Die fortschreitende Digitalisierung und der rasante Aufstieg der Künstlichen Intelligenz (KI) stellen den Datenschutz vor immer komplexere Herausforderungen. Angesichts der enormen Mengen personenbezogener Daten, die dabei verarbeitet werden, betont Tino Melzer, der Landesbeauftragte für den Datenschutz und die Informationsfreiheit in Thüringen (TLfDI), die dringende Notwendigkeit, Betroffenenrechte zu wahren und Transparenz zu gewährleisten. Die Rolle der Datenschutzbeauftragten und der Aufsichtsbehörden befindet sich dabei in einem Wandel.
Schwerpunkte der Datenschutzaufsicht
Tino Melzer, seit dem 1. März 2024 TLfDI und diesjähriger Vorsitzender der Konferenz der Informationsfreiheitsbeauftragten (IFK), hat im Interview mit den BvD-News seine Top-Prioritäten vorgestellt. Ganz oben auf seiner Liste stehen die Digitalisierung und der Einsatz von KI. Er weist darauf hin, dass unser Leben zunehmend digital stattfindet, was zur Generierung immenser Mengen personenbezogener Daten führt. Smartphones, Smart Home und Cloud-Lösungen haben Zugang zu sehr persönlichen Daten, wodurch diese einem viel größeren Risiko ausgesetzt sind als bei analogen Systemen. Der Einsatz von KI, der sich in rasendem Tempo entwickelt und sekundenschnell Terabyte an Daten analysieren sowie automatisierte Entscheidungen treffen kann, bedeutet in aller Regel die Verarbeitung erheblicher Mengen personenbezogener Daten.
Betroffenenrechte umsetzen bei KI
Beim Einsatz von KI muss laut Melzer sichergestellt werden, dass die Betroffenenrechte gewahrt bleiben und die Systeme transparent sind. Jeder müsse wissen was mit seinen personenbezogenen Daten geschieht und was einer Entscheidung zugrunde liegt. Doch die Umsetzung der Betroffenenrechte, insbesondere das Recht auf Auskunft, Berichtigung, Löschung („Vergessenwerden“) und Widerspruch, stellt im Kontext von KI-Systemen eine erhebliche Herausforderung dar. Die LDI NRW beleuchtet in ihrem 30. Tätigkeitsbericht, dass die Umsetzung dieser Rechte bei KI-Einsatz Verantwortliche vor komplexe Aufgaben stellt. Der Europäische Datenschutzausschuss (EDSA) und die französische Datenschutzbehörde CNIL haben sich ebenfalls intensiv mit diesen Fragen auseinandergesetzt.
Komplexität bei Berichtigung und Löschung
KI-Modelle – insbesondere Deep-Learning-Ansätze und Large Language Models (LLM) – speichern keine isolierten Datensätze, sondern Muster und Zusammenhänge. Dies erschwert die nachträgliche, gezielte Entfernung oder Korrektur einzelner Datenpunkte erheblich. Oft kann diese nur durch ein aufwendiges erneutes Training des Modells mit bereinigten Daten erfolgen. Obwohl Methoden wie „Machine Unlearning“ entwickelt wurden, um den Einfluss von Trainingsdaten gezielt zu entfernen, garantieren diese (noch) nicht, dass das Modell keine ähnlichen Inhalte generiert, da es latente Muster nutzen kann.
„Privacy by Design“ als Leitprinzip
Die Datenschutzkonferenz (DSK) und die französiche CNIL fordern, Datenschutzmaßnahmen von Beginn an in die Konzeption von KI-Systemen zu integrieren. So lässt sich die Umsetzung von Betroffenenrechten wie Löschanfragen technisch erleichtern. Eine zentrale Frage lautet stets: Lässt sich der Zweck des Systems auch mit weniger oder anonymisierten Daten erreichen? Verantwortliche müssen die Möglichkeit haben, aktiv in die Datenverarbeitung einzugreifen, und bei entscheidungsunterstützenden Systemen müssen technische Mechanismen für menschliche Kontrolle vorhanden sein. Eine lückenlose Dokumentation – etwa mithilfe von „Datasheets for Datasets“ – schafft Rechenschaftspflicht und Transparenz. Bereits in der Planungsphase sind umfassende Datenschutz-Folgenabschätzungen (DSFA) essenziell, um Risiken früh zu erkennen und zu minimieren. Die DSK hat hierfür eine Orientierungshilfe veröffentlicht, die technische und organisatorische Maßnahmen (TOMs) für den KI-Einsatz konkretisiert.
Rolle der Datenschutzbeauftragten
Tino Melzer sieht die betrieblichen und behördlichen Datenschutzbeauftragten (DSB) auch weiterhin als unverzichtbar an. Sie sind die ersten kompetenten Ansprechpartner für Betroffene, Verantwortliche und die Aufsichtsbehörden. Ihre Aufgaben werden jedoch zunehmend komplexer, da Unternehmen und Behörden immer größere Mengen an personenbezogenen Daten verarbeiten. Zudem werden die zu beachtenden Gesetze vielschichtiger und anspruchsvoller. Diese Entwicklung habe, so Melzer, möglicherweise zur Konsequenz, dass gewisse Aufgaben des Datenschutzes, wie beispielsweise die Datenschutz-Folgenabschätzung (DSFA), automatisiert erfolgen könnten. Dadurch werde der Datenschutzbeauftragte mehr zu einem Koordinator und Prüfer. Unternehmen sind gut beraten, bereits in der Konzeptionsphase von KI-Projekten umfassende DSFAs durchzuführen, um potenzielle Risiken frühzeitig zu erkennen und zu minimieren. Die LDI NRW kritisierte beispielsweise den Einsatz einer KI-Emotionserkennungssoftware in einem Callcenter, bei der eine gesetzlich vorgeschriebene DSFA fehlte.
Fazit
Der datenschutzkonforme Einsatz von KI-Modellen erfordert eine äußerst sorgfältige datenschutzrechtliche Prüfung, insbesondere wenn personenbezogene Daten verarbeitet werden. Unternehmen müssen sicherstellen, dass jede Datenverarbeitung auf einer klaren Rechtsgrundlage basiert und die Betroffenenrechte jederzeit gewährleistet sind. Die Prinzipien von „Privacy by Design“ und „Privacy by Default“ sollten dabei konsequent umgesetzt werden, um Datenschutzmaßnahmen frühzeitig in die Entwicklung von KI-Systemen zu integrieren. Für Unternehmen, die KI verantwortungsvoll und rechtssicher einsetzen möchten, empfiehlt es sich, frühzeitig den Dialog mit den Aufsichtsbehörden zu suchen oder eine spezialisierte Rechtsberatung hinzuzuziehen.
Wer KI rechtssicher und ethisch einsetzen will, sollte zusätzlich über die Benennung eines spezialisierten „KI-Beauftragten“ nachdenken. Diese Fachpersonen können bei der Umsetzung der DSGVO und der europäischen KI-Verordnung unterstützen, indem sie Risiken bewerten, die Einführung neuer KI-Tools begleiten oder für KI-Kompetenz- Schulungen im Unternehmen sorgen.
Der „KI-Beauftragte“ –
Ihre Lösung für rechtssichere KI-Compliance
Wir bieten Unternehmen eine umfassende Lösung für die rechtlichen und regulatorischen Herausforderungen, die der Einsatz von KI mit sich bringt.
