IITR Datenschutz Blog

Datenschutzbehörden: „So geht der Einsatz von KI datenschutzkonform“

16.05.2024

Zusammenfassung

Die Auswahl des richtigen KI-Tools ist entscheidend und muss die datenschutzrechtlichen Rahmenbedingungen berücksichtigen. Darüber hinaus müssen Risiken wie die unsachgemäße Anwendung durch ungeschultes Personal oder fehlende vertragliche Vereinbarungen umfassend adressiert werden, um einen sicheren und effizienten Einsatz zu gewährleisten. Auf dies und mehr geht nun eine neue Orientierungshilfe der deutschen Aufsichtsbehörden ein.

4 Minuten Lesezeit

Nach langen Verhandlungen zu der EU-Verordnung zur Künstlichen Intelligenz („AI Act“) haben die deutschen Aufsichtsbehörden („Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder“, kurz „Datenschutzkonferenz“) eine Orientierungshilfe zu Künstlicher Intelligenz und Datenschutz veröffentlicht.

Dieses Papier richtet sich insbesondere an Unternehmen, die KI-Anwendungen einsetzen möchten und adressiert datenschutzrechtliche Kriterien und Rahmenbedingungen, die dabei unterstützen sollen, das passende KI-Tool auszusuchen, zu implementieren und zu nutzen.

Schritt 1: Auswahl der richtigen Anwendung

Zuerst sollte sich das Unternehmen bewusstwerden, für welchen Bereich und zu welchem Zweck das Tool eingesetzt werden soll. Zu beachten ist, dass bestimmte Felder von vornherein als unzulässig klassifiziert wird (z.B. „Social Scoring“, biometrische Echtzeitüberwachung). – Im Zuge dessen sollte auch sichergestellt sein, dass keine vollautomatisierte Entscheidungsfindung stattfindet, die nach Art. 22 DSGVO grundsätzlich untersagt ist.

Schritt 2: Transparenz

Das Unternehmen sollte ausreichend Informationen erhalten, wie die Software funktioniert, damit es die Betroffenen der geplanten personenbezogenen Datenverarbeitung ausreichend, d.h. nachvollziehbar und verständlich, informieren kann. Dabei ist es nicht erforderlich, dass jede Weichenstellung erläutert wird, sondern „die Komplexität der Logik [solle] auf ein verständliches Maß“ heruntergebrochen werden.

Schritt 3: Abwahlmöglichkeit des Trainings

Das Training der grundlegenden KI-Anwendung sollte abwählbar sein. Da in der Regel trotzdem (zumindest theoretischer) Zugriff von Anbieterseite auf personenbezogene Daten vorliegen sollte, ist eine Datenschutzvereinbarung („Auftragsverarbeitungsvereinbarung“) unverzichtbar.

Schritt 4: Je personenbezogene Datenverarbeitung, desto Rechtsgrundlage

Für jeden Verarbeitungsschritt benötigt es eine datenschutzrechtliche Rechtsgrundlage. Dies sind zumeist Vertragsnotwendigkeit, Einwilligung oder berechtigte Interessen. Dies ist im Einzelfall festzustellen.

Schritt 5: Sensibilisierung der Beschäftigten

Damit sich die Mitarbeiter, die mit der Software in Zukunft arbeiten, zurechtfinden, ist es unerlässlich, diese zu schulen und zu sensibilisieren. Empfohlen ist ein Zusammenspiel aus klassischen Schulungen und Richtlinien.

Schritt 6: Vertrauen ist gut, Kontrolle ist besser

Außerdem sollten die Ergebnisse der Verarbeitung laufend und kontinuierlich überprüft werden, um Fehler oder falsche Ergebnisse umgehend korrigieren zu können und insgesamt eine Einschätzung der Qualität der Anwendung zu erhalten.

Fazit: Gute Denkanstöße, noch keine praxisnahen Lösungen

Die Orientierungshilfe der Aufsichtsbehörden lässt – wie so vieles in der Welt der Künstlichen Intelligenz – viele Fragestellungen offen. Ein kurzer Blick lohnt sich aber in jedem Fall, um die Überlegungen von Behörden hinsichtlich datenschutzrechtlicher Themen zumindest einmal gesehen zu haben.

Es sei infolgedessen aus Sicht der Datenschutzaufsichtsbehörden sinnvoll, die Marktüberwachung im Rahmen des AI Act den Datenschutzaufsichtsbehörden zu übertragen, die sich qua Amtes bereits um verschiedene Aspekte von KI kümmern müssten und außerdem ausreichend Erfahrung bei europäischer Behörden-Zusammenarbeit.

Michael Wehowsky

Über den Autor - Datenschutzbeauftragter Michael Wehowsky

Herr Michael Wehowsky ist zertifizierter Datenschutzbeauftragter (udis) und zertifizierter Berater im Datenschutzrecht (FernUniversität Hagen). Darüberhinaus ist er Certified Information Privacy Professional Europe (CIPP/E) und Certified Information Privacy Technologist (CIPT), jeweils durch die iapp. - In seiner Funktion als Teil des Beratungsteams unterstützt er Unternehmen verschiedenster Ausrichtung und Größe im Datenschutz in deutscher, englischer und italienischer Sprache.

Beitrag teilen:

0 Kommentar zu diesem Beitrag:

Kommentar schreiben:

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

https://www.iitr.de/blog/wp-content/uploads/2020/10/chatbot-load.png https://www.iitr.de/blog/wp-content/uploads/2020/10/loading.gif