Der Vormarsch der KI scheint unaufhaltsam und viele Unternehmen fragen sich derzeit, wie ein Einsatz von KI-Anwendungen sinnvoll gestaltet werden kann. Dabei wird häufig unterschätzt, wie kompliziert der datenschutzkonforme Einsatz sein kann. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) veröffentlichte im Mai 2024 eine Orientierungshilfe zum Thema künstliche Intelligenz und Datenschutz. Dabei stehen vor allem sogenannte Large Language Models (LLM) im Fokus. LLMs werden häufig als Chatbots angeboten wie z.B. ChatGPT von OpenAI.

Die Orientierungshilfe soll einen Überblick bieten und als Leitfaden dienen, was für eine datenschutzkonforme Nutzung von KI-Anwendungen zu beachten gilt. Im Folgenden werden wir die wichtigsten Punkte zusammenfassen. Die vollständige Orientierungshilfe finden sie hier.

Einsatzfelder festlegen

Plant ein Unternehmen die Nutzung von KI-Anwendungen, sollten vorher Verantwortliche das Einsatzfeld festlegen. Das ist wichtig, da bestimmte Einsatzfelder von vorneherein unzulässig sein können. Festgelegt in der europäischen KI-Verordnung sind z.B. sogenanntes „Social Scoring“ oder biometrische Echtzeitüberwachung öffentlicher Orte entweder verboten oder stark eingeschränkt. Auch gilt bei der Entscheidung zu berücksichtigen, ob es sich um ein geschlossenes oder offenes System handelt. Ein geschlossenes System steht nur einem bestimmten Kreis von Anwendern zur Verfügung, während ein offenes System, z.B. als Cloud-Lösung betrieben, einem unbestimmten Anwenderkreis zugänglich ist. Datenschutzrechtlich sind geschlossene Systeme zu bevorzugen.

Weiterhin gilt, dass Entscheidungen mit Rechtswirkung grundsätzlich nur von Menschen getroffen werden dürfen (Art. 22. Abs. 1 DSGVO). Erarbeitet eine KI verschiedene Vorschläge, so muss dem entscheidenden Menschen ein tatsächlicher Entscheidungsspielraum zukommen. Eine formelle Beteiligung eines Menschen reicht nicht aus. Um dies sicher zu stellen, müssen entsprechende Ressourcen zur Verfügung gestellt werden.

KI erfordert häufig Datenschutzfolgeabschätzung

Häufig ist es der Fall, dass bei Verarbeitungen, bei denen KI-Anwendungen zum Einsatz kommen, eine Datenschutzfolgeabschätzung (DSFA) gemäß Art. 35 DSGVO erfolgen muss. Ob eine DSFA tatsächlich durchgeführt werden muss, hängt von dem Risiko bzgl. der Art, des Umfangs, des Zwecks und der Umstände der VerarbeitungJeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgan... ab. Für Verarbeitungen, für die immer eine DSFA durchgeführt werden muss, stellt die DSK sogenannte „Muss-Listen“ zur Verfügung.

Vorsicht im Gesundheitswesen

Bei der VerarbeitungJeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgan... von personenbezogenen Daten der besonderen Kategorie (Art. 9 DSGVOVerordnung (EU) 2016/679 vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitu... More) gilt besondere Vorsicht. Eine VerarbeitungJeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgan... dieser personenbezogenen Daten, zu denen u.a. Gesundheitsdaten, genetische Daten oder biometrische DatenBiometrische Daten sind körperliche Merkmale oder Verhaltensweisen, mit denen Sie eindeutig ide... gehören ist grundsätzlich nicht erlaubt. Ausnahmen bieten die Voraussetzungen des Art. 9 Abs. 2 bis 4 DSGVO. Damit eine datenschutzrechtlich saubere Nutzung erfolgen kann, muss vorausgesetzt sein, dass die KI-Anwendung dem fachlichen Standard entspricht und als Medizinprodukt zugelassen ist. Sollte dies der Fall sein, so kommt Art 9. Abs. 2 lit. h DSGVO i. V. m. dem Behandlungsvertrag in Betracht. Alternativ könnte eine ausdrückliche EinwilligungUnter Einwilligung in die Datenverarbeitung versteht man, dass ein Unternehmen oder eine Behörd... More gemäß Art. 9 Abs. 2 lit. a DSGVO geeignet sein. Wichtig ist, dass die betroffene PersonEine natürliche Person, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennu... zuvor ausreichend informiert wurde, auch über die spezifischen Funktionsweisen der KI-Anwendung.