Generative KI und die Rechtsgrundlage der Verarbeitung nach der DSGVO

Spätestens seit Beginn dieses Jahres kann man um das Thema Künstliche Intelligenz (KI) kaum mehr einen Bogen machen. Die zunehmend rasante Entwicklung geht auch an den internationalen Datenschutzaufsichtsbehörden nicht vorbei. Da nicht ausgeschlossen ist, dass KI-Tools auch personenbezogene Daten verarbeiten, nehmen bereits einige Datenschutzbehörden insbesondere OpenAI, den U.S.-amerikanischen Anbieter von ChatGPT genauer unter die Lupe. Auch der Europäische Datenschutzausschuss entschied kürzlich, eine Task-Force zum Thema KI zu gründen.

Ein Punkt, der bei den Behörden immer wieder auf Bedenken stößt, ist die Rechtsgrundlage der Verarbeitung personenbezogener Daten.

 

Welche Rechtsgrundlagen gibt es nach der DSGVO?

Um den Grundsatz der Rechtmäßigkeit aus Art. 5 Abs. 1 lit. a der Datenschutzgrundverordnung (DSGVO) zu erfüllen, ist es für eine rechtmäßige Verarbeitung erforderlich, dass sich der Verantwortliche auf eine Rechtsgrundlage für die Verarbeitung berufen kann. Die DSGVO bietet in Art. 6 verschiedene Optionen: so ist eine Verarbeitung zulässig, wenn beispielsweise die Einwilligung der betroffenen Person vorliegt (Art. 6 Abs. 1 lit. a DSGVO), wenn die Verarbeitung zur Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen notwendig ist (Art. 6 Abs. 1 lit. b DSGVO) oder wenn die Verarbeitung aufgrund einer Interessenabwägung erforderlich ist (Art. 6 Abs. 1 lit. f DSGVO). Darüber hinaus listet Art. 9 DSGVO weitere Rechtsgrundlagen auf, nach denen sogenannte besondere Kategorien personenbezogener Daten (Gesundheitsdaten, biometrische Daten, politische Meinungen u.a.) verarbeitet werden dürfen.

 

Für welche Verarbeitungsschritte ist eine Rechtsgrundlage erforderlich?

Bei der Frage, welche Rechtsgrundlage einschlägig ist, muss zunächst zwischen den verschiedenen Verarbeitungsschritten differenziert werden. Hier ist zum einen zwischen der Verarbeitung der "Input-Daten", also der Daten, die von einem Benutzer in das KI-Tool in Form eines sog. Prompts eingegeben werden, die Verarbeitung der Input-Daten durch das Tool selbst und die Ausgabe des Ergebnisses ("Output-Daten") zu unterscheiden. Darüber hinaus werden die Input-, und Output Daten von den Anbietern der KI-Tools grundsätzlich per Default auch zum Training des Algorithmus verwendet. Immer dann, wenn personenbezogene Daten in den einzelnen Schritten verarbeitet werden, muss sich der Verantwortliche auf eine Rechtsgrundlage stützen können.

 

Was genau kritisieren die Behörden bei den anwendbaren Rechtsgrundlagen?

Die italienische Datenschutzbehörde ("Garante") untersagte in Italien den Service von ChatGPT unter Anderem mit der Begründung, dass es keine Rechtsgrundlage für die Verarbeitung einer derartigen großen Menge an personenbezogenen Daten zu Trainingszwecken von ChatGPT gäbe. Auch deutsche Aufsichtsbehörden sind hier skeptisch und leiteten eine Task Force ein, in der auch die Frage, auf welche Rechtsgrundlage die verschiedenen Verarbeitungsvorgänge personenbezogener Daten bei ChatGPT jeweils gestützt werden, ein. Sofern dies auf einer Einwilligung der Nutzenden gestützt wird, bittet die Schleswig-Holsteinische Landesbeauftragte für Datenschutz in einem Schreiben an ChatGPT um Vorlegung des Musters der Einwilligungserklärung. Sofern ein berechtigtes Interesse von ChatGPT oder Dritten als Rechtsgrundlage herangezogen wird, solle ChatGPT die Hintergründe und Erwägungen der jeweiligen Interessenabwägung erläutern.

 

Welche Rechtsgrundlage ist die Passende?

Für Unternehmen, die ihrem Mitarbeitenden die Nutzung von KI-Tools gestatten, ist es wichtig, dass sie für die Eingabe personenbezogener Daten in Form der Prompts eine Rechtsgrundlage heranziehen können. Dies ist im Einzelfall von der jeweiligen Datenverarbeitung in den jeweiligen Use Cases abhängig und kann beispielsweise in Form einer Einwilligung bestehen, oder auch in einem berechtigten Interesse an der Eingabe der Daten. Unternehmen sollten diese Überlegungen für ihre jeweiligen Use Cases anstellen und in ihrem Verarbeitungsverzeichnis dokumentieren. Auch sind die weiteren Pflichten eines Verantwortlichen, wie beispielsweise eine etwaige Durchführung einer Datenschutzfolgeabschätzung oder die Erfüllung der Transparenzpflichten (mehr dazu in unserem Blogpost vom 6. Juni 2023) zu berücksichtigen.
   
Die italienische Garante wies ChatGPT bereits im April 2023 darauf hin, dass eine Verarbeitung personenbezogener Daten zum Training des Algorithmus nicht auf die Rechtsgrundlage der Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) gestützt werden könne. Ob sich ChatGPT auf eine Rechtsgrundlage für die Verarbeitung zu Trainingszwecken berufen kann, bleibt mit Spannung abzuwarten. Da eine Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO nur dann wirksam ist, sofern sie informiert und transparent erfolgt und eine KI derzeit immer eine Art Black-Box darstellt (mehr dazu in unserem Blogpost vom 15. Juni 2023), wird sich ChatGPT vermutlich eher auf die Rechtsgrundlage des berechtigten Interesses stützen wollen. Interessant bleibt dann, ob ChatGPT eine überzeugende Interessenabwägung zu ihren Gunsten gelingt.