Seit ChatGPT sind Systeme der künstlichen Intelligenz, kurz: KI-Systeme, in aller Munde. Sobald sie personenbezogene Daten verarbeiten, kommt die DSGVO ins Spiel. Eine Orientierungshilfe der Datenschutzkonferenz (DSK) erläutert, worauf es in Unternehmen ankommt.
Bild: Tastatur / AI (KI)
Eine Orientierungshilfe der Datenschutzkonferenz (DSK) erläutert, worauf es in Unternehmen ankommt.
Der Personenbezug stellt die Weichen
Auch für KI-Systeme gilt DSGVO nur, wenn personenbezogene
Daten verarbeitet werden. Das ist keineswegs immer der Fall. So können
KI-Systeme etwa ausschließlich Daten aus Produktionsprozessen auswerten, die
keinerlei Bezug zu menschlichem Tun haben. Das gilt etwa, wenn sie mögliche
Ausfälle von Motoren erkennen sollen, bevor es zu einem Ausfall kommt. Dabei
gilt es allerdings, genau hinzusehen. Denn oft erfassen die Systeme auch Daten
der Menschen, die Maschinen bedienen. Dann geht es meist doch an irgendeiner
Stelle um personenbezogene Daten.
Eine
Gesamtbetrachtung ist notwendig
Um festzustellen, ob personenbezogene Daten im Spiel sind,
ist eine Gesamtbetrachtung des KI-Systems notwendig. Dies beginnt mit der
Anmeldung, um das System nutzen zu können. Oft ist eine persönliche Anmeldung
vorgesehen, um Missbrauch durch Außenstehende zu verhindern. Dies ist völlig in
Ordnung. Für diese Daten gilt dann allerdings die DSGVO. Auch die Daten, die in
ein KI-System eingegeben werden, können personenbezogen sein. Zwingend ist das
allerdings nicht. Die Ausgabedaten sind ebenfalls näher zu beleuchten. In
manchen Fällen kann ein KI-System aus nicht personenbezogenen Daten im Ergebnis
durchaus personenbezogene Daten generieren.
Manchmal
bestehen Gestaltungsmöglichkeiten
Manche KI-Systeme verarbeiten nur wenige personenbezogene
Daten und könnten bei genauer Betrachtung durchaus auch ohne diese Daten
auskommen. In solchen Fällen kann es Sinn machen, die Daten mit Personenbezug
aus den Eingabedaten „herauszufiltern“ und diese Daten nicht zu verwenden. Eine
sorgfältige Dokumentation ist dabei notwendig, mag sie Mitarbeiter auch
manchmal „nerven“. Denn immerhin geht es darum, ob die DSGVO zur Anwendung
kommt oder nicht.
Geschlossene
KI-Systeme sind laut DSK vorzuziehen
Großen Wert legt die DSK auf die Unterscheidung zwischen
offenen und geschlossenen KI-Systemen. Diese Differenzierung ist außerhalb des
Datenschutzes bisher eher wenig üblich. Ein geschlossenes System in diesem Sinn
liegt vor, wenn die Kontrolle über alle Ein- und Ausgabedaten vollständig beim
Anwender bleibt. Weitere Bedingung ist, dass der Systemanbieter die Daten nicht
zum Training des Systems verwendet. Es geht also darum, dass die
verantwortliche Stelle möglichst vollständig die „Herrin der Daten“ bleibt. Je
nach Verwendungszweck des Systems lässt sich das praktisch umsetzen oder auch
nicht.
Interne
Vorgaben sind unbedingt zu beachten
Beim Einsatz von KI-Systemen herrscht oft eine gewisse
Aufbruchsstimmung und das ist auch gut so. Dennoch haben Unternehmen gute
Gründe, wenn sie beim Experimentieren mit solchen Systemen gewisse Grenzen
setzen. Das kann auch auf Vorgaben des Datenschutzes zurückgehen. So darf ein
KI-System Entscheidungen, die rechtliche Wirkungen gegenüber Menschen
entfalten, nicht ausschließlich automatisiert treffen. Dies ergibt sich aus
Art. 22 Abs. 1 DSGVO.
Das
Personalwesen bietet ein lehrreiches Beispiel
Was damit gemeint ist, erläutert die DSK an einem Beispiel
aus dem Personalwesen (siehe Randnummer 13 der Orientierungshilfe). Dort könnte
jemand auf die Idee kommen, die Auswertung aller eingegangenen Bewerbungen
einem KI-System zu überlassen. Ein solches System wäre ohne weiteres imstande,
auf der Basis vorgegebener Kriterien selbst zu entscheiden, wer dann zu einem
Vorstellungsgespräch eingeladen wird und wer nicht. Das mag vielleicht der
Traum gestresster Personalstellen sein. Es verstößt jedoch eindeutig gegen die
DSGVO. Denn schon wegen möglicher Diskriminierungen ist bereits die Einladung
zu einem Vorstellungsgespräch rechtlich relevant.
Im
Zweifel sollte man fragen und reden
Angesichts solcher Beispiele ist die Gefahr groß, dass der
Datenschutz wie ein „Bremser der KI“ wirkt. Eine solche Sichtweise würde
freilich ausblenden, dass nur rechtskonforme KI-Systeme ein Unternehmen
voranbringen können. Deshalb gilt: Gerne kreativ sein, aber sich dann dem
rechtlichen Realitätscheck stellen! Zeigen sich dabei Hürden, ist eben erneute
Kreativität gefragt!
Die
Orientierungshilfe ist hier zu finden
Werden Fragen des Datenschutzes bei KI-Systemen selbst auf den Grund gehen will, findet die Orientierungshilfe „Künstliche Intelligenz und Datenschutz“ der DSK vom 6. Mai 2024 hier: https://datenschutzkonferenz-online.de/orientierungshilfen.html
Fördermittel-Check
Benötigen Sie dennoch Hilfe? Kein Problem!
Das könnte Sie auch interessieren:
