Der aktuelle 30. Tätigkeitsbericht der Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) beleuchtet ausführlich, wie die Nutzung von künstlicher Intelligenz (KI) mit den Rechten der Betroffenen nach der Datenschutz-Grundverordnung (DS-GVO) in Einklang zu bringen ist. Insbesondere die Umsetzung der Betroffenenrechte bei Einsatz von KI stellt Verantwortliche vor komplexe Aufgaben. Erfahren Sie, welche Fallstricke der Einsatz generativer KI und Emotionserkennungssoftware birgt und wie Sie Ihr Unternehmen datenschutzkonform aufstellen.
KI und Datenschutz – eine Herausforderung für Verantwortliche
Der 30. Tätigkeitsbericht der LDI NRW für 2024 fokussiert sich auf die datenschutzrechtlichen Auswirkungen von Künstlicher Intelligenz. Aufgrund des wachsenden Einsatzes von KI müssen Verantwortliche die rechtlichen Rahmenbedingungen kennen. Die LDI verweist auf die Orientierungshilfe der DSK „Künstliche Intelligenz und Datenschutz“, die konkrete Vorgaben für eine datenschutzkonforme Nutzung gibt – aber auch für Entwickler und Hersteller.
Ein zentrales Thema ist das Verhältnis der neuen KI-Verordnung zur DSGVO. Die LDI NRW weist darauf hin, dass die KI-VO zwar umfassende Regeln für das Inverkehrbringen, die Inbetriebnahme und die Verwendung von KI aufstellt, aber Rechtsunsicherheiten, insbesondere im Hinblick auf die DSGVO, bestehen bleiben. Trotz neuer Regelungen, etwa zu KI-Reallaboren oder zur Verzerrungserkennung, bleibt die DSGVO maßgeblich, insbesondere die Interessenabwägung nach Art. 6 Abs. 1 lit. f. Rechtsunsicherheiten bestehen weiterhin.
Rechtmäßigkeit der Datenverarbeitung personenbezogener Daten
Besondere Herausforderungen ergeben sich beim Einsatz generativer Künstlicher Intelligenz (z.B. Large Language Models wie ChatGPT), da diese immense Mengen an Trainingsdaten, oft auch personenbezogene Daten, verarbeiten. Die LDI NRW hat sich 2024 intensiv mit der Rechtmäßigkeit dieser Datenverarbeitung und der Umsetzung von Betroffenenrechten befasst. Die Sammlung von Trainingsdaten erfolgt häufig durch Scraping und Crawling, wobei Informationen aus dem Internet extrahiert werden, um zu lernen, wie Sprache gebildet wird, nicht um Inhalte eins zu eins zu reproduzieren. Die rechtliche Einordnung ist kompliziert, insbesondere bezüglich der Rechtsgrundlage und der Durchsetzung von Betroffenenrechten.
Die Verarbeitung in der Entwicklungs- und Trainingsphase generativer KI wird in der Praxis oft auf das berechtigte Interesse nach Art. 6 Abs. 1 Unterabsatz 1 Buchstabe f DS-GVO gestützt. Hierbei müssen drei Kriterien erfüllt sein: das Interesse muss rechtmäßig, klar und präzise formuliert sowie real und gegenwärtig sein. Zudem muss die Verarbeitung erforderlich sein, d.h., es darf kein milderes, gleich effektives Mittel zur Wahrung des Interesses geben. Die LDI NRW betont, dass die Verarbeitung anonymisierter Daten zu prüfen ist, und dass es bei der Abwägung der Interessen auch auf die Menge der verarbeiteten personenbezogenen Daten und die Einhaltung des Grundsatzes der Datenminimierung ankommt.
Ein kritischer Punkt ist die Annahme, dass bei bereits veröffentlichten Daten das Interesse der Betroffenen weniger gewichtig sei. Die LDI NRW folgt dieser Auffassung nicht und argumentiert, dass eine sorgfältige Interessenabwägung in jedem Fall erforderlich ist, da die Veröffentlichung in der Regel für einen bestimmten Zweck erfolgte und die Nutzung für KI-Training nicht vorhersehbar war.
Generative KI und die komplexen Betroffenenrechte
Die Risiken generativer KI-Modelle sind vielfältig: Betroffene können die Kontrolle über ihre personenbezogenen Daten verlieren, da sie nicht über deren Verarbeitung informiert werden. Es können falsche Informationen über Personen generiert werden, die negative Konsequenzen haben, und die „Inferenzmächtigkeit“ des Systems ist noch nicht absehbar. Daher ist eine gründliche Prüfung und Dokumentation der Voraussetzungen von Art. 6 Abs. 1 Buchstabe f DS-GVO in jedem Einzelfall unerlässlich.
Bei KI stellt die Umsetzung der Betroffenenrechte (insbesondere Berichtigung nach Art. 16 DS-GVO und Löschung nach Art. 17 DS-GVO) eine erhebliche technische Herausforderung dar. Das Löschen von Daten aus KI-Systemen kann oft nur durch ein erneutes Training mit bereinigten Daten erfolgen, was in der Praxis problematisch ist. Auch andere Rechte wie Auskunft, Einschränkung und Widerspruch sind schwer umsetzbar, da die Systeme kaum beantworten können, was sie im Einzelnen zu einer Person ausgeben. Die KI-VO löst dieses Spannungsverhältnis nicht auf; daher fordert der EDSA in seiner Stellungnahme Opinion 28/2024 weitere Klärungen zur Verwendung von personenbezogenen Daten für die Entwicklung und Einführung von KI-Modellen.
Unzulässige Emotionserkennungssoftware im Callcenter
Die LDI NRW kritisiert zudem den Einsatz von KI-gestützter Emotionserkennungssoftware in einem Callcenter als gravierenden Eingriff in die Persönlichkeitsrechte. Die Software analysierte Stimmen von Kunden und Mitarbeitenden in Echtzeit – ohne rechtliche Grundlage. Eine Einwilligung sei im Arbeitskontext nicht freiwillig, so die LDI NRW und Kunden wurden nicht informiert. Zudem fehlte eine gesetzlich vorgeschriebene Datenschutz-Folgenabschätzung (DSFA). Obwohl der Einsatz gestoppt wurde, prüft die LDI NRW eine Sanktion. Solche Systeme gelten als Hochrisiko-KI und sind in dieser Form unzulässig.
Fazit für Unternehmen
Der 30. Tätigkeitsbericht der LDI NRW unterstreicht, dass der Einsatz von Künstlicher Intelligenz eine äußerst sorgfältige datenschutzrechtliche Prüfung erfordert. Insbesondere wenn personenbezogene Daten verarbeitet werden. Unternehmen müssen sicherstellen, dass jede Datenverarbeitung beim Einsatz von KI auf einer klaren Rechtsgrundlage basiert und die Betroffenenrechte jederzeit gewährleistet sind. Dies gilt insbesondere für generative KI-Systeme, bei denen die technischen Herausforderungen bei der Umsetzung von Berichtigungs- und Löschungsrechten immens sind.
Um empfindliche Bußgelder zu vermeiden und das Vertrauen Ihrer Kunden und Mitarbeiter zu wahren, ist es unerlässlich, bereits in der Konzeptionsphase von KI-Projekten umfassende Datenschutz-Folgenabschätzungen durchzuführen. Die Prinzipien von „Privacy by Design“ und „Privacy by Default“ sollten dabei konsequent umgesetzt werden. Suchen Sie bei Zweifelsfragen frühzeitig den Dialog mit den Aufsichtsbehörden oder ziehen Sie eine spezialisierte Rechtsberatungv hinzu, um datenschutzkonforme Lösungen zu entwickeln und die Potenziale von KI verantwortungsvoll zu nutzen.
