Nachgelesen, Wissensbox Recht

KI-Anwendungen & DSGVOKI-Anwendungen & DSGVO

Wer KI in seinem Unternehmen einsetzen möchte, sollte datenschutzrechtliche Regelungen beachten und zudem wissen, welche Rechtsgrundlagen bei der Verarbeitung personenbezogener Daten durch KI betroffen sind.

KI-Anwendungen und DSGVO

Stephan Kunitz

Sie möchten KI in ihrem Unternehmen einsetzen und wissen, welche datenschutzrechtlichen Regelungen dafür zu beachten sind? Wir klären über KI und DSGVO auf. In dieser Ausgabe unserer Nachgelesen-Reihe erfahren Sie:

  • Was es mit KI auf sich hat,
  • welche datenschutzrechtlichen Regeln beim Einsatz von KI zu beachten sind und
  • welche Rechtsgrundlagen bei der Verarbeitung personenbezogener Daten durch KI betroffen sind.

Was ist KI?

Der Begriff der KI (künstliche Intelligenz) ist derzeit in aller Munde. Was dabei genau unter KI verstanden wird, ist jedoch oft nicht eindeutig. Heute wird vor allem zwischen so genannter „schwacher KI“ und „starker KI“ unterschieden.[1] Starke KI kommt dabei dem näher, was wir gemeinhin mit „Intelligenz“ assoziieren, also Systeme, die den intellektuellen Fähigkeiten von Menschen entsprechen oder diese gar übertreffen.[2] Solche Systeme existieren im Moment allerdings (noch) nicht. „Schwache KI“ dagegen hat die Lösung konkreter (dennoch komplexer) Probleme zur Aufgabe und bietet eine Automatisierung in diesem eingeschränkten Problemfall. Diese Lösung erfolgt zumeist durch Machine Learning, also das Training des Algorithmus auf Basis großer Datenmengen. In diesen erkennt das Programm selbstständig Muster und Gesetzmäßigkeiten, die es wiederum zur Optimierung seiner Algorithmen verwendet.[3] Anwendungsfälle und Potenziale der Optimierung scheinen nahezu unerschöpflich. So kann KI in der Form eines Chatbots Kunden beraten und Termine vereinbaren; in der Qualitätssicherung durch Abgleichen von Bildern Produktionsfehler erkennen, in der Forschung und Entwicklung neue Kreationen schaffen, Prozesse optimieren und dabei persönliche Präferenzen auswerten.

Alle diese Vorgänge erfordern eine umfassende und valide Datensammlung als Grundlage. Da hierbei auch auf personenbezogene Daten zurückgegriffen wird bzw. solche berührt sein können, kann der Datenschutz betroffen sein.[4]

Anwendbarkeit der DSGVO

Das Datenschutzrecht wird seit 2018 auf europäischer Ebene durch die DSGVO geregelt. Als europäische Verordnung bedarf sie keiner Umsetzung durch die Mitgliedsstaaten. In Deutschland wird sie in wenigen Teilbereichen durch das BDSG in seiner Fassung vom 25.05.2018 ergänzt (Vorsicht – nicht mit dem alten BDSG verwechseln, welches vor der DSGVO bestand!).

1. Personenbezug

Nach Art. 2 Abs. 1 findet die DSGVO nur Anwendung auf personenbezogene Daten. Das sind nach Art. 4 Nr. 1 DSGVO „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person […] beziehen“, was zahlreiche Informationen einschließt, die Rückschlüsse auf Personen zulassen (z. B. Name, Telefonnummer, IP-Adresse).

Neben den „normalen“ personenbezogenen Daten gibt es noch „besondere Kategorien personenbezogener Daten“. Darunter fallen, nach Art. 9 Abs. 1 DSGVO, insbesondere (aber nicht ausschließlich!) religiöse und politische Ansichten, biometrische- und Gesundheitsdaten und Daten, die die sexuelle Orientierung betreffen.

Die Verarbeitung personenbezogener Daten – gleich welcher Art – ist nach der DSGVO zunächst einmal verboten. Von diesem Verbot gibt es jedoch einzelne Ausnahmen, die die Verarbeitung dennoch ermöglichen (Verbot mit Erlaubnisvorbehalt).

2. Verarbeitung

Unter „Verarbeitung“ versteht die DSGVO nach Art. 4 Nr. 2 „jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung“. Somit ist bereits das bloße Abspeichern einer Information eine Verarbeitung nach der DSGVO.

Auch das Sammeln (und damit verbundene Speichern) von Trainingsdaten (bspw. durch scraping öffentlich zugänglicher Nutzendendaten) sowie das Trainieren einer KI stellt einen Verarbeitungsvorgang i. S. der DSGVO dar.

Wird die KI-Anwendung schließlich aktiviert, beispielsweise ein Chatbot, der im Kundenservice tätig ist und Telefonnummern oder Adressen aufnimmt, können weitere datenschutzrelevante Verarbeitungsvorgänge stattfinden.

KI und DSGVO – Rechtsgrundlagen

Wie bereits beschrieben, ist die Verarbeitung personenbezogener Daten verboten, es sei denn, sie kann gerechtfertigt werden. Eine Liste von Rechtfertigungsgründen findet sich in den Art. 6 Abs. 1 und Art. 9 Abs. 2 DSGVO. Dabei sind vor allem die Einwilligung Art. 6 Abs. 1 a), Art. 9 Abs. 2 a) DSGVO, die Verarbeitung im Rahmen der Vertragserfüllung Art. 6 Abs. 1 b) DSGVO und die Verarbeitung zur Wahrung berechtigter Interessen gem. Art. 6 Abs. 1 f) relevant.

1. Einwilligung

Die Verarbeitung personenbezogener Daten ist entsprechend Art. 6 Abs. 1 a) DSGVO oder, wenn es sich um Daten einer besonderen Kategorie personenbezogener Daten handelt, nach Art. 9 Abs. 2 a) DSGVO möglich, wenn eine informierte Einwilligung der betroffenen Person vorliegt. Sie setzt voraus, dass die betroffene Person über die Verwendung ihrer Daten aufgeklärt worden ist, aktiv und freiwillig eine Einwilligung abgegeben hat und sie die Möglichkeit besitzt, die Einwilligung jederzeit und grundlos wieder zurückzunehmen.

Soweit mit personenbezogenen Daten gearbeitet wird, stellt die Einwilligung eine verbreitete, wenn auch nicht immer praktikable Rechtfertigungsgrundlage dar.

So ist die Einwilligung durch den Verarbeiter nachzuweisen (Art. 7 Abs. 1 DSGVO) – auch, dass sie „freiwillig“ erfolgt ist. Wichtiger Bestandteil dieser Freiwilligkeit ist das (relative) Kopplungsverbot aus Art. 7 Abs. 4 DSGVO. Eine Koppelung ist gegeben, „wenn ein Vertragsabschluss oder die Erbringung einer Leistung davon abhängig gemacht wird, dass der Betroffene in eine weitergehende Erhebung oder Verarbeitung seiner personenbezogenen Daten einwilligt, welche nicht zur Abwicklung des Geschäfts erforderlich ist.“[5] Gerade in Arbeitsverhältnissen wird Letzteres, also die Abgabe der Einwilligung unter einem gewissen Druck, häufig unterstellt und bedarf daher eines besonderen Begründungsaufwandes seitens des Arbeitgebers, dass dem gerade nicht so ist.[6]

Weiterhin muss die Einwilligung informiert und spezifisch erteilt werden. Dem Betroffenen müssen also der konkrete Sachverhalt sowie alle vorgesehenen Verarbeitungsvorgänge in einfacher und verständlicher Sprache dargelegt werden (Art. 7 Abs. 2 DSGVO).

So genügt ein einfacher Sprachbefehl zur Aktivierung eines Sprachassistenten (z. B. durch die Worte „o.k.“) nicht den Anforderungen an eine Einwilligung nach DSGVO.[7]

Daher sollte diese bereits bei erstmaliger Einrichtung nach einer schriftlichen Aufklärung erfolgen.

Gerade diese Anforderung führt im Umfeld von KI-Anwendungen in mehrfacher Hinsicht zu Problemen.

Die mitunter gewährte Einwilligung bei der erstmaligen Einrichtung eines datensammelnden Sprachassistenten oder Chatbots umfasst nämlich die sich anschließenden Sammelaktivitäten des Systems nicht, wenn noch andere Personen von den Sammelvorgängen betroffen sind (Kunden, Mitarbeiter, öffentliche Nutzer).

Werden diese entfernteren Personenkreise vom System angesprochen, kann deren Einwilligung ebenso wenig durch einen einfachen Sprachbefehl im Rahmen der Aktivierung der KI-Anwendung erfolgen. Eine solche Erklärung genügt jedenfalls den vorgenannten Anforderungen an eine datenschutzkonforme Einwilligung, mangels notwendiger Aufklärung, nicht.

Schon anhand dieser wenigen Beispiele wird deutlich, dass die Einwilligung oftmals keinen geeigneten Rechtfertigungsgrund für das Verwenden von Trainingsdaten bilden kann und auch in der Ansprache durch KI nicht wirklich weiterhilft. Da die Einwilligung obendrein jederzeit widerruflich ist und ein nachträgliches „herausfiltern“ der personenbezogenen Trainingsdaten zumeist kaum möglich sein wird, müsste die KI-Anwendung komplett neu trainiert werden, wenn ein Betroffener zu einem späteren Zeitpunkt sein Recht auf Löschung nach Art. 17 DSGVO geltend macht.[8]

2. Vertragserfüllung

Wann immer möglich sollte die Datenverarbeitung daher auf die Erfüllung eines Vertrages gestützt werden. Bei dieser Rechtsgrundlage ist weder die Einwilligung noch eine Abwägung und Darlegung von berechtigten Interessen erforderlich. Die mit diesen Rechtsfertigungsgründen verbundenen Probleme entfallen damit. Die Vertragserfüllung als Rechtfertigungsgrund ist jedenfalls dann naheliegend, wenn das KI-System auf eine bestimmte Funktion zugeschnitten ist, die ein Vertragsverhältnis unterstützt. So dienen beispielsweise Service- und Assistenzfunktionen zur Bearbeitung von Kundenanfragen direkt der Erfüllung vertraglicher (Neben-)Pflichten und lassen sich darüber rechtfertigen.[9]

Dabei ist jedoch zu beachten, dass die Vertragserfüllung keine ausreichende Rechtfertigung bietet, wenn Daten aus den besonderen Kategorien personenbezogener Daten nach Art. 9 DSGVO verarbeitet werden. Dementsprechend wäre beispielsweise ein Anamnese-Chatbot nicht auf Basis dieser Rechtsgrundlage einsetzbar.

3. Wahrung berechtigter Interessen

Soweit eine Datenverarbeitung nicht auf die Vertragserfüllung gestützt werden kann, besteht noch die Möglichkeit sie über die Wahrung berechtigter Interessen des Verarbeiters zu rechtfertigen (Art. 6 Abs. 1 f) DSGVO). Allerdings sind die Anforderungen daran hoch. Die berechtigten Interessen des Datenverarbeiters müssen den Interessen des Betroffenen (insb. Grundrechte und Grundfreiheiten) vorgehen. Ein Beispiel für ein beachtliches berechtigtes Interesse ist nach Erwägungsgrund 47 der DSGVO die Betrugsprävention. Allerdings – und auch darauf ist hinzuweisen – kann auch im Rahmen dieses Rechtfertigungsgrundes einer Verarbeitung der Daten widersprochen werden (Art. 21 DSGVO); die Probleme bei der Neujustierung der Trainingsgrundlagen bleiben.

Ob dagegen die Verarbeitung von Daten zum Zwecke der Direktwerbung mit dem berechtigten Interesse des Verarbeitenden gerechtfertigt werden kann, ist nicht unumstritten. Jedenfalls wird im Einzelfall eine „substantielle Auseinandersetzung“ der gegenläufigen Interessen im Rahmen der Abwägung gefordert. Die Verarbeitung für Tracking und „Behavioural Targeting“ ist dabei eng eingegrenzt. So wird von der DSK[10] unter Berufung auf Erwägungsgrund 47 der DSGVO argumentiert, dass solche Maßnahmen nicht mehr von der Nutzungserwartung des Betroffenen gedeckt seien.[11] Dementsprechend ist stets eine intensive Auseinandersetzung im Einzelfall erforderlich, um einen rechtfertigenden Moment zu erkennen.

Wichtig ist schließlich, dass die Wahrung berechtigter Interessen jedenfalls keine ausreichende Rechtsgrundlage für die Verarbeitung personenbezogener Daten aus besonderen Kategorien nach Art. 9 DSGVO darstellt![12]

KI und DSGVO

Abbildung 1: KI und DSGVO – welche Rechtsgrundlage brauche ich?

Fazit

Die hier aufgezählten Gründe stellen die wichtigsten Rechtfertigungsgründe für die Verarbeitung personenbezogener Daten dar. Da im Rahmen des Einsatzes von KI-Anwendungen naturgemäß mit großen Datenmengen umgegangen wird, ist es ratsam, sich bereits vor der Verarbeitung der Daten (Erheben der Trainingsdaten, Aufnahme von Daten durch die KI-Anwendung) Gedanken darüber zu machen, ob diese möglicherweise einen Personenbezug aufweisen.

Wenn dies der Fall ist und technische Möglichkeiten keine Anonymisierung und/oder Pseudonymisierung gestatten, dann ist zum Verarbeiten der Daten eine Rechtfertigungsgrundlage erforderlich. Für „normale“ personenbezogene Daten ist die Verarbeitung im Rahmen der Vertragserfüllung oder zur Wahrung berechtigter Interessen gegenüber der Einwilligung vorzugswürdig. Wenn dagegen Daten einer der besonderen Kategorien nach Art. 9 DSGVO Verwendung finden, bleibt nurmehr die Einwilligung oder eine technische, den Personenbezug eliminierende Lösung.

Letztlich ermöglicht auch bei KI-Anwendungen nur eine gründliche Planung, welche Art von Daten in welchen Vorgängen verarbeitet werden, und die daraus abgeleitete Anpassung der unternehmenseigenen Prozesse ein DSGVO konformes Verhalten.

Quellen, Anmerkungen und weiterführende Literatur

  1. Gesmann-Nuissl, InTeR 2018, Heft 3, Editorial; Plattform Industrie 4.0, Künstliche Intelligenz und Recht im Kontext von Industrie 4.0, Working Paper, S. 3.
  2. Gausling, in: Ballestrem/Bär/Gausling/Hack/von Oelffen, Künstliche Intelligenz: Rechtsgrundlagen und Strategien in der Praxis, S. 11 (13).
  3. Gausling, ZD 2019, 335 (336).
  4. Vgl. Gausling, ZD 2019, 335 (335).
  5. Heckmann/Paschke, in: Ehmann/Selmayr DS-GVO Art. 7, Rn.: 94.
  6. Gesmann-Nuissl, Rechtliche Herausforderungen in der Arbeitswelt 4.0 im Mittelstand anhand von zwei Beispielen, in: Bosse/Zink, Arbeit 4.0 im Mittelstand, Springer 2019, S. 35, 47 ff.
  7. Gausling, in: Ballestrem/Bär/Gausling/Hack/von Oelffen, Künstliche Intelligenz: Rechtsgrundlagen und Strategien in der Praxis, S. 11 (32).
  8. Gausling, in: Ballestrem/Bär/Gausling/Hack/von Oelffen, Künstliche Intelligenz: Rechtsgrundlagen und Strategien in der Praxis, S. 11 (31).
  9. Gausling, in: Ballestrem/Bär/Gausling/Hack/von Oelffen, Künstliche Intelligenz: Rechtsgrundlagen und Strategien in der Praxis, S. 11 (33).
  10. Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) ist ein Gremium, das sich mit aktuellen Fragen des Datenschutzes in Deutschland befasst und zu ihnen Stellung nimmt. Die Datenschutzkonferenz besteht aus den unabhängigen Datenschutzbehörden des Bundes und der Länder (vgl. https://datenschutzkonferenz-online.de/dsk.html, zuletzt aufgerufen am 28.04.21).
  11. DSK 2019 „Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien“ S. 16.
  12. Gausling, in: Ballestrem/Bär/Gausling/Hack/von Oelffen, Künstliche Intelligenz: Rechtsgrundlagen und Strategien in der Praxis, S. 11 (36).

Verwandte Beiträge