„KI-Flash" Die Zweckänderung beim Einsatz von KI

Nachdem wir in unserem letzten KI-Flash die datenschutzrechtlichen Rechtsgrundlagen beim Einsatz von KI aufgezeigt haben, möchten wir Ihnen auch weiterhin in regelmäßigen Abständen rechtliche Impulse mit auf den Weg geben. Da Zeit in der heutigen Gesellschaft ein rares Gut ist, wollen wir mit unseren „KI-Flash“ gleich auf den Punkt kommen und die rechtlichen Herausforderungen kurz und prägnant zusammenfassen:

Heutiges Thema: Die Zweckänderung beim Einsatz von KI

In Art. 5 Abs. 1 lit. b) DS-GVO wird festgehalten, dass personenbezogene Daten für „festgelegte, eindeutige und legitime Zwecke“ erhoben werden müssen (sog. Zweckbindungsgrundsatz). Vor der Datenerhebung muss also grundsätzlich bereits feststehen, wofür die jeweiligen Daten verwendet werden. Wieso stellt dies aber gerade beim Einsatz von KI eine Herausforderung dar?

Woher die ganzen Daten?

Wie wir dies bereits in unseren bisherigen KI-Flash angedeutet haben, muss eine KI zunächst trainiert werden – und dies im Regelfall mit einer hinreichend großen Datenmenge. Nun wird schnell die Frage aufkommen, woher die ganzen Daten stammen sollen. Aus unternehmerischer Sicht ist es insoweit leicht nachvollziehbar, auf bereits bestehende (Kunden- oder Mitarbeiter-)Datensätze zurückzugreifen. Schließlich sind die Daten ja ohnehin bereits vorhanden.

Der Zweckbindungsgrundsatz als Bremse

Und genau hier kommen wir auf die Zweckbindung zu sprechen: Es ist davon auszugehen, dass bspw. Beschäftigtendaten im Regelfall nicht mit der Intention erhoben wurden, diese (auch) zu Zwecken des Trainierens einer KI zu verwenden. Sofern also – und dies wird wiederum den Regelfall darstellen – keine Einwilligung der betroffenen Personen vorliegt und auch keine andere Rechtsgrundlage die zweckändernde Datennutzung erlaubt (klassisches Beispiel für den Fall von Rechtsstreitigkeiten ist insoweit § 24 Abs. 1 BDSG), muss ein näherer Blick auf die Regelung des Art. 6 Abs. 4 DS-GVO geworfen werden.

Sind die Zwecke kompatibel?

Art. 6 Abs. 4 DS-GVO sieht in den vorgenannten Fällen eine sog. Kompatibilitätsprüfung vor. Als ob das Wort selbst nicht bereits kompliziert genug wäre, hat der Verantwortliche in den o.g. Fällen eine ganze Palette an – nicht abschließenden – Anforderungen zu beachten. Welche Verbindung besteht zwischen den Zwecken? In welchem Zusammenhang wurden die Daten erhoben? Welche Folgen sind zu befürchten und können ggf. Verschlüsselungs- oder Pseudonymisierungsverfahren als „geeignete Garantien“ berücksichtigt werden? Daneben stellt sich stets die „klassische“ Frage, ob – neben den Anforderungen des Art. 6 Abs. 4 DS-GVO eine (weitere) Rechtsgrundlage im Sinne des Art. 6 Abs. 1 DS-GVO vorliegen muss.

Was ist also zu tun?

Zusammenfassend kann festgehalten werden, dass die zweckändernde Nutzung personenbezogener Daten – gerade beim Einsatz von KI – stets gründlich geprüft werden sollte. Daneben sind die Informationspflichten aus Art. 13 Abs. 3 DS-GVO sowie eine entsprechende Anpassung im Verzeichnis von Verarbeitungstätigkeiten gemäß Art. 30 Abs. 1 DS-GVO zu beachten.

Wenn möglich, sollte jedoch bereits bei der Erhebung der jeweiligen Daten darauf geachtet werden, dass der Zweck der Datenverarbeitung von vornherein möglichst weit gefasst wird und eine entsprechende Information an die betroffenen Personen erfolgt. Aber Vorsicht: Inhaltslos Phrasen sind unzulässig.

In unserem nächsten KI-Flash soll es um das Trainieren einer KI und die hierbei zu beachtenden Anforderungen gehen.