"KI-Flash": Veröffentlichung des Diskussionspapiers „Rechtsgrundlagen im Datenschutz beim Einsatz von Künstlicher Intelligenz"

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg veröffentlicht Diskussionspapier „Rechtsgrundlagen im Datenschutz beim Einsatz von Künstlicher Intelligenz“.

In unserem letzten KI-Flash-Beitrag ging es um einen Ausblick zu den rechtlichen Anforderungen der geplanten europäischen KI-Verordnung (vgl. hier).

Heutiges Thema: Veröffentlichung des Diskussionspapiers „Rechtsgrundlagen im Datenschutz beim Einsatz von Künstlicher Intelligenz“ am 07.11.2023

Am 07.11.2023 hat der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg das Diskussionspapier „Rechtsgrundlagen im Datenschutz beim Einsatz von Künstlicher Intelligenz“ veröffentlicht. Sie finden das Diskussionspapier in Version 1.0 hier. Wir wollen Ihnen im Folgenden einen kurzen Überblick über das Diskussionspapier geben.

Zunächst ordnet der Landesbeauftragte ein, dass die Datenschutz-Grundverordnung („DSGVO“) keine spezifischen Vorgaben für den Einsatz von Künstlicher Intelligenz („KI“) enthält. Aus Sicht der DSGVO ist daher zunächst zu prüfen, ob überhaupt personenbezogene Daten verarbeitet werden. Wenn personenbezogene Daten verarbeitet werden, sind (auch) die Vorgaben der DSGVO umfassend zu beachten.

Im Anschluss geht der Landesbeauftragte auf die verschiedenen Phasen der Verarbeitung ein. Dies ist ein wichtiger Aspekt bei dem Einsatz von KI-Systemen, denn in jeder Phase müssen personenbezogene Daten rechtmäßig verarbeitet werden. Diese Phasen sind, entsprechend dem aktuellen Diskussionsstand:

1. Erhebung von Trainingsdaten für KI.
2. Verarbeitung von Daten für das Training von KI.
3. Bereitstellung von KI-Anwendungen.
4. Nutzung von KI-Anwendungen.
5. Nutzung von Ergebnissen nach dem Einsatz von KI-Anwendungen.

Für jede Verarbeitungsphase ist zu klären, wer Verantwortlicher im Sinne der DSVGO ist, ob eine gemeinsame Verantwortlichkeit vorliegt und wer ggf. als Auftragsverarbeiter tätig ist. Als Beispiel für eine gemeinsame Verantwortlichkeit führt der Landesbeauftragte an, dass zwei (oder mehr) Unternehmen ihre – jeweils eigenen – Datensätze für ein KI-Training zusammenführen. Als Beispiel für eine Auftragsverarbeitung führt der Landesbeauftragte das sehr praxis-relevante Beispiel an, dass ein Unternehmen einen Dienstleister nutzt und dieser Dienstleister eine Cloud-basierte KI-Anwendung anbietet.

Daran anschließend geht der Landesbeauftrage auf die verschiedenen Rechtsgrundlagen nach der DSGVO ein. Im Grundsatz könnte, wenn die jeweiligen Voraussetzungen geben sind, jede Rechtsgrundlage auch im Einzelfall herangezogen werden, um personenbezogene Daten unter Verwendung einer KI-Anwendung und/oder für eine KI-Anwendung zu verarbeiten. Dabei untersucht der Landesbeauftrage auch weitere Rechtsgrundlagen im nationalen Recht, z. B. zum Beschäftigtendatenschutz nach § 26 BDSG.

Am Ende des Diskussionspapieres findet sich u.a. eine Kurz-Checkliste für Verarbeitungen.

Erfreulich ist, dass der Landesbeauftragte sehr praxisnah und klar ausführt. Im Detail werden voraussichtlich einige Aussagen mehr diskutiert werden als andere, aber das ist schließlich Sinn und Zweck eines Diskussionspapiers. Alle Interessierten sind eingeladen, sich an der Diskussion zu beteiligen.

Wie bereits angekündigt wollen wir in unserem nächsten KI-Flash auf den risikobasierten Ansatz der europäischen KI-Verordnung eingehen.