Balanceakt zwischen KI und Datenschutz: Rechtliche Hürden und Umsetzung der Betroffenenrechte

In unserer derzeitigen Reihe zum Thema generative Künstliche Intelligenz ("KI") beleuchten wir die rechtlichen Herausforderungen für Unternehmen beim Einsatz von KI. Unter generativer KI versteht man ein Tool, das auf Grundlage von großen Mengen an vorhandene Datensätzen (Big Data) Texte, Bilder, Musik oder Audio erstellen kann.
 
In der Regel werden bei dem Einsatz von KI auch personenbezogene Daten verarbeitet. Die drei folgenden Szenarien kommen dabei in Betracht: (i) beim Trainieren der KI verwendet der Hersteller Datensätze, die auch personenbezogene Daten enthalten (sog. Trainingsdaten), (ii) Nutzer geben bei der Anwendung der KI personenbezogene Daten ein, die anschließend von der KI verarbeitet werden, (iii) die von den Nutzern eingegebenen Daten werden zum Weitertrainieren der KI verwendet.

In der Folge fällt die Verarbeitung der personenbezogenen Daten durch die KI in den Anwendungsbereich der DSGVO. Datenschutzrechtlich Verantwortliche stehen sodann vor der Herausforderung, den in Art. 12 bis 22 DSGVO normierten Betroffenenrechten gerecht zu werden.  Die Betroffenenrechte stellen ein Kernstück der DSGVO dar und dienen zur Transparenz und Kontrolle der betroffenen Personen über ihre Daten. Aber ist der Einsatz von KI einerseits und das Bedürfnis nach Transparenz und Kontrolle der betroffenen Personen andererseits überhaupt vereinbar?  

 

1. Wer muss die Betroffenenrechte erfüllen?

Die DSGVO unterscheidet zwischen dem sog. Verantwortlichen und dem sog. Auftragsverarbeiter. Verantwortlicher ist die Stelle, die über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet. Auftragsverarbeiter ist, wer personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Zur Erfüllung der Betroffenenrechte ist der Verantwortliche und nicht Auftragsverarbeiter verpflichtet. Die Frage nach den datenschutzrechtlichen Rollen ist bei dem Einsatz von KI komplex und Hersteller und Anwender können je nach Verarbeitungsart unterschiedlich zu qualifizieren sein. Klassischerweise würde man von einer Auftragsverarbeitung ausgehen, wobei der Hersteller der KI der Auftragsverarbeiter des Anwenders der KI ist. Jedoch kommt in Bezug auf die Verarbeitung der personenbezogenen Daten zum Antrainieren der KI eine alleinige Verantwortlichkeit des Herstellers, und falls dieser die eingegebenen Daten zum Weitertrainieren der KI verwendet, sogar eine gemeinsame Verantwortlichkeit in Betracht. 

 

2. Transparenz der Datenverarbeitung

Eines der zentralen Betroffenenrechte zur Transparenz und Kontrolle der Datenverarbeitung ist das Recht auf Information nach Art. 13, 14 DSGVO und das Recht auf Auskunft nach Art. 15 DSGVO. Mein Kollege, Guillaume Hersemeyer, hat sich in einem weiteren Artikel mit den datenschutzrechtlichen Transparenzverpflichten  nach Art. 13, 14 DSGVO beschäftigt. 

Art. 15 Abs. 1 DSGVO berechtigt betroffenen Personen von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob personenbezogene Daten über sie verarbeitet werden, und sofern dies der Fall, muss der Verantwortlich umfänglich Informationen zu dem "Ob" und "Wie" der Datenverarbeitung zur Verfügung stellen. Die Auskunft sollte sich dabei konkret auf die Verarbeitung der personenbezogenen Daten der betroffenen Person beziehen und nicht allgemein gehalten werden (wie z.B. in der Datenschutzerklärung). Sofern eine KI zur automatisierten Entscheidungsfindung eingesetzt wird, sieht Art. 15 Abs. 1 lit. h DSGVO vor, dass der Verantwortliche aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffenen Personen bereitstellen muss.  Mit Blick auf die mögliche Komplexität der verwendeten Algorithmen einer KI, kann die Beauskunftung der involvierten Logik einen Verantwortlichen vor Herausforderungen stellen. Das Auskunftsrecht findet jedoch dort seine Grenzen, wo Verantwortliche fürchten müssen, Geschäftsgeheimnisse preiszugeben (siehe Erwägungsgrund 65 "Dieses Recht sollte die Rechte und Freiheiten anderer Personen, etwas Geschäftsgeheimnisse (…) nicht beeinträchtigen"). Die Beauskunftung der involvierten Logik einer KI kann je nach Detailtiefe dieses Risiko bürgen. Vor diesem Hintergrund wird sich noch zeigen, ob nicht die Darstellung der grundlegenden Logik der KI ausreichend ist.

 

3. Recht auf Löschung

Ein weiteres zentrales Betroffenenrecht ist das in Art. 17 DSGVO normierte Recht auf Löschung. Hier wird insbesondere eine Rolle spielen, ob die personenbezogenen Daten ein nicht isolierbarer Bestandteil der KI geworden sind. Ist dies der Fall, kann argumentiert werden, dass der Zweck der Verarbeitung noch nicht erreicht ist und die weitere Datenverarbeitung erforderlich ist (s. Art. 17 Abs. 1 lit. a DSGVO). Gleichzeitig darf das Recht auf Löschung nicht ausgehöhlt werden.

 

4. Ausschluss der Erfüllung der Betroffenenrecht mangels Identifizierbarkeit der betroffenen Personen?

Doch wie sollen Verantwortliche vorgehen, wenn sie die personenbezogenen Daten, die mithilfe der KI verarbeitet werden, nicht (mehr) einer betroffenen Person zuordnen können? Dieses "Problem" entsteht, wenn pseudonymisierte Daten in einer Art und Weise durch die KI verarbeitet werden, dass der Verantwortliche die pseudonymisierten Daten nicht mehr einer betroffenen Person zuordnen kann. In diesem Fall hilft Art. 11 DSGVO. Denn ist für die Nutzung der KI die Identifizierung der betroffenen Person, dessen personenbezogene Daten verarbeitet werden, nicht erforderlich, so ist der Verantwortliche (z.B. Hersteller oder anwendendes Unternehmen) nicht verpflichtet, weitere Daten zur Identifizierung der betroffenen Person zu erheben, nur der bloßen Einhaltung der DSGVO willen (s. Art. 11 Abs. 1 DSGVO). Nur wenn die betroffene Person zur Ausübung ihrer Betroffenenrechte zusätzliche Informationen, die ihre Identifizierung ermöglichen, bereitstellt, muss der Verantwortliche dem Ersuchen nachkommen.

 

5. Praxisvorschläge

In der Praxis sollten Unternehmen Folgendes beachten:

• Sie sollten datenschutzrechtliche Rollen untersuchen und die jeweils erforderlichen Verträge mit dem Hersteller der KI abschließen (z.B. Auftragsverarbeitungsvertrag, Vertrag über die gemeinsame Verantwortlichkeit).
• Sofern die KI zur automatisierten Entscheidungsfindung eingesetzt wird, sollten sie von dem Hersteller der KI eine Dokumentation zur involvierten Logik anfordern.
• Zur Vereinfachung der Erfüllung der Betroffenenrechte sollte idealerweise eine KI genutzt werden, die Testdaten zum Trainieren der KI nutzt und eine unternehmensinterne Policy eingeführt werden, die die Eingabe von personenbezogenen Daten in die KI untersagt.