Neue Leitlinien zeigen, wie Unternehmen KI datenschutzkonform einsetzen können

KI DSGVO Rechtsgrundlagen sind für Unternehmen heute unverzichtbar – dieser Artikel erklärt, welche Grundlagen beim KI-Einsatz gelten. Der Landesbeauftragte für Datenschutz Baden-Württemberg hat das erste umfassende Diskussionspapier einer deutschen Aufsichtsbehörde zu Rechtsgrundlagen beim KI-Einsatz veröffentlicht. Danach stellt die zentrale Rechtsgrundlage für das Training von KI-Modellen mit personenbezogenen Daten und die Nutzung der personenbezogenen Daten in der KI die Interessenabwägung dar.

Mit der öffentlichen Verfügbarkeit von generativen KI-Systemen wie ChatGPT hat der KI-Einsatz breite Aufmerksamkeit erlangt, woraufhin der LfDI Baden-Württemberg ein Diskussionspapier zu datenschutzrechtlichen Rechtsgrundlagen beim KI-Einsatz veröffentlichte. Das Diskussionspapier ist das erste umfassendere Papier einer deutschen Aufsichtsbehörde. Ausgangspunkt ist ein abgeschlossen trainiertes Large Language Model (LLM wie ChatGPT) für die Erstellung von Texten, das auf Machine-Learning-Methoden des Deep Learning basiert und aus Trainingsdaten lernt. Soweit für die Entwicklung, Bereitstellung oder bei der Anwendung von KI-Systemen personenbezogene Daten verarbeitet werden, ist grundsätzlich eine Rechtsgrundlage erforderlich. Bei der Bestimmung, welche Rechtsgrundlagen anwendbar sind, sollte konsequent nach den Phasen der Verarbeitung unterschieden werden, da es insoweit erhebliche Unterschiede gibt.

Kernaussagen in Kürze

Bei der Erhebung von Trainingsdaten durch Web-Crawling ist die Interessenabwägung nach Art. 6 Abs. 1 lit. f DS-GVO die relevanteste Rechtsgrundlage.

Eine Verarbeitung ist auf Grundlage einer Interessenabwägung zulässig, wenn sie zur Wahrung berechtigter Interessen erforderlich ist und die Interessen der betroffenen Person nicht überwiegen. Die Rechtsgrundlage ist offen ausgestaltet und daher besonders geeignet für innovative Technologien.

Der Grundsatz der Datenrichtigkeit ist sowohl bei der Prüfung der Erforderlichkeit als auch bei der Interessenabwägung zu beachten. Bei der Interessenabwägung ist besonderes Augenmerk auf die Richtigkeit der Output-Daten zu richten, da falsche oder unvollständige Daten regelmäßig zu einem Überwiegen der Interessen der betroffenen Person führen.

Per se problematisch ist bei KI-Systemen, dass die ausgegebenen Daten vielfach nicht ganz richtig sein werden, da der Output nicht auf Fakten, sondern auf Wahrscheinlichkeitsberechnungen beruht.

Der Grad der Verlässlichkeit der Daten muss sich am jeweiligen Verarbeitungszweck orientieren.

Rechtliche Einordnung: KI DSGVO Rechtsgrundlagen im Überblick

Die KI-Verordnung (VO EU 2024/1689) lässt die datenschutzrechtlichen Vorgaben und Anforderungen weitgehend unberührt. Gleichwohl können die Prozeduren, die in der KI-VO vorgesehen sind, helfen, die datenschutzrechtlichen Anforderungen zu erfüllen, soweit sie gleichlaufende Schutzziele verfolgen.

Prüfmaßstäbe für Interessenabwägung

Die Rechtsgrundlage der Interessenabwägung ist dreistufig zu prüfen: erstens muss sich der Verantwortliche auf ein berechtigtes Interesse berufen, zweitens muss die Verarbeitung dafür erforderlich sein, und drittens dürfen die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person demgegenüber nicht überwiegen.

Das berechtigte Interesse ist weit auszulegen und wird als wirtschaftliches Interesse vor allem darauf gestützt werden können, innovative Produkte zu entwickeln, im Wettbewerb mithalten zu können und im Sinne des technischen Fortschritts KI-Systeme weiterzuentwickeln.

Es muss sich um das eingriffsschwächste aller gleich effektiven Mittel handeln, die dem Verantwortlichen bereitstehen. Die Erforderlichkeit kann begründet werden, wenn dargelegt werden kann, warum die Daten benötigt werden, technische Maßnahmen zur Verringerung des Umfangs der Verarbeitung ergriffen und dem Stand der Technik entsprechend optimiert werden.

Nutzen Sie auch die unten aufgeführten Hilfen. Bei zusätzlichen Beratungsbedarf buchen Sie einen Termin für ein unverbindliches Erstgespräch:​

Auswirkungen für die Praxis

Geschäftsführung/Produkt/IT

Die Einhaltung der Grundsätze der DS-GVO und insbesondere ein Privacy-by-Design-Ansatz sind wesentlich. Der Grundsatz der Datenrichtigkeit fordert, dass Maßnahmen ergriffen werden müssen, die sicherstellen, dass die Daten nicht verfälscht werden. So ist bei der Auswahl und Menge der Trainingsdaten darauf zu achten, dass diese eine gute Qualität aufweisen und richtig sind. Daher muss in regelmäßigen Abständen geprüft werden, ob das Modell gegebenenfalls neu trainiert werden muss.

Marketing/Vertrieb

Setzt der Anwender ein KI-System ein, um für eine werbliche Kundenansprache passende individualisierte Texte zu erstellen, kann er sich dabei sowohl auf eine für Werbezwecke gegebene Einwilligung als auch eine Interessenabwägung stützen. Filter oder Richtlinien zur Prompt-Gestaltung, die eine Ausspielung personenbezogener Daten im Output verringern, können sich zugunsten des Anwenders auswirken. Es könnte beispielsweise untersagt werden, nach konkreten Personen zu fragen.

Compliance/DSB/Rechtsabteilung

Der Transparenz ist besondere Bedeutung beizumessen: Damit der Anwender weiß bzw. einschätzen kann, ob der Output auf sicheren Fakten beruht oder nicht, sollte das KI-System angeben, ob eine Information auf einer binären Kenntnis basiert, ob sie mit einer bestimmten Methodik eine Wahrscheinlichkeit berechnet oder einen Inhalt frei erfunden hat. Zugunsten des Anwenders kann eine besonders ausführliche und transparente Information über den Ablauf der Verarbeitung und über die Möglichkeiten zur Wahrnehmung der Betroffenenrechte sprechen.

FAQ

Brauche ich für jeden KI-Einsatz eine separate Rechtsgrundlage?

Bei der Bestimmung, welche Rechtsgrundlagen anwendbar sind, sollte konsequent nach den Phasen der Verarbeitung unterschieden werden, da es insoweit erhebliche Unterschiede gibt. Jede Verarbeitungsphase benötigt eine eigene Rechtsgrundlage.

Kann ich mich bei KI-Training immer auf berechtigte Interessen berufen?

Eine Verarbeitung ist auf Grundlage einer Interessenabwägung zulässig, wenn sie zur Wahrung berechtigter Interessen erforderlich ist und die Interessen der betroffenen Person nicht überwiegen. Eine Einzelfallprüfung ist erforderlich.

Was bedeutet Datenrichtigkeit bei KI-Outputs?

Der Grad der Validität der Daten muss sich am jeweiligen intendierten Verarbeitungszweck orientieren. Je nach Anwendungsfall sind unterschiedliche Genauigkeitsgrade erforderlich.

Muss ich bei öffentlich verfügbaren Daten auch Rechtsgrundlagen beachten?

Für im Internet erhobene Trainingsdaten kann zugunsten des Verantwortlichen angeführt werden, dass die betroffene Person diese Daten selbst veröffentlicht hat. Dennoch ist eine Rechtsgrundlage erforderlich.

Wie kann ich Widerspruchsrechte bei KI-Training umsetzen?

Hilfreich könnte die Etablierung und Berücksichtigung einer Kennzeichnung wie „robots.txt“ für Suchmaschinen-Crawler sein, mit der Inhalte von der Erhebung als Trainingsdaten ausgeschlossen werden können.

➜ Zur To-Do-Liste (priorisiert)​​

Risiken & Fallstricke

Datenrichtigkeit unterschätzen

Selbst wenn ein Output auf einer mathematisch-statistisch exakten Verarbeitungsmethode und qualitativ guten Trainingsdaten beruht, kann er inhaltlich unrichtige Daten enthalten, was zu einem Verstoß gegen den Datenrichtigkeitsgrundsatz führt.

Zweckbestimmung zu ungenau

Selbst wenn ein Output auf einer mathematisch-statistisch exakten Verarbeitungsmethode und qualitativ guten Trainingsdaten beruht, kann er inhaltlich unrichtige Daten enthalten, was zu einem Verstoß gegen den Datenrichtigkeitsgrundsatz führt.

Betroffenenrechte vernachlässigen

Es besteht keine direkte Beziehung zwischen dem Verantwortlichen und der betroffenen Person, sodass die betroffene Person einen Widerspruch im klassischen Sinne faktisch nur schwer ausüben kann.

KI-VO-Anforderungen ignorieren

Die Maßnahmen der KI-VO für Hochrisiko-KI-Systeme sind grundsätzlich gut geeignet, auch die Einhaltung datenschutzrechtlicher Anforderungen zu unterstützen.

➜ Zur Checkliste „Bin ich betroffen?“​​