Auf dieser Seite
    Autor

    Barbara Eisenblätter

    Associate

    München
    Read More
    Autor

    Barbara Eisenblätter

    Associate

    München
    Read More
    • Auf dieser Seite

    19. Juni 2023

    Künstliche Intelligenz & Datenschutzrecht: Wie KI datenschutzkonform eingesetzt werden kann

    • Briefing

    Die vorübergehende Sperrung von ChatGPT durch italienische Datenschutzbehörden hat eine Debatte darüber entfacht, ob Künstliche Intelligenz überhaupt in Einklang mit der DSGVO gebracht werden kann. Laut bisheriger Rechtsprechung ist es möglich – sofern Entwickler und Anwender die richtigen Maßnahmen ergreifen und Sensibilität im Umgang mit personenbezogen Daten beweisen.

    Zwischen Künstlicher Intelligenz (KI) und Datenschutzrecht besteht ein offensichtlicher Konflikt: Jede KI ist nur so gut wie die Daten, mit denen sie gefüttert wird. Ihre Entwicklung und ihr Einsatz erfordern daher unweigerlich hohe Datenmengen. Dabei lässt es sich nicht vermeiden, dass in erheblichem Umfang auch personenbezogene Daten verarbeitet werden. Dies ist jedoch nur unter den strengen Rechtmäßigkeitsanforderungen der DSGVO zulässig.

    Künstliche Intelligenz setzt auf Kategorien von Daten

    Die bei Entwicklung und Einsatz von KI verwendeten Daten lassen sich grob in zwei Kategorien einteilen: Die erste Kategorie bilden diejenigen Daten, die – in der Regel bereits im Rahmen der initialen Entwicklung – aus externen Datenquellen wie Büchern, Artikeln und dem gesamten frei zugänglichen Web in die KI eingespeist werden („Entwicklungsdaten“). Die zweite Kategorie bilden diejenigen Daten, die von Nutzern während der Anwendung der KI eingegeben und erzeugt werden („Anwendungsdaten“). Bei beiden Kategorien sind massenweise personenbezogene Daten enthalten.

    Bei den Entwicklungsdaten sei etwa an Daten aus sozialen Netzwerken sowie Wikipedia-Einträge und Zeitungsartikel gedacht; bei den Anwendungsdaten an die Registrierungsdaten und sämtliche in die KI eingegebene Daten, die mit einer natürlichen Person in Verbindung gebracht werden können. OpenAI verwendet jedenfalls in ihrer kostenlosen Variante von ChatGPT sowohl Entwicklungsdaten als auch Anwendungsdaten zum Training ihrer KI. Im Rahmen ihrer kostenpflichtigen Version – also der API für die Einbindung von ChatGPT in Kundensoftware – gibt OpenAI dahingegen an, die Anwendungsdaten nicht zum Training ihrer KI zu verwenden.

    Ist ein datenschutzkonformer Einsatz von KI möglich?

    Spätestens die von italienischen Datenschutzbehörden veranlasste Sperrung von ChatGPT in Italien warf jedoch die Frage auf, inwieweit ein datenschutzkonformer Einsatz von KI überhaupt möglich ist. Bei verständiger Interpretation steht das Datenschutzrecht der Entwicklung und der Anwendung von KI jedoch keineswegs strikt entgegen. Sofern Entwickler und Anwender die richtigen Maßnahmen ergreifen und Sensibilität im Umgang mit personenbezogen Daten beweisen, kann technologischer Fortschritt und Datenschutzrecht in Einklang gebracht werden. Dies zeigt auch die Aufhebung der Sperrung von ChatGPT in Italien nach der erfolgten Nachbesserung entsprechender Datenschutzmaßnahmen durch OpenAI. Wenngleich Datenschutzbehörden – darunter auch die deutschen – die Datenschutzkonformität von ChatGPT noch prüfen, deutet derzeit wenig auf eine weitere Sperrung hin.

    Wohl wichtigste datenschutzrechtliche Rechtsmäßigkeitsvoraussetzung ist das Vorhandensein einer geeigneten Rechtsgrundlage für alle stattfindenden Datenverarbeitungsvorgänge. Nach Art. 6 Abs. 1 S. 1 DSGVO ist eine Verarbeitung personenbezogener Daten nur zulässig, soweit sich der Verantwortliche im Verhältnis zum Betroffenen auf eine geeignete Rechtsgrundlage stützen kann.

    ChatGPT stellte keine ausreichenden Datenschutzhinweise bereit

    Es war ein Hauptkritikpunkt der italienischen Datenschutzbehörden, dass eine solche bei ChatGPT nicht zur Verfügung stünde. Diese Kritik dürfe jedoch vor allem darin begründet gewesen sein, dass ChatGPT keine ausreichenden Datenschutzhinweise bereitstellte und teilweise lapidar auf die Erforderlichkeit zur Vertragserfüllung gemäß Art. 6 Abs. 1 lit. b DSGVO abstellte. Die Wahl dieser Rechtsgrundlage ist offensichtlich falsch, da sie einerseits keine Verarbeitung von Daten unbeteiligter Dritter erlaubt und zum anderen nach der „Kernvertragstheorie“ der Datenschutzbehörden nur Verarbeitungen rechtfertigen kann, die für die Erbringung der Vertragsleistung zwingend erforderlich sind; die weitere Produktverbesserung von ChatGPT zählt jedoch nicht zu den zu erbringenden Vertragsleistung von OpenAI. Dahingegen nicht angezweifelt und sogar ausdrücklich in einer Stellungnahme angemerkt wurde von den italienischen Datenschutzbehörden, dass andere Rechtsgrundlagen in Betracht kommen, namentlich sowohl das berechtigte Interesse gemäß Art. 6 Abs. 1 lit. f DSVO als auch die Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO. Das ist auch richtig.

    Das dreistufige Prüfverfahren der Datenschutzbehörden

    Gemäß Artikel 6 Abs. 1 lit. f der DSGVO kann die Verarbeitung personenbezogener Daten auf der Grundlage des berechtigten Interesses des Verantwortlichen oder eines Dritten erfolgen, sofern die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen. Ob dies der Fall ist, ist nach Ansicht der Datenschutzbehörden im Rahmen einer dreistufigen Prüfung zu ermitteln:

    • Auf der ersten Stufe ist zu prüfen, ob ein legitimes Interesse des Verantwortlichen oder eines Dritten vorliegt. Die Entwicklung und der Einsatz von KI stellt ein solches legitimes Interesse dar. Es dürfte außer Frage stehen, dass KI für technologischen Fortschritt unverzichtbar und deren Entwicklung und Einsatz von der unternehmerischen Freiheit gedeckt ist.
    • Auf der zweiten Stufe ist zu prüfen, ob die konkreten Verarbeitungsvorgänge zur Wahrung der legitimen Interessen erforderlich sind. Auch dies wird man in bestimmen Umfang bejahen können, soweit eine Verarbeitung der Daten für Entwicklung und Einsatz von KI trotz Maßnahmen zur Datenminimierung wie möglichst frühzeitige Anonymisierung erforderlich ist.
    • Auf der dritten Stufe ist sodann eine umfassende Interessensabwägung zwischen den Interessen des Verantwortlichen und den betroffenen Personen durchzuführen. Diese Interessensabwägung wird in vielen Fällen – je nach konkreten Einzelfallumständen der Datenverarbeitungsvorgänge – zugunsten des KI-Verwenders ausfallen können.

    Davon geht auch Stefan Brink, ehemaliger Datenschutzbeauftragte von Baden-Württemberg, aus. Insbesondere hinsichtlich der Verarbeitung der Entwicklungsdaten ist zu beachten, dass diese bereits vor der Verarbeitung durch die KI an anderer Stelle frei zugänglich waren. Es entspricht herrschender Meinung in Literatur und der Rechtsprechung (vgl. hierzu insbesondere die Rechtssache Google Spain und das Delisting-Urteil), dass die Verarbeitung von frei im Internet zugänglichen Informationen den durch die unternehmerische Freiheit gedeckten Interessen entsprechen kann.

    Das Interesse der betroffenen Personen gegen die Verarbeitung ist reduziert, da sie bei Vorveröffentlichung ihrer Daten im Internet mit einer weiteren Verarbeitung, insbesondere in Form einer Sammlung und Verknüpfung dieser Daten durch moderne Technologien, wohl durchaus rechnen können. Gemäß Erwägungsgrund 47 der DSGO sind Erwartungen der betroffenen Personen im Rahmen der Interessensabwägung zu berücksichtigen. Darüber hinaus kann die kollektive Informationsfreiheit in Ansatz gebracht werden: Es besteht ein zu berücksichtigendes Interesse daran, sich aus frei zugänglichen Informationen zu informieren und diese Informationen zusammenzutragen.

    Einwilligung zur Verarbeitung von Anwendungsdaten

    Die Einwilligung der betroffenen Person gemäß Artikel 6 Abs. 1 lit. a DSGVO stellt eine weitere mögliche Rechtsgrundlage neben dem berechtigten Interesse dar. Auf diese Rechtsgrundlage sollte womöglich insbesondere für die Verarbeitung der Anwendungsdaten abgestellt werden, da insofern das Argument mit der Vorveröffentlichung und der Informationsfreiheit nicht in Ansatz gebracht werden kann und dementsprechend eine Interessensabwägung – je nach konkreten Einzelfallumständen der Datenverarbeitungsvorgänge – eher zugunsten der Betroffenen ausfallen könnte.

    Gemäß Artikel 6 Abs. 1 lit. a DSGVO ist die Verarbeitung personenbezogener Daten rechtmäßig, wenn die betroffene Person ihre Einwilligung zu einem bestimmten Verarbeitungszweck freiwillig, informiert und eindeutig erteilt hat. Verantwortliche sollten darauf achten, das Einholen der Einwilligung so auszugestalten, dass die Einwilligung tatsächlich freiwillig erteilt wird. Ferner ist zu beachten, dass die betroffenen Personen jederzeit das Recht haben, ihre Einwilligung mit Wirkung für die Zukunft zu widerrufen.

    Was Unternehmen beachten sollten, die eine KI nutzen

    Beim Einsatz von KI sollte zudem nicht außer Acht gelassen werden, dass es zuvorderst Aufgabe des für die Verarbeitung Verantwortlichen ist, die stattfindenden Datenverarbeitungsvorgänge auf eine geeignete Rechtsgrundlage zu stützen. Anwender von KI können und sollten daher prüfen, ob ihr Geschäftsmodell so ausgestaltet ist oder werden kann, dass sie lediglich die Stellung eines Auftragsverarbeiters innehaben, welcher für einen Verantwortlichen Daten mit der KI verarbeitet. In diesem Fall benötigen sie keine eigene Rechtsgrundlage für die Datenverarbeitungsvorgänge. Sollten Anwender dahingegen für die Datenverarbeitungsvorgänge verantwortlich sein, sollte das Vorhandensein einer geeigneten Rechtsgrundlage sichergestellt werden. In jedem Fall sollte die datenschutzrechtliche Compliance sorgfältig und frühzeitig geprüft und erforderliche Maßnahmen gesetzt werden. So lassen sich von vornherein Maßnahmen der Aufsichtsbehörden vermeiden.

    Branchen Technology, Media & Communications
    Call To Action Arrow Image

    Newsletter-Anmeldung

    Wählen Sie aus unserem Angebot Ihre Interessen aus!

    Jetzt abonnieren
    Jetzt abonnieren

    © Taylor Wessing