In einem Kolumnenbeitrag von Matthias Biebl stand vor Kurzem der Satz, „das beliebteste Killerargument“ gegen den Einsatz von künstlicher Intelligenz sei der Datenschutz. In der Tat hält das Datenschutzrecht die ein oder andere Stolperfalle bereit. Gleichzeitig stellen wir in der Beratungspraxis fest, dass das Thema nicht immer mitgedacht wird. Problematisch ist auch, dass einer aktuellen Bitkom-Befragung zufolge 17 Prozent der Erwerbstätigen in Deutschland Anwendungen wie ChatGPT bei der Arbeit einsetzen, jedoch ohne Wissen ihres Arbeitgebers. Sensibilisierung und Aufklärung scheinen also angebracht.
Bußgelder und Schadenersatzforderungen vermeiden
Für Unternehmen, die beim Einsatz von künstlicher Intelligenz den Datenschutz missachten, kann es mitunter teuer werden. Es drohen Bußgelder von bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten Jahresumsatzes des Unternehmens. Auch wenn Bußgelder nur selten in die Nähe dieser Obergrenzen kommen, können durchaus empfindliche Geldbußen auf Unternehmen zukommen.
Zudem können Betroffene Schadenersatz verlangen, wenn ihre personenbezogenen Daten von der Datenschutzverletzung betroffen sind. Hierzu zählt nicht nur der Ersatz finanzieller Schäden, sondern auch von sogenannten immateriellen Schäden, umgangssprachlich „Schmerzensgeld“ genannt.
Warum Datenschutz für KI relevant ist
Der Datenschutz wird in der Europäischen Union in erster Linie durch die Datenschutzgrundverordnung (DSGVO) geregelt. Sie greift, wenn personenbezogene Daten, also Informationen über eine identifizierbare Person, vorliegen. Für die Anwendung der DSGVO macht es dabei keinen Unterschied, ob KI in einem kleinen oder großen Unternehmen oder in einem Verein zum Einsatz kommt.
KI basiert auf Informationen, die ihr im Trainingsprozess zur Verfügung gestellt werden. Diese Informationen enthalten oftmals auch personenbezogene Daten. Denn Trainingsdaten für KI werden oftmals aus dem öffentlichen Internet entnommen, um eine möglichst breite Informationsbasis zu nutzen. Dabei werden unter Einsatz sogenannter Crawler große Mengen Daten aus dem Internet entnommen. Crawler sind kleine Programme, die automatisiert das Internet durchsuchen.
Darüber hinaus werden personenbezogene Daten nicht selten als Teil eines Prompts, dem Befehl an eine KI, an diese übermittelt.
Rechtsgrundlagen finden
Sowohl beim Training von KI als auch bei der Nutzung fertiger Dienste wie etwa Chatbots gilt der Grundsatz, dass eine sogenannte Rechtsgrundlage für das Verarbeiten personenbezogener Daten bestehen muss. Dabei handelt es sich um die gesetzliche Erlaubnis, dass die Daten einer Person in bestimmten Situationen verarbeitet werden dürfen.
Eine solche Rechtsgrundlage kann zum Beispiel die Einwilligung der betroffenen Personen sein. Gerade im Bereich des Trainings von KI ist die Einwilligung jedoch nicht das Mittel der Wahl. Denn zur Einholung der Einwilligungen müssten die Personen zunächst einmal identifiziert und kontaktiert werden, was oftmals unmöglich sein dürfte. Eher geeignet ist die Rechtsgrundlage der Einwilligung, wenn der Kreis der betroffenen Personen bekannt ist. Will ein Unternehmen beispielsweise Kundendaten mittels KI-gestützter Software verarbeiten, so könnte es die Kunden im Vorfeld um ihre Einwilligung bitten.
Im Bereich des Trainings kommt als Rechtsgrundlage daher eher die Verarbeitung aufgrund berechtigter Interessen (Artikel 6 Absatz 1 Buchstabe f) DSGVO) in Betracht. Die Frage, ob berechtigte Interessen vorliegen, ist im Einzelfall nicht einfach zu beantworten und sollte daher sicherheitshalber vom Datenschutzbeauftragten oder einem spezialisierten Juristen vorgenommen werden.
Geht es nicht um das Training, sondern um die Nutzung von KI-Diensten, kann mitunter auch die Vertragsdurchführung gemäß Artikel 6 Absatz 1 Buchstabe b) DSGVO Rechtsgrundlage sein. Diese Rechtsgrundlage kommt insbesondere dann in Frage, wenn Unternehmen einen KI-Dienst zur Nutzung bereitstellen.
Wer ist verantwortlich?
Darüber hinaus stellt sich beim Einsatz von KI die Frage, wer konkret für die Verarbeitung der Daten und damit für die Einhaltung der DSGVO verantwortlich ist. Grundlage dieser Frage ist, dass die DSGVO bei der Verarbeitung personenbezogener Daten zwischen einigen wenigen Akteuren unterscheidet. Der sogenannte Verantwortliche ist in erster Linie verpflichtet, die erforderlichen Schutzmaßnahmen zu treffen. Zudem gibt es noch sogenannte Auftragsverarbeiter, die personenbezogene Daten nach Weisung des Verantwortlichen verarbeiten und insoweit lediglich eine unterstützende Funktion haben. Andere Beteiligte gelten meist als „Dritte“ im Sinne der Datenschutzgesetze. Die Abgrenzung kann in der Praxis schwierig sein, ist aber von erheblicher Relevanz. Denn im Zweifel muss der Verantwortliche für Datenschutzverstöße haften.
Macht ein Unternehmen sich beispielsweise ChatGPT zunutze und gibt dabei personenbezogene Daten von Kunden ein, kann das Unternehmen als datenschutzrechtlich verantwortlich gelten. Problematisch ist hierbei, dass dieses Unternehmen hiernach überhaupt keine Kontrolle oder Überblick über die Verarbeitungsprozesse innerhalb des Unternehmens OpenAI hat und somit seinen datenschutzrechtlichen Pflichten nicht nachkommen kann.
Datenschutzfolgen-Abschätzung
Wer sich bereits etwas mit den Regelungen der DSGVO auskennt, wird auch schon von der sogenannten Datenschutz-Folgenabschätzung (kurz: DSFA) gehört haben. Dabei handelt es sich im Wesentlichen um eine – je nach Vorhaben sehr aufwändige – Risikoanalyse in Bezug auf die Verarbeitung personenbezogener Daten. Diese muss durchgeführt werden, bevor mit der Datenverarbeitung begonnen wird.
Nach der DSGVO ist eine DSFA in Fällen durchzuführen, in denen ein besonderes Risiko für die Betroffenen besteht. Das Gesetz sowie eine von den deutschen Aufsichtsbehörden veröffentlichte Muss-Liste bieten Anhaltspunkte, wann eine DSFA durchzuführen ist. Die Muss-Liste fordert die Durchführung einer DSFA beispielsweise beim Einsatz künstlicher Intelligenz „zur Verarbeitung personenbezogener Daten zur Steuerung der Interaktion mit den Betroffenen oder zur Bewertung persönlicher Aspekte der betroffenen Person“.
Es gibt noch mehr
Zu den Unsicherheiten in puncto Rechtsgrundlagen und Co. gesellen sich weitere Probleme, die jedoch den Rahmen dieser Kolumne sprengen würden. Unternehmen, die KI nutzen oder planen, KI in Unternehmensprozesse zu implementieren, sind daher gut beraten, sich datenschutzrechtliche Expertise einzuholen. Zudem bietet eine jüngst veröffentlichte Checkliste der hamburgischen Datenschutz-Aufsichtsbehörde gute Anhaltspunkte dafür, was beim Einsatz von Sprachmodellen wie ChatGPT beachtet werden sollte.
Dieser Beitrag ist Teil der Themenreihe „How-to GenAI“, die sich mit dem Einsatz von generativer künstlicher Intelligenz in der Unternehmenskommunikation beschäftigt. Wöchentlich erscheinen an dieser Stelle Beiträge wechselnder Autor*innen zu theoretischen und praktischen Aspekten.
