Blog
Newsletter
Shop
Login
KI-Gesetz und Datenschutz: DSK gibt Orientierungshilfe und Positionspapier aus
Data Privacy von Ioannis Dimas
Noch vor dem Inkrafttreten des KI-Gesetzes zum 27.05.2024 betrachtete die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) das KI-Gesetz sowie die nationale Marktüberwachung für KI-Systeme durch Datenschutzbehörden.
Die DSK befasst sich in ihrer Orientierungshilfe vom 06.05.2024 mit den datenschutzrechtlichen Kriterien, die für eine datenschutzkonforme Nutzung von KI-Systemen zu betrachten sind. Da sich KI-Systeme in den kommenden Jahren vielseitig verändern und weiterentwickeln werden, werden sich auch Einschätzungen sowie Vorgaben der DSK ändern und fortwährend anpassen.
Dennoch kann diese Orientierungshilfe als erster Leitfaden dienen und bei der Implementierung einer KI notwendige Anstöße geben. Sie richtet sich primär an Unternehmen, die KI-Systeme einsetzen möchten. Für Entwickler und Anbieter von KI-Systemen kann die Orientierungshilfe Hinweise zur Auswahl datenschutzkonformer KI-Systeme bereithalten.
Die Orientierungshilfe betrachtet die typischen Anforderungen an Systeme, die für einen datenschutzkonformen Einsatz einzuhalten sind – hier im Speziellen für KI-Systeme. Wir haben die wichtigsten Punkte zusammengefasst:
1. Zweckbestimmung und Definition der Einsatzfelder
Vor dem Einsatz von KI-Systemen müssen dessen Einsatzfelder konkret festgelegt werden. Nur durch die explizite Festlegung der Einsatzfelder kann überprüft werden, ob die Verarbeitung personenbezogener Daten zur Zweckerreichung erforderlich ist.
2. Einsatzfelder und der Bezug auf personenbezogene Daten
Im Vorhinein muss geprüft werden, ob der Einsatz bestimmter KI-Systeme für bestimmte Einsatzfelder bereits als unzulässig eingestuft wurde (Hochrisiko-KI, verbotene KI) - beispielsweise KI-Systeme für „Social Scoring“ und biometrische Echtzeitüberweisung öffentlicher Räume.
3. Rechtsgrundlage für die Datenverarbeitung
Personenbezogene Daten dürfen nur dann rechtmäßig verarbeitet werden, wenn eine datenschutzkonforme Rechtsgrundlage vorliegt. Die DSK verweist auf ein Diskussionspapier des LfDI.
4. Automatisierte Entscheidungsfindung
Hier bezieht die DSK klar Stellung: „Entscheidungen mit Rechtswirkung dürfen gemäß Art. 22 Abs. 1 DS‐GVO grundsätzlich nur von Menschen getroffen werden.“ Ausnahmen sind nur in bestimmten Fällen zulässig. So ist es beispielsweise verboten, dass die KI Bewerbungen auswertet und die Bewerber im Anschluss zum Vorstellungsgespräch einlädt.
5. Transparenz
Nutzer von KI-Systemen müssen darauf achten, dass sie vom Hersteller ausreichend Informationen erhalten, damit sie den Transparenzanforderungen bzw. Informationspflichten nach Art. 12 ff. DS-GVO nachkommen können. Gerade bei KI-Systemen kann dies zu Problemen führen, wenn etwaige Löschanfragen oder Informationsauskünfte nicht vollständig umgesetzt werden können.
6. KI als Cloud-Lösung
Sollte ein KI-System als Cloud-Lösung eingesetzt werden, muss eine Vereinbarung zur Auftragsverarbeitung gem. Art. 28 DS-GVO abgeschlossen werden.
7. Umsetzung von Betroffenenrechten
Die Wahrung und Umsetzung der Betroffenenrechte der DS-GVO darf nicht gefährdet werden. So muss im Vorhinein geprüft werden, wie dies gelingen kann, beispielsweise über Information in der Datenschutzerklärung, Musterinformationen und Vereinbarungen mit KI-Anbietern (Auftragsverarbeitungsverträge sind hier gründlich zu prüfen!). Aus unserer Sicht kann die Umsetzung der Betroffenenrechte zu großen Problematiken führen, da die Löschung von Daten unter Umständen nicht vollständig möglich ist.
8. Einbindung von Datenschutzbeauftragte und Beschäftigtenvertretung
Vor dem Einsatz von KI-Systemen sind unbedingt Datenschutzbeauftragte und die Beschäftigtenvertretung einzubeziehen.
9. Datenschutzfolgenabschätzung (DSFA)
Vor der Verarbeitung personenbezogener Daten mithilfe von KI ist eine Vorabprüfung der Risiken auf die Rechte und Freiheiten der betroffenen Personen umzusetzen. Wird bei der Vorabprüfung ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen identifiziert, muss eine Datenschutz-Folgenabschätzung durchgeführt werden. Hierzu sollte mit dem Datenschutzbeauftragten Rücksprache gehalten werden. Es ist jedoch nach unserer Auffassung immer eine DSFA durchzuführen, da ein Ausschluss der Verarbeitung personenbezogener Daten nicht ausgeschlossen werden kann.
10. Nutzung von KI-Anwendungen
Ein großer Risikofaktor für Datenschutzvorfälle sind die Personen, die Daten in KI-Systeme eingeben und unter Umständen sensible Daten preisgeben. Aus diesem Grund müssen die Eingabedaten mit Bedacht und achtsam eingegeben werden.
11. Schulungspflicht für Unternehmen
Aus Art. 4 des KI-Gesetz geht zudem eine Schulungspflicht hervor. Unternehmen, die KI-Systeme einsetzen, müssen Ihre Mitarbeiter zum Einsatz der KI-Systeme schulen. Dies kann auch durch eine Schulungsplattform wie ETES Education durchgeführt werden. Hier stellen wir spezielle Inhalte im Bezug auf das Thema KI zur Verfügung.
Wir raten Ihnen zudem:
Meldewege für Datenschutzvorfälle
Es muss gewährleistet werden, dass für die Meldung von Datenschutzverletzungen entsprechende Meldewege implementiert sind und Maßnahmen zum Schutz der betroffenen Personen umgesetzt werden können.
Klare Regeln
Ohne klare interne Regelungen besteht ein Risiko, dass Mitarbeiter KI-Systeme unkontrolliert und eigenmächtig verwenden. Aus diesem Grund müssen vor dem Einsatz von KI-Systemen konkrete Regelungen erarbeitet und den Mitarbeitern kommuniziert werden.
Positionierung der DSK zur nationalen Marktüberwachung
Mit dem Inkrafttreten des KI-Gesetzes beginnt eine Frist von 12 Monaten, innerhalb derer die jeweiligen Länder eine nationale behördliche Aufsichtsstruktur benennen müssen. Aufgrund der DS-GVO fallen sektorspezifische Zuständigkeiten bereits den deutschen Datenschutzaufsichtsbehörden zu.
Aus der Sicht der DSK sollte die gesamte geforderte Marktüberwachung des KI-Gesetzes durch die Datenschutzaufsichtsbehörden (in diesem Fall der BfDI und Landesdatenschutzbehörden) übernommen werden. Diese seien befähigt, die Aufgabe wahrzunehmen, da sie aufgrund der Aufgaben und Befugnisse durch die DSGVO sowie der langjährigen Erfahrung im Bereich der Beratung, Beschwerdebearbeitung und Kooperation auf nationaler wie internationaler Ebene, alle Voraussetzungen erfüllen würden.
Sofern weitere Marktüberwachungsbehörden eingerichtet werden, sei eine einheitliche Anwendung des KI-Gesetzes laut Positionspapier kaum zu erreichen. Würden die Datenschutzaufsichtsbehörden die Aufgaben übernehmen, hätten Unternehmen, Behörden oder Bürger beim Thema der KI- und Datenschutzaufsicht in der Regel nur mit einer Aufsichtsbehörde zu tun.
Über Änderungen halten wir Sie auf dem Laufenden.
Unsere Empfehlung
Wir wissen, dass viele Unternehmen KI-Systeme einsetzen möchten oder bereits einsetzen. Uns ist es wichtig, dass KI-Systeme mit Bedacht eingesetzt und notwendige Maßnahmen für den Schutz betroffener Personen ergriffen werden. Eine unkontrollierte, eigenständige Verwendung von KI-Systemen in Unternehmen birgt hohe Risiken und kann zu weitreichenden Konsequenzen führen.
Für weiter Fragen zum Thema Künstliche Intelligenz und deren Einsatz stehen wir Ihnen selbstverständlich gerne zur Verfügung. Kommen Sie gerne auf uns zu!
Autoren
Markus Espenhain
Unser Geschäftsführer und Gründer ist für die Strategie und den Kontakt zu Kunden & Partnern verantwortlich. Im Blog stellt er Ihnen neue Partnerschaften und Unternehmens-News vor.
Ioannis Dimas
Datenschutz und Informationssicherheit sind seine Herzensangelegenheit. Er berät Unternehmen zu diesen Themen und kann viel dazu berichten.
Chantal Nußbaum
In den Bereichen Datenschutz und Informationssicherheit liegt ihr Schwerpunkt. Durch Fortbildungen ist sie immer auf dem neusten Stand der Gesetze.
Christian Gleich
Sein Schwerpunkt liegt in dem Kontakt zu Kunden. Durch seine tägliche Arbeit mit unserem gesamten Produktportfolio landen Neuigkeiten immer zuerst bei ihm.
