DSGVO: Let’s Talk About AI!
von Mag.iur. Julius Hoffmann (Kommentare: 0)
Seit einiger Zeit ist die künstliche Intelligenz (KI) in aller Munde. Auch wir haben schon einen Blogbeitrag zu diesem Thema veröffentlicht. Zum Zeitpunkt der Verfassung von diesem Blogbeitrag wird ungeduldig auf die EU-Verordnung zur KI gewartet. Es stellt sich die Frage, wie der Datenschutz den KI-Einsatz beeinflussen wird.
1. Einführung
Laut Art. 3 Abs. 1 KI-VO (weiter „KI-Gesetz“) versteht man unter „KI‑System“ ein „maschinengestütztes System, das für einen in unterschiedlichem Grade autonomen Betrieb ausgelegt ist und das nach seiner Betriebsaufnahme anpassungsfähig sein kann und das aus den erhaltenen Eingaben für explizite oder implizite Ziele ableitet, wie Ausgaben wie etwa Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen erstellt werden, die physische oder virtuelle Umgebungen beeinflussen können“.
Beispiele für KI-Systeme sind:
- Chatbox (siehe auch „Eine Beurteilung von ChatGPT aus Sicht des Datenschutzes“)
- Empfehlungsalgorithmen von Streamingdiensten und Social-Media-Plattformen,
- Smart Home Lösungen (siehe auch „Smart Home & Datenschutz: Tipps für ein sicheres Zuhause“).
- Sprachassistenten (Siri, Alexa usw.),
- Gesichtserkennungssysteme usw.
2. Datenschutz und KI-Einsatz
Im Umgang mit den KI-Anwendungen ist datenschutzrechtlich Folgendes zu beachten:
1.1 Kosten-Nutzen-Analyse
Bevor ein KI-Tool eingesetzt wird (insbesondere in kritischen Bereichen eines Unternehmens), ist eine Kosten-Nutzen-Analyse vorzunehmen. Man sollte die Vor- sowie Nachteile (Steigerung der Arbeitseffizienz vs. Risiken) feststellen und analysieren. Es könnte sich bei solcher Analyse der IT-Tools herausstellen, dass deren Einsatz sogar nachteilig für ein Unternehmen sein kann (Smart-Home-Lösungen in einem Unternehmen – wenn gehackt, kann das gesamte Unternehmen zum Stillstand kommen). Aus diesem Grund ist von einer Überdigitalisierung der Prozesse in einem Unternehmen abzuraten.
1.2 Anwendbarkeit der DSGVO auf KI-Anwendungen
Im Art. 2 Abs. 7 KI-Gesetz ist wie folgt zu lesen: „Die Rechtsvorschriften der Union zum Schutz personenbezogener Daten, der Privatsphäre und der Vertraulichkeit der Kommunikation gelten für die Verarbeitung personenbezogener Daten im Zusammenhang mit den in dieser Verordnung festgelegten Rechten und Pflichten. Diese Verordnung berührt nicht die Verordnung (EU) 2016/679 bzw. (EU) 2018/1725 oder die Richtlinie 2002/58/EG bzw. (EU) 2016/680, unbeschadet des Artikels 10 Absatz 5 und des Artikels 59 der vorliegenden Verordnung“. Sollen also personenbezogene Daten im Rahmen des KI-Einsatzes verarbeitet werden, dann sind die Bestimmungen der DSGVO anwendbar.
2.3 Rechtsgrundlage
Bevor die Rechtsgrundlage festgelegt ist, soll überprüft werden, ob die betroffene KI-Anwendung überhaupt zulässig ist. Im Art. 5 KI-Gesetz sind die verbotenen Praktiken im KI-Bereich aufgezählt (bspw. Social-Scoring).
Danach ist die Rechtsgrundlage i.S.d. Art. 6 DSGVO festzulegen u.a.
- Art. 6 Abs. 1 lit. a DSGVO (Einwilligung – bspw. Einwilligung eines Bewerbers im Rahmen des Active Sourcing),
- Art. 6 Abs. 1 lit. b (Anbahnung eines Vertrages – bspw. Arbeitsvertrages im Rahmen des Bewerbermanagement),
- Art. 6 Abs. 1 lit. f DSGVO (bspw. Active Sourcing - die aktive Suche nach potenziellen Mitarbeitern auf professionellen Internet-Plattformen),
2.4 Datenverarbeitungsgrundsätze
Die derzeitige datenschutzrechtliche Achillesferse der KI-Anwendungen scheint Art. 5 DSGVO (insb. Prinzip der Datenminimierung) zu sein. Der Umfang der seitens AI-Anwendungen verarbeiteten personenbezogenen Daten ist nämlich oft mit dem Spritverbrauch eines Trabants vergleichbar (bspw. Bewerbermanagementtools mit AI-Funktionen können im Rahmen des Active Sourcing mehrere Online-Netzwerke nach passenden Kandidaten durchsuchen. Das Problem besteht darin, dass darunter auch Freizeitplattformen wie Facebook, LinkedIn und X fallen, was einen Verstoß gegen Art. 5 DSGVO darstellt). Aus diesem Grund ist der Umfang der seitens einer KI-Anwendung verarbeiteten personenbezogenen Daten bezüglich der DSGVO-Tauglichkeit zu überprüfen.
2.5 Informationspflichten
Im Zusammenhang mit den Informationspflichten ist u.a. zu überprüfen, ob gemäß Art. 13 DSGVO eine automatisierte Entscheidungsfindung stattfindet. Nach EG 71 DSGVO liegt sie vor, wenn eine Entscheidung ohne jegliches, menschliches Eingreifen erfolgt und die rechtliche Wirkung für die betroffene Person entfaltet (bspw. die automatische Ablehnung eines Online-Kreditantrags). Soll das der Fall sein, dann ist auf diese Tatsache in den Informationen nach Art 13 bzw. 14 DSGVO (bspw. Datenschutzerklärung einer Homepage) hinzuweisen.
2.6 Auftragsverarbeitung
Mit den Anbietern der AI-Anwendungen ist ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO abzuschließen. Davor sind u.a. folgende Punkte zu überprüfen bzw. festzulegen usw.
- Datenverarbeitung nur auf Weisung des Auftraggebers oder auch zu eigenen Zwecken des Dienstleisters.
- Umfang der verarbeiteten Daten.
- Technisch-Organisatorische Maßnahmen.
- Art und Weise der Geltendmachung der Kontrollrechte (Zeiträume, die vorzulegenden Dokumente, Vor-Ort-Kontrollen usw.).
2.7 Technisch-Organisatorische Maßnahmen (TOM)
Um die von den KI-Anwendungen verarbeiteten personenbezogenen Daten vor u.a. Verlust oder Manipulation zu schützen sind entsprechende Sicherheitsmaßnahmen (technisch-organisatorische Maßnahmen gemäß Art. 32 DSGVO -bspw. Berechtigungskonzept, KI-Policy usw.) umzusetzen. Darüber hinaus ist es auch empfehlenswert, einen Notfallplan (u.a. für den Fall des Wegfalls eines kritischen KI-Dienstleisters) umzusetzen (siehe „Notfallplan: Ein Must-Have für jedes Unternehmen“).
2.8 Datenschutzfolgeabschätzung
Im Art. 35 Abs. 1 DSGVO ist wie folgt zu lesen: „Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch“. Da es im Rahmen des Einsatzes von KI-Anwendungen zur automatisierten Verarbeitung personenbezogener Daten (inkl. sensibler Daten) kommt, ist Art. 35 DSGVO auf KI-Tools anwendbar und eine Datenschutzfolgeabschätzung ist zwingend vorzunehmen.
2.9 Verzeichnis von Verarbeitungstätigkeiten
Der Einsatz von KI-Anwendungen ist gemäß Art. 30 DSGVO im Verzeichnis von Verarbeitungstätigkeiten zu dokumentieren. Dabei sind u.a. Angaben zum Verarbeitungszweck, den Kategorien personenbezogener Daten und den Kategorien betroffener Personen zu machen. Auch die Übertragung an Dritte/ Dienstleister ist hier zu erfassen, was bei KI Anwendungen regelmäßig der Fall sein wird.
3. Herausforderungen
In vielen KI-bezogenen Berichten werden die Vorteile der KI (bspw. Steigerung der Arbeitseffizienz) sehr hervorgehoben. Dabei sind aber ebenso die Schattenseiten im Auge zu behalten.
3.1 Cyberkriminalität 2.0
In seinen KI-bezogenen Richtlinien hat das Silicon Valley Arbitration Centre bereits vor der Gefahr der Beweisfälschung und -manipulation (bspw. deep fakes) gewarnt (siehe „DSGVO: Datenschutz im internationalen Schiedsverfahren“). In diesem Zusammenhang ist auch mit dem Anstieg der so genannten CEO-Fraud-Fälle zu rechnen. Zur Erinnerung: In der Vergangenheit haben sich Kriminelle per E-Mail bzw. per Telefon als Geschäftsleiter bzw. leitende Angestellte (bspw. CFO) des angegriffenen Unternehmens ausgegeben und die Mitarbeiter zur Überweisung großer Geldbeiträge auf Fremdkonten verleitet. Die KI-Anwendungen werden den Kriminellen eine breite Palette von Angriffsmöglichkeiten anbieten (bspw. Einsatz von deep fakes im Bereich der Videocalls, Fälschung von internen Dokumenten usw.). Aus diesem Grund sind interne Sicherheitsmaßnahmen umzusetzen bzw. zu verschärfen (bspw. 4-Augenprinzip bei Geldüberweisungen, Kontrollanrufe bei E-Mails usw.).
Man kann aber auch im Privatleben zum Opfer von Cyberkriminellen werden. Seit mehreren Jahren erfreuen sich die Dating-Portale einer großen Popularität. Auch hier wir die KI eingesetzt. Diese kommt insbesondere bei:
- Optimierung der Match-Funktionen,
- Fotobearbeitung,
- Kommunikationsgestaltung,
- Profilgestaltung usw. vor.
Doch hier stellt sich die Frage, wo die Grenze zwischen einer reinen Hilfsfunktion und einer bewussten Täuschung zu ziehen ist. Wie beim CEO-Fraud können auch die Dating-Portale und deren User zu Opfern von Cyberkriminellen werden (bspw. durch den Einsatz von deep-fakes können die User getäuscht werden: Sie glauben mit einer natürlichen Person zu sprechen und werden dabei zum Verrat vertraulicher Informationen verleitet).
3.2 Systemfehler bzw.- absturz
Im Gegensatz zu allzu optimistischen Berichten ist die KI weder allmächtig noch fehlerfrei (bspw. Fehlbestellungen des KI-Bestellungssystems, Fehlauswahl der Bewerber durch das KI-Bewerbermanagementtool usw.). Es sieht so aus, dass viele KI-Systeme als „work in progress“ zu betrachten sind. Aus diesem Grund ist mit deren fehlerhaften Befehlsausführungen zu rechnen. Daher sollen die KI-generierten Ergebnisse von natürlichen Personen kontrolliert werden.
4. Schlussfolgerung
Die künstliche Intelligenz kann mit der Atomenergie verglichen werden. Beide können sowohl zu guten sowie zu schlechten Zwecken eingesetzt werden. Beim Einsatz der KI-Tools im Zusammenhang mit der Verarbeitung personenbezogener Daten sind die DSGVO-Vorschriften zu beachten sowie kritisches Denken einzusetzen. Da wir mit den ersten Modellen der KI-Systeme zu tun haben, sind die Systemfehler- sowie abstürze nicht auszuschließen. Somit sollte beim KI-Einsatz der Spruch „Trust, but verify“ („Vertraue, aber kontrolliere“) beachtet werden sowie die Überdigitalisierung der internen Prozesse vermieden werden. Dennoch hat die KI ein riesiges Potential, Arbeit abzunehmen und zu unterstützen, sollte aber unbedingt vor der Einführung mit dem Datenschutzbeauftragten geprüft werden.
Sie möchten künstliche Intelligenz im Unternehmen einsetzen? Oder Sie setzen bereits KI bei sich ein? Wir unterstützen Sie gerne bei der datenschutzkonformen Integration der Systeme.
dacuro GmbH
Neben den technisch-organisatorischen Maßnahmen umfasst der Datenschutz weitere Themenschwerpunkte, die die dacuro GmbH mit ihren Kunden regelt. Hierunter fallen, neben den klassischen Verzeichnissen der Verarbeitungstätigkeit, alle weiteren Themen wie Pflichtinformationen, die Sensibilisierung und Schulung der Mitarbeiter oder auch die Prüfung Ihrer Webseite auf Datenschutzkonformität. Wir betreuen unterschiedliche Branchen vollumfänglich zum Datenschutz und stellen für diese den externen Datenschutzbeauftragten. Sollten Sie Fragen zum Thema haben oder sich nicht sicher sein, ob Sie für Ihr Unternehmen einen Datenschutzbeauftragten benötigen, sprechen Sie uns an.
TAGS
Updates Anmeldung zum Newsletter
Wir informieren Sie kostenlos über aktuelle Meldungen zum Thema Datenschutz.
Dieser Inhalt wird aufgrund Ihrer fehlenden Zustimmung nicht angezeigt.
Einen Kommentar schreiben