Zum Inhalt springen Zur Navigation springen
Rechtsgrundlagen für KI: Diskussionspapier des LfDI BW

Rechtsgrundlagen für KI: Diskussionspapier des LfDI BW

Baden-Württemberg will sich unter dem Motto „KI – Made in Baden-Württemberg“ (Mitteilung über Innovationspark KI in Heilbronn) attraktiv für die Entwicklung von KI machen. Insofern dürfte es nicht überraschen, dass sich intensiv damit beschäftigt wird, wie der DSGVO-konforme Einsatz aussehen könnte (z.B. durch eine KI Woche des LfDI BW im jährlichen Rhythmus). Dass sich die DSGVO-Compliance für Verantwortliche nicht von selbst ergibt, zeigt auch das neue Diskussionspapier des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg, Prof. Dr. Tobias Keber (LfDI BW).

Arbeitshilfe zur Verortung des rechtlichen Rahmens für KI

Das 32-seitige Diskussionspapier soll als eine Art Arbeitshilfe für die Verantwortlichen dienen. Es geht darum, wie die rechtlichen Vorgaben für den Einsatz von KI rechtskonform umgesetzt werden können. Inhaltlich bezieht sich das Dokument auf datenschutzrechtliche Gesetze wie die DSGVO, das Bundesdatenschutzgesetz (BDSG) und das Landesdatenschutzgesetz Baden-Württemberg (LDSG BW). Auf die geplante KI-Verordnung wird nicht eingegangen. Im Diskussionspapier wird u.a. die Geltung der DSGVO für KI-Anwendungen, die datenschutzrechtliche Verantwortlichkeit für KI, die Rechtsgrundlagen für den Einsatz von KI sowie die Nutzung besonderer Kategorien personenbezogener Daten in diesem Zusammenhang aufgegriffen.

Personenbezug bei KI-Daten: Fortlaufende Bewertung nötig

Voraussetzung für die Anwendbarkeit der DSGVO auf sachlicher Ebene ist gem. Art. 2 Abs. 1 DSGVO u.a. der Personenbezug der verarbeiteten Daten. Ein Personenbezug ist gem. Art. 4 Nr. 1, Hs. 2 DSGVO auch dann gegeben, wenn eine Person aufgrund weiterer (zusätzlicher) Informationen identifizierbar ist. In der Praxis ist damit der Anwendungsbereich der DSGVO sehr oft eröffnet. Der LfDI BW weist darauf hin, dass bei KI-Systemen auch die Möglichkeit besteht, dass erst im Nachhinein Zusatzinformationen die Identifizierbarkeit einer natürlichen Person ermöglichen. Daher lässt sich die Frage, ob die DSGVO bzgl. eines KI-Systems zu berücksichtigen ist, nicht ein für alle Mal beantworten. Relevant bei der Frage, ob ein Personenbezug aktuell oder zu einem späteren Zeitpunkt hergestellt werden kann, sind die zum Einsatz gekommenen maschinellen Lernverfahren sowie die Wahrscheinlichkeit, dass eine (Re-)Identifizierbarkeit natürlicher Personen durch atypisches Einwirken auf die Systeme möglich ist (Diskussionspapier Rechtsgrundlagen KI, LfDI BW, S. 6-7).

Phasenmodell: Differenzierte Bewertung des Verarbeitungsbegriffs

Der Landesdatenschutzbeauftragte unterteilt in fünf Verarbeitungsphasen, für die jeweils beurteilt wird, ob der Verarbeitungsbegriff aus Art. 4 Nr. 2 DSGVO angenommen werden muss, was sich wiederhin auf die datenschutzrechtliche Relevanz der Tätigkeit auswirkt (Diskussionspapier, S. 7-9).

Eine Kurzübersicht:

Mögliche Rechtsgrundlagen für den Einsatz von KI

Der LfDI BW geht schwerpunktmäßig auf die datenschutzrechtlichen Rechtsgrundlagen aus Art. 6 DSGVO ein (Diskussionspapier, S. 11-27). Aufgegriffen werden nur solche, die für nichtöffentliche Stellen gelten.

Bzgl. der Einwilligung aus Art. 6 Abs. 1 lit. a DSGVO weist die Datenschutzaufsichtsbehörde darauf hin, dass die datenschutzkonforme Einholung bei komplexen KI-Systemen erschwert werden könnte, wenn diese aufgrund ihrer Komplexität intransparent und auch für Fachleute nicht mehr eindeutig nachvollziehbar werden. Auch die Widerruflichkeit der erteilten Einwilligung stelle die Verantwortlichen vor Probleme, wenn sie sich für diese Rechtsgrundlage entscheiden, da dann die betroffenen Daten nur mit unverhältnismäßig hohem Aufwand separiert werden können (Diskussionspapier, S. 12). Insgesamt ein eher schwieriges Thema.

Für die Notwendigkeit der Datenverarbeitung zur Erfüllung eines Vertrages, Art. 6 Abs. 1 lit. b DSGVO bildet der LfDI BW zwei Beispiele:

  1. Eine Person lässt einen KI-Sprachgenerator erstellen, der mit ihrer Stimme trainiert wird.
  2. Einsatz von KI-Systemen innerhalb der medizinischen Behandlung zur Diagnostik gem. Art. 6 Abs. 1 lit. b DSGVO i.V.m. § 630a Abs. 1 BGB (Diskussionspapier, S. 13).  Da die betroffene Person immer selbst Vertragspartei sein muss, ist der Anwendungsbereich dieser Rechtsgrundlage stark eingeschränkt.

Die Notwendigkeit der Verarbeitung im Rahmen der Erfüllung einer rechtlichen Verpflichtung, Art. 6 Abs. 1 lit. c DSGVO sieht der Landesdatenschutzbeauftragte als nicht wirklich gegeben an, ebenso bei der Datenverarbeitung zum Schutz lebenswichtiger Interessen, Art. 6 Abs. 1 lit. d DSGVO. Wobei bei letzterem die Situation, dass ein KI-System unter Eingabe personenbezogener Daten etwa beim lebensrettenden Einsatz mit einem KI-System (die nicht zum Training verwendet werden) als Anwendungsfall in Betracht gezogen wird (Diskussionspapier, S. 14-15).

Hervorhebung der Berechtigten Interessen als Verarbeitungsgrundlage

Auf die für die Praxis sehr interessante Rechtsgrundlage, Art. 6 Abs. 1 lit. f DSGVO, die Verarbeitung aufgrund berechtigter Interessen, geht der LfDI BW auf S. 16-19 ausführlich ein. Der Landesdatenschutzbeauftragte betont die innovationsoffene Formulierung und die Flexibilität der Vorschrift im Zusammenhang mit KI. Er kritisiert aber, dass mit dieser Vorschrift Rechtsunsicherheit verbunden sein kann. Folgende Aussagen/rechtliche Einschätzungen hat die Datenschutzaufsichtsbehörde Baden-Württemberg getroffen:

  • Falls die Entwicklung eines KI-Systems auch ohne personenbezogene Daten oder mit anonymisierten Daten möglich ist, kann diese Rechtsgrundlage nicht genutzt werden.
  • Es sollen nur die nötigsten personenbezogenen Daten verwendet werden (Grundsatz der Datenminimierung aus Art. 5 Abs. 1 lit. c DSGVO).
  • Die betroffenen Personen sollten mit der Verarbeitung ihrer personenbezogenen Daten rechnen können. Den Transparenz- und Informationspflichten kommt besondere Bedeutung zu. (Auch insofern lohnt sich eine frühe Berücksichtigung der DSGVO).

Zum Schluss wird noch auf § 26 BDSG bzw. Art. 6 Abs. 1 lit b. DSGVO bzgl. dem Einsatz von KI in der Arbeitswelt (Diskussionspapier, S.19) eingegangen. Der LfDI BW kommt zu dem Schluss, dass eine Kollektivvereinbarung denkbar ist und dass strenge Maßstäbe an eine etwaige Einwilligung zu stellen sind. Auf Seite 27-28 ist noch eine praktische Kurz-Checkliste zur Verarbeitung angefügt, die sich Verantwortliche durchlesen sollten.

Empfehlung des LfDI BW: DSGVO-Compliance von Anfang an

Der Landesdatenschutzbeauftragte weist darauf hin, dass es auf eine frühzeitige Berücksichtigung des Datenschutzes ankommt (Meldung des LfDI BW zur Veröffentlichung des Diskussionspapiers). Es wird dabei von hinten nach vorne gedacht. Das bedeutet, dass sich das Diskussionspapier in erster Linie an Entwickler richtet, die die Entwicklungsphase noch nicht abgeschlossen haben und somit durch eine entsprechende Prozessgestaltung noch Rücksicht auf die DSGVO nehmen können. Für bereits ausentwickelte KI-Systeme dürfte der Zug in den allermeisten Fällen schon abgefahren sein, wenn bisher noch nicht ausreichend Gedanken zum Datenschutz angestellt wurden. Stellt man z.B. nach einer rechtlichen Prüfung fest, dass es auf die Einholung der der Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO ankommt, stehen die Verantwortlichen vor einer anspruchsvollen Situation. Solche Daten, für die keine nachträgliche Einwilligung mehr in Frage kommt oder diese verweigert wurde, müssten dann einzeln entfernt werden. Dies stellt Entwickler vor technisch kaum zu bewältigende Herausforderungen.

Ein erster Schritt für mehr Rechtssicherheit beim Umgang mit KI

Insgesamt wird deutlich, dass es durchaus schwerwiegende rechtliche „Knackpunkte“ gibt, deren technische Umsetzung erst noch bewerkstelligt werden muss, damit KI rechtssicher entwickelt werden kann. Die Hürden, die die DSGVO für die Programmierung und den Einsatz von KI bereitstellt, werden von der Datenschutzaufsichtsbehörde deutlich benannt. In der Diskussion sollten allerdings nicht nur die rechtlichen Anforderungen aufgezeigt werden. Es sollte auch daran gearbeitet werden, technisch praktikable Lösungswege aufzuzeigen, zu diskutieren und zu entwickeln.

An der Diskussion kann noch bis zum 01.02.2024 auf der Homepage des LfDI BW teilgenommen werden.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 31.12.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.