ipopba - stock.adobe.com
Wie sich DSGVO und KI-VO in der Praxis einhalten lassen
Viele Unternehmen sind noch unsicher, wie sie den Datenschutz bei Nutzung von KI (künstliche Intelligenz) einhalten können. Nun gibt es einen Leitfaden mit praktischen Hinweisen.
Künstliche Intelligenz (KI) ist in den vergangenen Monaten in der Breite der deutschen Wirtschaft angekommen, berichtet der Digitalverband Bitkom. Inzwischen nutzt etwa jedes dritte Unternehmen (36 Prozent) KI. Die größten Hemmnisse beim KI-Einsatz in der deutschen Wirtschaft sieht die Bitkom-Umfrage (PDF) weiterhin in einer Verunsicherung durch rechtliche Hürden und Unklarheiten (53 Prozent). 48 Prozent beklagen demnach die hohen Anforderungen an den Datenschutz, 39 Prozent haben Angst, dass Daten in falsche Hände geraten.
Ohne Zweifel spielt Datenschutz aber bei der Nutzung von KI eine zentrale Rolle, wie die Umfrage auch zeigt. Die größten Anwendungsbereiche haben alle mit personenbezogenen Daten zu tun: Eingesetzt wird KI in den Unternehmen ganz überwiegend im Kundenkontakt (88 Prozent) sowie in Marketing und Kommunikation (57 Prozent).
Da stellt sich die Frage, wie die rechtlichen Anforderungen an KI aus dem Datenschutz, aber auch aus dem AI-Act (KI-Verordnung, KI-VO) in der Praxis möglichst einfach, aber zuverlässig umgesetzt werden können. Immerhin beklagen sich sehr viele Unternehmen weiterhin über hohe Aufwände durch den Datenschutz, wie eine andere Bitkom-Umfrage zeigt.
Aufsichtsbehörden beschreiben den Brückenschlag zwischen DSGVO und KI-VO
Wie man den Datenschutz bei der KI-Nutzung umsetzen kann und gleichzeitig die Vorgaben der KI-Verordnung realisiert, das haben sich Vertreterinnen und Vertreter von Datenschutzaufsichtsbehörden angesehen. Sie haben eine Art Brückenschlag zwischen DSGVO (Datenschutz-Grundverordnung) und KI-VO (KI-Verordnung) beschrieben.
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) sieht den Entwurf des Diskussionspapiers The Bridge Blueprint (PDF) als Impuls für einen breiten Dialog, der Wirtschaft, Zivilgesellschaft und Anwaltschaft einbinden soll.
Die abstrakten, prinzipienbasierten Vorgaben der DSGVO sollen darin durch die konkreten, technischen Anforderungen der KI-VO ausgefüllt und anwendbar gemacht werden. Die Aufsichtsbehörde begründet dieses Vorhaben so: Der Grundsatz, die DSGVO bliebe von anderer Digitalregulierung unberührt, betrifft zwar die Geltung der DSGVO, begründet aber keine isolierte Auslegung.
In dem neuen Papier wird anhand ausgewählter Problemfelder, von den Datenschutzgrundsätzen, Rechtsgrundlagen und besonderen Kategorien von Daten bis hin zu automatisierten Entscheidungen, aufgezeigt, wie die KI-VO die praktische Anwendung der DSGVO prägt, so die Datenschutzaufsicht aus Hamburg.
DSGVO und KI-Verordnung zusammen denken und umsetzen
Der Entwurf, der für die fachliche Diskussion veröffentlicht wurde, zeigt gut, wie sich die Anforderungen aus der DSGVO mit Maßnahmen nach KI-Verordnung umsetzen lassen. Das soll an dieser Stelle anhand einiger Beispiele aufgezeigt werden.
Eine der drängendsten Fragen beim KI-Einsatz ist der datenschutzkonforme Umgang mit automatisierten Entscheidungen, wie er von der DSGVO gefordert wird.
Hierzu sagt das Papier: Automatisierte Entscheidungen sind für zahlreiche Einsatzszenarien von KI-Systemen erforderlich. Sie bergen jedoch das inhärente Risiko, „Computer-sagt-nein“-Szenarien zu schaffen, in denen Einzelpersonen erheblichen, potenziell schädlichen Ergebnissen ohne Transparenz oder wirksame Rechtsbehelfe ausgesetzt sind.
Die beteiligten Aufsichtsbehörden stellen aber klar: Artikel 22 DSGVO wurde nicht geschaffen, um die Automatisierung zu blockieren, sondern um sicherzustellen, dass sie nachprüfbar ist, zum Beispiel indem solche Praktiken erlaubt werden, wenn das Unionsrecht dies zulässt und geeignete Maßnahmen zum Schutz des Einzelnen vorhanden sind.
Genau hier liefert die KI-Verordnung, sie definiert die geeigneten Maßnahmen, die im rechtlichen Rahmen bisher fehlten. Durch die Umsetzung der verbindlichen Anforderungen der KI-Verordnung, unter anderem für aussagekräftige Transparenz, verpflichtende menschliche Aufsicht und robuste Überprüfbarkeit durch Protokollierung (Logging) gibt es einen rechtlich verbindlichen Standard für sichere und nachprüfbare automatisierte Systeme, der somit Artikel 22 DSGVO erfüllen kann, so die Datenschützer.
Ein zweites Beispiel ist die Datenschutz-Folgenabschätzung (DSFA) nach Artikel 35 DSGVO. Hierzu erklärt das Papier: Während sich die DSFA auf Risiken aus der Verarbeitung personenbezogener Daten konzentriert, verfolgt die Grundrechte Folgenabschätzung (Fundamental Rights Impact Assessment, FRIA) der KI-Verordnung für öffentliche Stellen einen breiteren Ansatz, aber beide sind Teil des Nachweises einer umfassenden Risikobewertung. Es geht also letztlich in beiden Verordnungen um eine übergreifende Risikobetrachtung, die sich gemeinsam angehen lässt.
Offensichtlich sind die DSGVO, die KI-Verordnung und die KI-Nutzung nicht etwa unvereinbar oder widersprüchlich, sondern beide Verordnungen lassen sich zusammen denken und umsetzen, sie müssen sogar gemeinsam umgesetzt werden. Wie die Datenschützer darstellen, helfen viele konkrete Bestimmungen aus der KI-VO sogar dabei, die oftmals allgemeineren Anforderungen aus der DSGVO zu realisieren. Es sollte auch nicht verwundern, denn die DSGVO ist ja eine Grundverordnung, während die KI-VO speziell für KI gilt.
