open search
close
Datenschutz Neueste Beiträge

Erste europäische Richtlinie zur Nutzung von Künstlicher Intelligenz und Datenschutz

Print Friendly, PDF & Email

Der European Data Protection Supervisor („EDPS“) hat in seiner Funktion als Datenschutzbehörde am 3. Juni 2024 erstmalig eine Richtlinie für den richtigen Umgang mit Datenschutz im Zusammenhang mit der Nutzung von generativen KI-Systemen veröffentlicht. Vorrangig richtet sich die Richtlinie an EU-Institutionen und soll eine Orientierungshilfe zur Einhaltung der EU-DSVO sein.

Die EU-DSVO findet speziell für die Verarbeitung von personenbezogenen Daten durch EU-Institutionen Anwendung, während die DS-GVO ganz allgemein die Verarbeitung personenbezogener Daten regelt. Inhaltlich sind die beiden Regelungswerke aber weitestgehend identisch, die Richtlinie damit auf die DS-GVO übertragbar. Die Richtlinie sollte für Unternehmen, die generative KI-Systeme entwickeln oder einsetzen, daher als Leitlinie dienen.

Datenschutz und KI – ein Überblick

Sowohl die EU-DSVO als auch die DS-GVO sind technologieneutral ausgestaltet. Das heißt, diese beiden Regelungswerke sind anwendbar, solange und soweit personenbezogene Daten verarbeitet werden unabhängig auf welchem Weg. Auch beim Einsatz von generativer KI können personenbezogene Daten verarbeitet werden, zum Beispiel während der Trainings-, der Input oder auch der Outputphase. Datenschutzrechtlich verantwortlich ist und bleibt aber der Anwender des KI-Systems. Wann und wie Daten durch intelligente Algorithmen verarbeitet werden, ist nicht immer leicht zu erkennen. Die Richtlinie bietet daher eine Hilfestellung, was Anwender beim Einsatz von KI-Systemen im Hinblick auf den Datenschutz alles beachten müssen.

Datenrichtigkeit und Datenminimierung auch beim Einsatz von KI

Die Grundsätze der Datenrichtigkeit und Datenminimierung gelten auch beim Einsatz generativer KI. Die Verarbeitung personenbezogener Daten muss angemessen, sachdienlich und auf das für den jeweiligen Zweck erforderliche Maß beschränkt sein. Diese Verpflichtung gilt für den gesamten Lebenszyklus des Systems, einschließlich der Test-, Abnahme- und Produktionsphase.

Die Qualität sollte vor Quantität der Datensätze Vorrang haben. Gut strukturierte Datensätze und die Überwachung des Trainingsprozesses sind entscheidend. Zur Sicherstellung der Datenrichtigkeit müssen qualitativ hochwertige Trainingsdatensätze verwendet und während des gesamten Lebenszyklus der KI, einschließlich der Test-, Abnahme- und Produktionsphase, regelmäßige Kontrollen durchgeführt werden, um ungenaue Informationen und Diskriminierung zu vermeiden. Die Ausgabedaten, einschließlich der vom Modell gezogenen Schlüsse müssen regelmäßig von menschlicher Aufsicht überwacht werden. Die Entwickler sollten während des Trainings Validierungssets verwenden und separate Testsätze für die abschließende Bewertung verwenden, um eine Einschätzung der Systemleistung vornehmen zu können.

Rechenschaftspflicht und Rechtmäßigkeit der Verarbeitung

Um der Rechenschaftspflicht zu genügen, ist es wichtig, die Rollenverteilung (Verantwortlicher, Auftragsverarbeiter usw.) bei den unterschiedlichen Datenverarbeitungsvorgängen klar zu definieren. Das gilt insbesondere bei der Nutzung generativer KI-Systeme von Drittanbietern. Die Rechtmäßigkeit der Datenverarbeitung kann mit einem überwiegenden berechtigten Interesse des Verantwortlichen oder eines Dritten begründet werden. Beim Einsatz generativer KI wird für die Bejahung des überwiegenden berechtigten Interesses aber eine komplexere Abwägung erforderlich sein. Rechtsunsicherheiten sind damit vorprogrammiert. Nutzt die Institution KI-Systeme eines Drittanbieters, muss die Institution sicherstellen, dass der Drittanbieter diese Anforderungen erfüllt.

Datensicherheit und Datenschutzfolgeabschätzung

Bei der Datenschutzfolgenabschätzung für generative KI-Systeme ist es entscheidend, Datenschutzrisiken von erstem Tag an zu lokalisieren. Dies erfordert eine kontinuierliche Überwachung und Risikobewertung, gerade vor dem Hintergrund, dass sich die KI auch kontinuierlich weiterentwickelt. Datenschutzrisiken müssen schnellstmöglich identifiziert und behoben werden. Den Anwendern generativer KI wird empfohlen, nur Datensätze zu verwenden, die von vertrauenswürdigen Quellen stammen, und regelmäßig Überprüfungs- und Validierungsverfahren durchzuführen, auch für interne Datensätze.  Die herkömmlichen IT-Sicherheitsmechanismen dürften hier an ihre Grenzen kommen, sodass ggf. spezielle Sicherheitsvorkehrungen implementiert werden müssen. Spezifische Sicherheitsrisiken, die sich aus der Nutzung von generativer KI ergeben sind unzuverlässige Trainingsdaten, die Komplexität der Systeme, Undurchsichtigkeit, Probleme bei der Durchführung angemessener Test sowie Schwachstellen in den Sicherheitsvorkehrungen des Systems. Der Anwender generativer KI ist bei der Datenverarbeitung verpflichtet, den Rat des Datenschutzbeauftragten einzuholen, wenn er eine Datenschutzfolgenabschätzung vornimmt. Aufgrund dessen Bewertung müssen geeignete technische und organisatorische Maßnahmen getroffen werden, um die ermittelten Risiken unter Berücksichtigung der Verantwortlichkeiten zu mindern.

Rechte der Betroffenen und des Datenschutzbeauftragten

Generative KI-Systeme stellen besondere Anforderung an die Durchsetzung von Betroffenenrechten. Damit der Auskunfts-, Berichtigungs- und Löschungsanspruch oder auch das Widerspruchsrecht ordnungsgemäß erfüllt werden können, muss das KI-System zunächst verstanden werden. Dies erfordert detaillierte Informationen über die Funktionsweise der Algorithmen und die verarbeiteten Datensätze, insbesondere muss nachvollziehbar sein, wie personenbezogene Daten aufgezeichnet werden. Zu bedenken ist ferne, dass die Ausübung bestimmter Rechte, wie beispielsweise des Löschungsanspruchs, Auswirkungen auf die Wirksamkeit der generativen KI haben kann. Fehlen Datensätze, kann die Ergebnisqualität der generativen KI nachlassen. Auch der Datenschutzbeauftragte muss die technischen Mechanismen verstehen, um mögliche datenschutzrechtliche Schwachstellen identifizieren zu können. Das beinhaltet insbesondere Informationen darüber, wie und wann die generative KI personenbezogene Daten verarbeitet und wie die Eingabe-, Ausgabe- und Entscheidungsprozesse durch die KI funktionieren. Das dürfte bei unbeaufsichtigtem Training der Systeme und einer automatisierten Entscheidungsfindung schwierig werden.

Ausblick

Früher oder später werden Unternehmen nicht mehr an künstlicher Intelligenz vorbeikommen. Die KI-Technologien entwickeln sich kontinuierlich weiter und lernen jeden Tag dazu. Dass die rechtlichen Rahmenbedingungen (insbesondere der AI Act und die KI-Verordnung) mit der Schnelllebigkeit der KI nicht Schritt halten können, stellt Arbeitgeber vor eine besondere Herausforderung. Eine gut etablierte KI-Regulierung und ein KI-Compliance Management sind daher entscheidend. Die Anwender von generativen KI-Systemen sollten nachvollziehen können, wie die KI-Systeme arbeiten und personenbezogene Daten verarbeitet werden. So können Arbeitgeber gewährleisten, dass KI-Technologien verantwortungsvoll und rechtskonform eingesetzt werden können.

Anabel Weinzierl

Rechtsanwältin
Fachanwältin für Arbeitsrecht
Senior Associate
Anabel Weinzierl berät und vertritt nationale und internationale Unternehmen in sämtlichen Bereichen des individuellen und kollektiven Arbeitsrechts. Ihr Schwerpunkt liegt dabei in der laufenden Mandatsbetreuung sowie in der Beratung von Kündigungsrechtsstreitigkeiten. Sie ist Mitglied der Fokusgruppe "ESG".
Verwandte Beiträge
Betriebsrat Digitalisierung Kollektivarbeitsrecht Neueste Beiträge

Einsatz von KI ohne Mitbestimmung des Betriebsrats – geht das? und wenn ja, wie?

Frage an ChatGPT: „Welche Anwendungsmöglichkeiten haben KI-Systeme im Arbeitsalltag?“ Antwort von ChatGPT: „KI-Systeme im Arbeitsalltag automatisieren repetitive Aufgaben, unterstützen bei Analysen und Entscheidungen, verbessern den Kundensupport, und optimieren Prozesse in Bereichen wie Personalwesen, Marketing, Finanzwesen, Produktentwicklung, Supply Chain Management, IT und Cybersicherheit sowie Gesundheitswesen.“ KI-Einsatz kann Kosten senken und die Effizienz von Unternehmen steigern. Als Arbeitgeber auf KI zu verzichten, kann zu ökonomischen und zu…
BEM Individualarbeitsrecht

BEM-Einladungsschreiben – keine reine Formalität!

Die Durchführung eines betrieblichen Eingliederungsmanagements („BEM“) ist in den meisten Fällen Wirksamkeitsvoraussetzung für eine krankheitsbedingte Kündigung. Das BEM gehört also zum Standardprozess. Doch bereits ein fehlerhaftes Einladungsschreiben zum BEM kann diesen Prozess zunichtemachen. Und das nicht nur, wenn der Arbeitnehmer das BEM abgelehnt hat, sondern auch wenn es tatsächlich durchgeführt wurde. In diesem Beitrag sollen daher wichtige Aspekte aufgegriffen werden, die bei der Erstellung des…
Arbeitszeit & Arbeitszeiterfassung Neueste Beiträge

Dürfen Roboter sonntags arbeiten?

Am Sonntag schnell noch für den Grill- oder Fußballabend einkaufen – das ist in vielen Ländern möglich, in Deutschland noch eine Wunschvorstellung. Einige Unternehmen und Start-ups wollen es ermöglichen, auch in Deutschland sonntags für den täglichen Bedarf einzukaufen. Doch sie dürften an den Verwaltungsgerichten scheitern. Die Sonntagsruhe gelte auch für Selbstbedienungssupermärkte, entschied kürzlich der Verwaltungsgerichtshof Hessen und legt damit das Gesetz konservativ aus. Sonntagsruhe zur…
Abonnieren Sie den kostenfreien KLIEMT-Newsletter.
Jetzt anmelden und informiert bleiben.

 

Die Abmeldung ist jederzeit möglich.