/Hornung/Spiecker gen. Döhmann, DS-GVO, 2019, Art. 6 Rn. 4.

[71] Vgl. hierzu: Datenschutzkonferenz (DSK), Petersberger Erklärung zur datenschutzkonformen Verarbeitung von Gesundheitsdaten in der wissenschaftlichen Forschung, 24 November 2022, S. 5. Online abrufbar unter: https://www.datenschutzkonferenz-online.de/media/en/20221124_en_06_Entschliessung_Petersberger_Erklaerung.pdf (letzter Abruf: 06.11.2023).

[72] Datenschutzkonferenz (DSK), Petersberger Erklärung zur datenschutzkonformen Verarbeitung von Gesundheitsdaten in der wissenschaftlichen Forschung, 24 November 2022, S. 7. Online abrufbar unter: https://www.datenschutzkonferenz-online.de/media/en/20221124_en_06_Entschliessung_Petersberger_Erklaerung.pdf (letzter Abruf: 06.11.2023).

[73] Koch, in: Wolff/Brink/v. Ungern-Sternberg, BeckOK Datenschutzrecht, 45 Ed. 01.08.2023, BDSG, § 27 Rn. 5.

[74] Landtagsdrucksache 16/3930, S. 100.

[75] Vgl. Keber, in: Debus/Sicko, LDSG, 2022, § 13 Rn. 13.

[76] Vgl. ebd., Rn. 23.

[77] Vgl. ebd., Rn. 14.