"KI-Flash": Neue Orientierungshilfe der DSK zum Thema „Künstliche Intelligenz und Datenschutz“

Nachdem wir in unserem letzten KI-Flash über den risikobasierten Ansatz des AI Act berichtet haben, möchten wir Ihnen auch weiterhin in regelmäßigen Abständen rechtliche Impulse mit auf den Weg geben. Da Zeit in der heutigen Gesellschaft ein rares Gut ist, wollen wir mit unseren „KI-Flash“ gleich auf den Punkt kommen und die rechtlichen Herausforderungen kurz und prägnant zusammenfassen:

Heutiges Thema: Neue Orientierungshilfe der DSK zum Thema „Künstliche Intelligenz und Datenschutz“

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat per Datum vom 6. Mai 2024 eine neue Orientierungshilfe zu den datenschutzrechtlichen Anforderungen an den Einsatz von KI veröffentlicht. Die Orientierungshilfe adressiert dabei insbesondere die Nutzung sog. Large Language Models (LLMs), lässt sich an einigen Passagen jedoch auch auf andere KI-Anwendungen und –Technologien übertragen. Ausdrücklich nicht schwerpunktmäßig behandelt, wird jedoch das Entwickeln von KI-Anwendungen sowie das Trainieren von KI-Modellen.

Das Dokument teilt sich in insgesamt drei Abschnitte und beinhaltet dabei insbesondere die folgenden Themen:

Konzeption des Einsatzes und Auswahl von KI-Anwendungen

Der erste Abschnitt der neuen Orientierungshilfe bildet einige übergeordnete Fragestellungen beim Einsatz von KI ab und trifft hierbei u.a. die nachstehenden Grundaussagen:

• Da eine datenschutzrechtliche Prüfung stets auf Basis des zuvor festgelegten Zwecks der Datenverarbeitung zu erfolgen hat, muss beim Einsatz einer KI-Anwendung zunächst festgelegt werden, welche konkreten Anwendungsfelder (Use Cases) in Betracht kommen.
• Für jeden Use Case ist genau zu prüfen, ob dieser – etwa nach den Anforderungen des AI Acts – überhaupt zulässig ist.
• Ebenfalls sollte nach Ansicht der DSK geprüft werden, ob sich Einsatzfelder ableiten lassen, welche auch ohne die Verarbeitung personenbezogener Daten auskommen. Besondere Vorsicht ist hierbei jedoch bei dem weiten Begriffsverständnis der personenbezogenen Daten geboten!
• Spannend ist insbesondere die Aussage der DSK, wonach Verantwortliche auch zu prüfen haben, ob und inwieweit die eingesetzte KI-Anwendung auf rechtmäßige Weise trainiert wurde. Insoweit ist insbesondere sicherzustellen, dass sich Fehler beim Trainieren der KI nicht auch auf die Nutzung der konkreten KI-Anwendung „auswirken“.
• Daneben sind nach den Ausführungen der DSK die „klassischen“ Fragestellungen beim Einsatz von KI zu beantworten, etwa das Vorliegen einer datenschutzrechtlichen Rechtsgrundlage (für jeden einzelnen Use Case!), die Beachtung der Anforderungen an eine transparente Datenverarbeitung, die Umsetzung von Betroffenenrechten sowie die Einbindung des Datenschutzbeauftragten.
• Auch finden sich einige Hinweise zu wünschenswerten Einstellungen in der KI-Anwendung, welche sich etwa auf das Weitertrainieren der KI in der Nutzungsphase sowie auf die Eingabe Historie beziehen.
• Ebenfalls wird seitens der DSK die Aussage aufgestellt, dass geschlossene Systeme (typischerweise adressiert dies on-premise Lösungen) gegenüber offenen Systemen (etwa cloudbasierte Systeme) zu bevorzugen sind, was die gelebte Praxis zumindest vor einige Herausforderungen stellen wird.

Implementierung von KI-Anwendungen

Im zweiten Abschnitt der Orientierungshilfe finden sich zudem einige Hinweise, welche sich insbesondere auf die organisatorische Ausgestaltung bei der Implementierung von KI beziehen. So sollten insbesondere interne Regelungen zum Einsatz von KI getroffen werden (nach unserer Empfehlung etwa eine KI-Guidance) sowie Schulungen für die Beschäftigten im Unternehmen vorgesehen werden. Daneben ist natürlich die – nicht immer ganz einfache – Frage der datenschutzrechtlichen Verantwortlichkeit zu klären, welche letztlich den Ausgangspunkt für die Einhaltung der Vorgaben der DS-GVO darstellt.

Nutzung von KI-Anwendungen

Im letzten Abschnitt der Orientierungshilfe geht es insbesondere um den konkreten Umgang mit Input und Output Daten sowie Mechanismen zur Verhinderung von Diskriminierungen.

Eine erfreuliche Aussage findet sich insoweit zur Verarbeitung von Gesundheitsdaten gemäß Art. 9 Abs. 1 DS-GVO:

„Entspricht eine KI‐Anwendung dem fachlichen Standard und ist als Medizinprodukt zugelassen, kann Art. 9 Abs. 2 lit. h DS‐GVO i. V. m. dem Behandlungsvertrag für die Verarbeitung der Patientendaten geeignet sein.“

Dies wird – sofern die genannten Voraussetzungen vorliegen – zumindest im medizinischen Kontext einige Probleme rund um die datenschutzrechtliche Einwilligung umschiffen können.

Keine großen Überraschungen

Zusammenfassend lässt sich festhalten, dass die Orientierungshilfe nur selten in die Tiefe geht und letztlich nur die bereits bekannten datenschutzrechtlichen Anforderungen an den Einsatz von KI aufzeigt. Dennoch zeigt die Orientierungshilfe das Meinungsbild der Datenschutzaufsichtsbehörden auf, weshalb sich eine gründliche Lektüre jedenfalls lohnt. Datenschutz und KI sind kaum voneinander zu trennen und sollten in der Praxis stets mit der nötigen Gründlichkeit behandelt werden. Das Thema ist daher mehr als nur ein „Hype“ und nimmt in der Praxis immer größere Bedeutung ein.

Gerne helfen wir Ihnen bei der Umsetzung Ihres KI-Projekts!