Augen auf beim Datenschutz
Der Einsatz von KI-Systemen birgt in der Praxis eine Reihe datenschutzrechtlicher Fragestellungen. Diese müssen parallel zu den Anforderungen der KI-Verordnung (VO) geprüft werden.
Kommen KI-Systeme mit personenbezogenen Daten in Berührung, müssen die allgemeinen datenschutzrechtlichen Rahmenbedingungen erfüllt werden. Mit Dienstleistern, die bei der Nutzung von KI-Systemen eingebunden werden, müssen Verträge zur Auftragsverarbeitung geschlossen werden. Dabei sollte besonders darauf geachtet werden, dass die eingegebenen Daten von den Dienstleistern nicht zu eigenen Trainingszwecken verwendet werden. Sofern der Dienstleister seinen Sitz außerhalb der EU hat, muss zudem geprüft werden, ob ein angemessenes Datenschutzniveau besteht. Sollen durch die KI-Systeme Daten verarbeitet werden, die nach § 203 StGB der Schweigepflicht unterliegen, müssen sich entsprechende Regelungen in den Verträgen befinden.
Da vor dem Einsatz von KI-Systemen zur Verarbeitung personenbezogener Daten verschiedene rechtliche Prüfungen notwendig sind, sollte der Einsatz eines KI-Systems zur Verarbeitung personenbezogener Daten generell untersagt sein, sofern das konkrete System nicht ausdrücklich durch die Organisation freigegeben wurde. Vor diesem Hintergrund könnte zum Beispiel der Erlass einer verbindlichen KI-Richtlinie erfolgen, die insofern auch allen Beschäftigten Sicherheit und Klarheit geben kann.
Rechtsgrundlage ist für jeden Einzelfall zu prüfen
Allein die allgemeinen Rahmenbedingungen zu erfüllen, reicht jedoch nicht aus. Denn selbst wenn zum Beispiel die erforderlichen Verträge mit OpenAI Ireland zur Nutzung von ChatGPT abgeschlossen wurden, von einem angemessenen Datenschutzniveau ausgegangen werden kann, die Verarbeitung von Berufsgeheimnissen untersagt ist und die richtigen Softwarelizenzen vorhanden sind, bedarf es für jede Verarbeitung von personenbezogenen Daten einer Rechtsgrundlage. Insbesondere bei KI-Systemen mit allgemeinem Verwendungszweck, wie ChatGPT, muss das Vorliegen einer solchen im Einzelfall geprüft werden.
In der Praxis wird an dieser Stelle aber meistens gar keine neue Rechtsgrundlage benötigt. Die Verarbeitung der personenbezogenen Daten innerhalb des KI-Systems kann oftmals als Fortführung des ursprünglichen Erhebungszwecks angesehen werden. Wichtig ist jedoch, dass sich der Zweck der Verarbeitung nicht ändert und die Verarbeitung innerhalb des KI-Systems noch erforderlich ist. Sofern ChatGPT in der von der Organisation freigegebenen Variante zum Beispiel dafür genutzt werden soll, manuell erstellte E-Mail-Texte noch einmal auf Formulierungen, Grammatikfehler, Füllwörter etc. hin zu überprüfen, so wäre dies ohne neue Rechtsgrundlage möglich. Das KI-System wäre insofern nur ein weiteres Werkzeug, um den Erhebungszweck zu erfüllen.
Problematisch wird es dann, wenn das KI-System eigene Entscheidungen trifft. In diesem Fall könnte eine automatisierte Einzelentscheidung vorliegen. Eine solche ist datenschutzrechtlich grundsätzlich verboten beziehungsweise stark reglementiert und würde schon bei der Erhebung der Daten weitere Informationspflichten auslösen.
In der Praxis bisher kaum beachtet, aber dennoch wichtig ist es, Löschfristen festzulegen. Denn wenn personenbezogene Daten als Eingabe von KI-Systemen genutzt werden, bleiben diese womöglich in Form von Chathistorien, Datenquellen etc. zurück. Hier sollte die Organisation im Hinblick auf den Umgang mit diesen Daten verbindliche Vorgaben machen, zum Beispiel nur temporäre Chats erlauben, regelmäßige Löschläufe vorsehen oder die Nutzer anweisen, personenbezogene Daten aus dem KI-System zu löschen, wenn die Verarbeitung abgeschlossen ist.
Training der KI mit personenbezogenen Daten
Sollen KI-Systeme oder KI-Modelle anhand von personenbezogenen Daten verbessert beziehungsweise trainiert werden, ist die Frage nach der Rechtsgrundlage komplexer. Eine Verwendung für solche Zwecke wird grundsätzlich nicht mehr vom ursprünglichen Erhebungszweck gedeckt sein. Dann läge in der Verwendung dieser Daten für Verbesserungs- beziehungsweise Trainingszwecke eine Zweckänderung, welche einer eigenen Rechtsgrundlage bedarf und auch weitergehende Informationspflichten gegenüber den betroffenen Personen auslöst.
Zur Verdeutlichung ein Beispiel: Sofern im Rahmen der Hautkrebsvorsorge Patientenaufnahmen unterstützend auch durch ein KI-System analysiert werden sollen, so ist diese Datenverarbeitung durch den ursprünglichen Behandlungsvertrag gedeckt. Es wird also keine neue Rechtsgrundlage benötigt. Auch eine neue Patienteninformation ist nicht erforderlich. Anders sähe es aus, wenn diese Daten im Nachgang auch für das Training des KI-Systems verwendet werden sollen. Denn in diesem Fall wäre entweder eine vorherige Anonymisierung des Bildmaterials oder die Prüfung einer neuen Rechtsgrundlage und gegebenenfalls auch eine entsprechende Datenschutzinformation über die neue Verwendung erforderlich.
Bestimmungen und Verträge immer beachten
Wie bei jeder anderen Verarbeitungstätigkeit auch kann die Verarbeitung von personenbezogenen Daten innerhalb eines KI-Systems dazu führen, dass eine Dokumentation im Verzeichnis der Verarbeitungstätigkeiten der Organisation erfolgen muss. Zudem muss von der Organisation geprüft werden, ob eine Datenschutz-Folgenabschätzung im Hinblick auf die Datenverarbeitung erforderlich ist.
Welche Schlüsse sind zu ziehen?
Personenbezogene Daten dürfen nicht ohne weiteres in KI-Systemen verarbeitet werden. Die verantwortliche Organisation sollte die Verarbeitung in KI-Systemen daher ausdrücklich regeln, zum Beispiel in einer eigenen KI-Richtlinie. Vor einer Freigabe von KI-Systemen für die Verarbeitung personenbezogener Daten muss die Organisation die allgemeinen Rahmenbedingungen schaffen – insbesondere die richtigen Verträge abschließen, sofern Dienstleister involviert sind.
Die Beschäftigten müssen bei der Nutzung von KI-Systemen stets die datenschutzbezogenen Rechtsgrundlagen im Blick haben. Hier greifen insbesondere die Grundsätze der Zweckbindung und der Erforderlichkeit. Resultieren aus der Nutzung Zweckänderungen, müssen die damit einhergehenden datenschutzrechtlichen Aspekte, insbesondere die Transparenzpflicht und die Prüfung einer geeigneten Rechtsgrundlage, umgesetzt werden.
