Laut dem statistischen Bundesamt nutzen Unternehmen Künstliche Intelligenz (KI) am häufigsten zur Spracherkennung, gefolgt von der Automatisierung von Arbeitsabläufen oder aber auch zur Entscheidungsfindung. Ein klares Bild: KI-Systeme haben Einzug in die Strukturen von Unternehmen gefunden.
Bereits in unserem letzten Beitrag konnte ein erster Eindruck von der KI-Verordnung gewonnen werden, welche nun am 01.08.2024 in Kraft tritt, vollständige Geltung jedoch erst ab dem 02.08.2026 erlangt. Selbst wenn die Verordnung derzeit noch kein geltendes Recht darstellt, enthält diese eine ausdrückliche Bestimmung, welche die Datenschutzgrundverordnung (DS-GVO) hinsichtlich der Verarbeitung personenbezogener Daten als anwendbar erklärt. Ein Grund mehr sich mit der Frage zu beschäftigen, welche datenschutzrechtlich relevanten Themenfelder die Nutzung von KI mit sich bringt.
Mit der Implementierung von KI-Systemen im Unternehmen werden diverse datenschutzrelevante Bereiche tangiert, wodurch auch ein unzureichendes Datenschutzmanagement zu Tage treten kann. – Marie-Luis Bufler
Es ist nicht von der Hand zu weisen, dass die Nutzung von KI-Systemen ein Potpourri an verschiedenen Interessen bereithält. Diese reichen über das Interesse des Unternehmens, Wirtschaftlichkeitsgesichtspunkten zu entsprechen, hinweg zu den Interessen des KI-Anbieters, sich unter anderem die Verarbeitung der Daten zu Trainingszwecken vorzuhalten. Und zwischen all dem möchte der Datenschutz natürlich auch seinen Platz wissen.
Im Sinne von „Vorsicht ist besser als Nachsicht“ bzw. im Sinne des Datenschutzes „…ist besser als ein Bußgeld der Aufsichtsbehörde“, legen wir nachfolgend den Fokus auf die Frage, was ein datenschutzkonformer Einsatz von KI-Anwendungen im Unternehmen grundsätzlich erfordert.
Was erfordert der datenschutzkonforme Einsatz von KI-Anwendungen im Unternehmen?
Sofern die Implementierung einer KI-Anwendung im Raum steht, sollte das Unternehmen, bzw. der datenschutzrechtliche Verantwortliche, für das Grundgerüst sorgen. Das bedeutet im Einzelnen, dass zu Beginn der Bereich abgesteckt werden sollte, in welchem die KI-Anwendung zum Einsatz gelangt. In diesem Zusammenhang sollte der Fokus deutlich auf die konkreten Zwecke des Einsatzes gelegt werden und demnach die Frage, was sich das Unternehmen von dem Einsatz verspricht. Dem Verantwortlichen sei dabei angeraten eine umfassende Dokumentation vorzunehmen, welche zu verschiedenen Zeitpunkten wieder als Grundlage herangezogen werden kann.
Neben der Frage der Zulässigkeit des geplanten Einsatzbereichs, bedarf die Frage der Verarbeitung personenbezogener Daten eine nähere Prüfung. Es sollte nicht vorschnell über diesen Punkt hinweggegangen werden, da in diesem Zusammenhang auch die Art des KI-Systems an Relevanz gewinnt.
Soweit es sich um eine KI-Anwendung handelt, welche als offenes System ausgestaltet wurde, verfügt diese unter Umständen über einen Zugang zu weiteren Datenquellen, wie dem Internet. Diese Verknüpfung kann im Ergebnis dazu führen bzw. dazu verhelfen, dass die Herstellung eines Personenbezugs erst ermöglicht wird. Auch die Erweiterung von Informationen zu einer Person ist denkbar. Um diese Gefahrenquelle auszuschließen ist es aus datenschutzrechtlicher Sicht vorzugswürdig von einem offenen System abzusehen und ein technisch geschlossenes System in Erwägung zu ziehen. Durchaus begrüßenswert ist dahingehend auch die Tatsache, dass auf diesem Weg die Verarbeitung zu Trainingszwecken ausgeschlossen werden kann.
Welche Punkte sind bei der Implementierung von KI zu beachten?
Wie Eingangs bereits dargestellt findet KI gerade auch bei Spracherkennung im Unternehmen Anwendung. Dabei ist sowohl hinsichtlich der Eingabe- als auch der Ausgabedaten Vorsicht geboten. Sofern personenbezogene Daten verarbeitet werden bedarf es einer Datenschutzinformation, welche transparent und in präziser sowie in leicht verständlicher Form die betroffene Person über die Verwendung ihrer Daten informiert. Daneben bedarf es einer geeigneten Rechtsgrundlage und der Klärung, inwieweit diese Daten an Dritte bzw. an den KI-Anbieter der jeweiligen KI-Software übermittelt werden.
Losgelöst von der Spracherkennung ist bei KI-Systemen grundsätzlich darauf zu achten, dass allein die Entfernung der Stammdaten nicht dafür Sorge trägt, dass kein Personenbezug hergestellt werden kann. Selbst wenn es sich bei der KI-Anwendung um ein geschlossenes System handelt, bedeutet dies im Umkehrschluss nicht, dass durch dieses kein Personenbezug hergestellt bzw. Rückschlüsse gezogen werden können. Zwar verfügt lediglich ein begrenzter Kreis von Anwendenden über diesen Zugriff, inwieweit diese jedoch berechtigt sind ist festlegungsbedürftig.
An dieser Stelle sollte der Verantwortliche dafür Sorge tragen, dass durch Schulungen und Sensibilisierung der Mitarbeitenden ein datenschutzkonformer Umgang bzw. ein dahingehendes Bewusstsein erreicht wird. Dies gerade auch mit Blick auf Kategorien besonderer personenbezogener Daten, da hier die Prüfung, ob ein Ausnahmetatbestand gem. Art. 9 Abs. 2 DS-GVO vorliegt, erfolgen sollte.
Dem kritischen Blick beibehaltend sollten die Ergebnisse der KI stets hinterfragt werden. Insbesondere sollte der Verantwortliche im Hinterkopf behalten, dass unrichtige Ergebnisse zu unzulässigen Verarbeitungen führen. Nicht zuletzt sollte sich die Prüfung auch auf eine mögliche diskriminierende Wirkung erstrecken und die Tragbarkeit des Ergebnisses einbeziehen. Denn auch hier ist die Unzulässigkeit der Verarbeitung die Folge.
Abschließend sollte vor jeder Implementierung feststehen, wie die Gewährleistung der Betroffenenrechte gesichert wird. Sofern eine betroffene Person ihr Recht auf Berichtigung geltend macht, hat diese Berichtigung innerhalb dieser KI-Anwendung zu erfolgen. Inwieweit diese Möglichkeit besteht, sollte im Vorhinein geklärt werden. Dabei muss gegebenenfalls der Anbieter erläutern, inwieweit ein Nachtraining bzw. eine Korrektur möglich ist. Gleiches gilt für die übrigen, nicht weniger bedeutsamen, Betroffenenrechte.
Welche Handlungsempfehlung lassen sich für Unternehmen ableiten?
Sofern sich Unternehmen für die Implementierung von KI-Anwendungen entscheiden, sollten Verantwortliche, neben den soeben dargelegten Punkten, den nachfolgenden Ausführungen Beachtung schenken:
- Verantwortlichkeit
Die Frage der KI-Anwendung enthält zeitgleich die Frage nach der Verantwortlichkeit. Sofern – wie hier überwiegend angenommen – eine KI-Anwendung von einem externen Anbieter in Betracht gezogen wird, welcher diese als Cloud-Lösung anbietet, stellt dieser ein Auftragsverarbeiter dar. Demnach bedarf es einer entsprechenden Vereinbarung.
- Klare interne Regelungen
Daneben sollten interne Regelungen erarbeitet und aufgestellt werden, welche nicht nur den Beschäftigten Sicherheit im Rahmen ihrer Beschäftigung bietet, sondern auch klare Vorgaben enthält, die eine eigenmächtige bzw. unkontrollierte Nutzung deutlich einschränken.
- Informationsgrundlage und Austauschbereitschaft
Verantwortliche sind angehalten sorgfältig zu prüfen, welche Daten in die Anwendung eingespeist werden dürfen bzw. inwieweit sich Anbieter der jeweiligen Anwendung der DS-GVO unterwerfen. In den Nutzungsbedingungen kann es unter Umständen zu einer Bereichsabgrenzung in dem Sinne kommen, dass lediglich die amerikanische Bevölkerung adressiert wird, um den Anforderungen der DS-GVO nicht zu unterliegen. Daneben können die Nutzungsbedingungen einen Hinweis dahingehend erhalten, dass das Einpflegen personenbezogener Daten untersagt ist. Bereits zu diesem Zeitpunkt der Informationsgewinnung sollten Verantwortliche ausreichende Überlegungen über die in den Nutzungsbedingungen sowie der Datenschutzinformation niedergelegten Umstände anstellen, da diese spätestens im Rahmen der Auftragsverarbeitung wieder an Relevanz gewinnen dürften.
Nicht außer Acht gelassen werden sollte in diesem Kontext auch die Durchführung einer Datenschutz-Folgenabschätzung, welche zumindest die Vorabprüfung eines voraussichtlichen hohen Risikos, mit Blick auf die Verarbeitung personenbezogener Daten, verlangt. Sofern auf eine KI-Anwendung eines anderen Anbieters zurückgegriffen wird, bedarf es für die Risikoanalyse weitergehende Informationen von diesem, sodass bereits zu Beginn der Anwendungsauswahl auch auf die Anbieter als solche geachtet werden sollte.
- Einrichtung einer Funktions-E-Mail-Adresse
Überwiegend werden die Beschäftigten des Unternehmens mit der Nutzung des KI-Systems in Berührung kommen und damit konfrontiert sein, sodass diesen eine Funktions-E-Mail-Adresse zur Verfügung gestellt werden sollte. Gleiches gilt, wenn Kommunikationsdaten wie eine Mobilfunknummer zur Registrierung oder Verifizierung verlangt werden. Dann sollte ein mobiles Endgerät zu dienstlichen Zwecken zur Verfügung gestellt werden. Dies liegt in dem Umstand, dass der Schutz personenbezogener Daten der eigenen Beschäftigten nicht in den Hintergrund geraten darf.
- Datenschutzkonforme Gestaltung
Sofern personenbezogene Daten verarbeitet werden, sind schließlich die Grundsätze von Privacy by Design und Privacy by Default zu beachten. Das bedeutet, beispielsweise mit Blick auf die Möglichkeit, die Speicherung für eine erneute Bearbeitung vornehmen zu können, dass an diesem Punkt interveniert und davon abgesehen werden sollte. Auch über Berechtigungskonzepte kann in diesem Kontext nachgedacht werden, um die Preisgabe von Informationen zu vermeiden bzw. zu verhindern. Die möglichen Voreinstellungen sollten dabei ausgeschöpft werden.
Fazit
Mit der Implementierung von KI-Systemen im Unternehmen werden diverse datenschutzrelevante Bereiche tangiert, wodurch auch ein unzureichendes Datenschutzmanagement zu Tage treten kann. Ein sicheres und strukturiertes Vorgehen sollte insbesondere mit Blick auf die, überwiegend in diesem Zusammenhang zu prüfende und stetig an Relevanz gewinnende, Datenschutz-Folgenabschätzung gegeben sein. Die Abläufe und Prozesse kleinteilig zu durchdenken ist unerlässlich und somit die Devise für Verantwortliche.
Was Sie noch interessieren könnte:
Die Haftung von Verantwortlichen, Gemeinsam Verantwortlichen und Auftragsverarbeitern
Die Funktion als Verantwortlicher, gemeinsam Verantwortlicher oder Auftragsverarbeiter ist für Unternehmen vor allem in Haftungssituationen rund um den Datenschutz […]
Die Erstellung eines Löschkonzepts – das gilt es zu beachten!
In der DSGVO finden sich an einigen Stellen Verpflichtungen zur Löschung personenbezogener Daten. Darunter beispielsweise das Recht auf Löschung in […]
Künstliche Intelligenz und Datenschutz – woran Verantwortliche im Unternehmen denken sollten
Laut dem statistischen Bundesamt nutzen Unternehmen Künstliche Intelligenz (KI) am häufigsten zur Spracherkennung, gefolgt von der Automatisierung von Arbeitsabläufen oder […]