Infopaket Künstliche Intelligenz

"Künstliche Intelligenz" gibt es schon lange. Eine ganz neue Dynamik hat die Thematik in 2023 mit der allgegenwärtigen Nutzung von Large Language Models (LLM) wie z. B. "ChatGPT", "Microsoft Copilot" oder "Google Germini" zur KI-Generierung von Texten zu beliebigen Themen bekommen. Solche KI-Systeme können jedoch mit Risiken behaftet sein. Sie können mit personenbezogenen Daten datenschutzwidrig trainiert worden sein. Bei der Nutzung können datenschutzwidrig personenbezogene Daten eingegeben bzw. ausgegeben werden. Durch die Verarbeitung großer Mengen personenbezogener Daten kann dann das Recht auf informationelle Selbstbestimmung Einzelner betroffen sein.

Mit dem Einsatz von KI-Systemen können darüber hinaus erhebliche gesamtgesellschaftliche Gefahren einhergehen. Es können massenhaft Desinformationen gezielt ausgespielt werden. Einzelne oder Gruppen von Menschen können Opfer sich verstärkender Diskriminierung mit fatalen persönlichen Folgen werden. Um diese Risiken einzudämmen, wurde die Verordnung über künstliche Intelligenz (KI-VO) erlassen.

• Die KI-VO gilt ab dem 2. August 2026 und tritt sukzessive vorab in Kraft. Nach ihrem Erwägungsgrund 1 soll sie das Funktionieren des Binnenmarkts verbessern, die Einführung menschenbezogener und vertrauenswürdiger Künstlicher Intelligenz fördern und gleichzeitig ein hohes Niveau des Schutzes der Gesundheit, der Sicherheit, der in der Charta verankerten Grundrechte, einschließlich der Demokratie, der Rechtsstaatlichkeit und des Umweltschutzes, vor den schädlichen Auswirkungen von KI-Systemen in der Europäischen Union gewährleisten und Innovationen unterstützen.
• Auf ihrer Webseite gibt die Europäische Kommission unter "Künstliche Intelligenz – Fragen und Antworten" Erklärungen, warum die Verwendung künstlicher Intelligenz reguliert werden muss.

Die DS-GVO ist weiterhin neben der KI-VO abwendbar (Art. 2 Abs. 7 S. 2 KI-VO). Unabhängig vom In-Kraft-Treten der KI-VO müssen datenschutzrechtliche Vorgaben von Anbietern und Betreibern (Nutzern) von KI-Anwendungen - schon jetzt - eingehalten werden, wenn sie personenbezogene Daten verarbeiten. Für die ausschließlich private Nutzung von KI-Systemen greift die Haushaltsausnahme nach Art. 2 Abs. 2 lit. c) DS-GVO.

⇒ Inhaltsverzeichnis

Die KI-Aufsichts- und Marktüberwachungsbehörden müssen durch nationales Recht bestimmt und nach Art. 70 Abs. 2 KI-VO bis 2. August 2025 an die Europäische Kommission gemeldet werden. Da ein Großteil von KI-Anwendungen in den Phasen des Trainings, Inputs oder Outputs personenbezogene Daten verarbeitet, fällt die Nutzung solcher KI-Systeme gleichsam in die Zuständigkeit der Datenschutzaufsichtsbehörden nach Art. 51 DS-GVO.

• In dem Positionspapier "Nationale Zuständigkeiten für die Verordnung zur Künstlichen Intelligenz (KI‐VO)" vom 3. Mai 2024 fordert die DSK behördliche Zuständigkeiten nach der KI-VO den Datenschutzaufsichtsbehörden über die DS-GVO hinaus zu übertragen.
• Der Europäische Datenschutzausschuss hat sich hier ebenfalls positioniert. Eine gesetzliche Regelung steht noch aus.

⇒ Inhaltsverzeichnis

In jeder Phase des Lebenszyklus einer KI-Anwendung - insbesondere aber bei der Nutzung von KI-Anwendungen - können sich Fragen zum Datenschutz ergeben. Folgende Dokumente bieten Hilfestellungen bei der Einordnung:

• Opinion 28/2024 des Europäischen Datenschutzausschusses vom 17. Dezember 2024 zu bestimmten KI-Modellen und Datenschutz
  
  Am 17. Dezember 2024 verabschiedete der Europäische Datenschutzausschuss (EDSA) die Opinion 28/2024 on certain data protection aspects relates to the processing of personal data in the context of AI models. Mit dieser Stellungnahme beantwortet der EDSA Fragen der irischen Aufsichtsbehörde (IE SA) in einem formalen Verfahren nach Art. 64 Abs. 2 DS-GVO. Zum einen wollte die IE SA wissen, ob das Datenschutzrecht gilt, wenn ein finales KI-Modell mit personenbezogenen Daten trainiert wurde. Der Entwicklungs- und Trainingsprozess eines KI-Modells könne ja eventuell dazu führen, dass personenbezogene Trainingsdaten so zerkleinert werden, dass sie im finalen KI-Modell nicht mehr als personenbeziehbar identifiziert werden können. Der EDSA erläutert, dass solange ein Risiko der (Rest-) Wahrscheinlichkeit der (Re-)Identifizierbarkeit personenbezogener Daten bestehe, unterfalle die Verarbeitungstätigkeit dem Datenschutzrecht. In der Regel gelinge der Ausschluss des Risikos der (Re-)Identifizierbarkeit und somit der Nachweis der Anonymität eines finalen KI-Modells nicht.
  
  Zum anderen wollte die IE SA wissen, ob und wie sich eine ggf. rechtswidrige Erhebung von personenbezogenen Trainingsdaten auf die weitere Verarbeitung, bspw. durch den Betreiber und Endanwender eines KI-Systems mit dem KI-Modell rechtlich auswirkt. Für die Erhebung personenbezogener Daten bedarf es einer Rechtsgrundlage nach der DS-GVO. Die Datenerhebung kann rechtwidrig sein, wenn personenbezogene Daten aus dem Internet gezogen wurden und die betroffenen Personen nicht mit der Nutzung ihrer Daten zum Zwecke des Trainings eines KI-Modells rechneten. Der EDSA hat festgestellt, dass sich eine rechtswidrige Datenerhebung auf die Rechtmäßigkeit der nachfolgenden Verarbeitungstätigkeiten auswirken kann. Die DS-GVO weist den Verantwortlichen in der Verarbeitungskette Rollen und Pflichten zu. Insofern muss jeder für die Datenverarbeitung Verantwortliche feststellen, welche Verpflichtungen für ihn gelten. Die Betreiber und Endanwender eines KI-Systems mit dem KI-Modell haben bei der Auswahl der von ihnen verwendeten KI-Systeme erhöhte Sorgfaltspflichten. KI-Systeme mit rechtswidrig trainierte KI-Modellen können nicht bedenkenlos verwendet werden.
  
  Die Thematik ist technisch und rechtlich sehr komplex. Mit der vorliegenden EDSA-Stellungnahme wurden die Fragen der IE SA nicht abschließend beantwortet, was angesichts der kurzen Fristen in diesem formalen Verfahren auch nicht zu erwarten war.
   
• Materialien und Checklisten anderer Datenschutz-Aufsichtsbehörden
  
  Weitere Materialien wurden vom Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg "Rechtsgrundlagen im Datenschutz beim Einsatz von Künstlicher Intelligenz" (Version 2.0 vom 17.10.2024) sowie vom Bayerischen Landesamt für Datenschutzaufsicht "Datenschutzkonforme Künstliche Intelligenz - Checkliste mit Prüfkriterien nach DS-GVO" (Stand: 24.01.2024) veröffentlicht.
  
  Außerdem hat der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg einen Orientierungs­hilfen-Navigator KI & Datenschutz (ONKIDA) veröffentlicht. Dieser enthält eine Fundstellenübersicht zu zehn zentralen Vorgaben des Datenschutzrechts in aufsichtsbehördlichen Orientierungshilfen zu „Künstlicher Intelligenz“ und versteht sich als Hilfestellung für die Arbeit mit diesen Orientierungshilfen, indem ein schnellerer Zugang zu Einzelaspekten zentraler datenschutzrechtlicher Vorgaben ermöglicht wird.
   
• Orientierungshilfe "Künstliche Intelligenz und Datenschutz" vom 6. Mai 2024
  
  Für öffentliche Verwaltungen und Unternehmen, die LLM nutzen wollen, erweist sich die von der DSK am 6. Mai 2024 veröffentlichte Orientierungshilfe "Künstliche Intelligenz und Datenschutz" als Hilfestellung. Praxisnah adressiert die Orientierungshilfe Fragen, die datenschutzrechtlich Verantwortliche bei der Konzeption des Einsatzes, der Auswahl, der Implementierung und der Nutzung von KI-Anwendungen wie der LLM stellen und beantworten müssen. Ob Zweckbestimmung, Transparenzpflichten, Betroffenenrechte oder Richtigkeit von Ergebnissen: Die Orientierungshilfe erörtert – auch anhand von Beispielen – wichtige Kriterien entlang der Vorgaben der DS-GVO und zeigt Leitlinien für entsprechende Entscheidungen auf. Sie richtet sich mittelbar auch an Entwickler, Hersteller und Anbieter von KI-Systemen, denn sie enthält Hinweise zur Auswahl datenschutzkonformer KI-Anwendungen, die auf die Gestaltung der Produkte zurückwirken. Die Entwicklung von KI-Anwendungen und das Training von KI-Modellen sind allerdings nicht Schwerpunkt dieser Orientierungshilfe.
   
• Hambacher Erklärung der DSK zur Künstlichen Intelligenz vom 3. April 2019 
  
  Mit der Hambacher Erklärung der DSK zur Künstlichen Intelligenz vom 3. April 2019 positionierte sich die DSK zu den Grundsätzen der Verarbeitung von personenbezogenen Daten in einem KI-System. In dem Positionspapier zu empfohlenen technischen und organisatorischen Maßnahmen bei der Entwicklung und dem Betrieb von KI-Systemen vom 6. November 2019 werden die Anforderungen der DS-GVO anhand der Lebenszyklen von KI-Systemen erläutert.

⇒ Inhaltsverzeichnis

Für den Fall, dass der Anbieter einer KI-Anwendung nicht aus der EU oder einem Drittland mit Angemessenheitsbeschluss gemäß Artikel 45 DSGVO stammt, hat der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg Empfehlungen zum Einsatz von KI-Anwendungen von Anbietern außerhalb der Europäischen Union veröffentlicht.

Um die mit dem Einsatz von KI-Anwendungen verbundenen Risiken zu begrenzen, sollten folgende Empfehlungen mindestens umgesetzt werden:

• Achten Sie bei der Auswahl einer KI-Anwendung auf Transparenz des Anbieters und eine entsprechende Dokumentation, aus der nachvollziehbar hervorgeht, dass Garantien für die Einhaltung der DS-GVO gegeben und diese eingehalten werden.
• Stellen Sie vor der Installation des KI-Modells sicher, dass keine (personenbezogenen) Daten abfließen können. Zum Beispiel durch eine separate, gesicherte IT-Umgebung oder andere geeignete Maßnahmen.
• Wenn Sie eine Online-Schnittstelle verwenden, sollten Sie niemals personenbezogene oder vertrauliche Daten eingeben, es sei denn, es sind wirksame Maßnahmen bekannt, die einen Missbrauch verhindern können. Wenn keine Maßnahmen bekannt sind, ist davon auszugehen, dass keine vorhanden sind.
• Beschäftigte und Nutzende sollten aktiv für die mit der Nutzung dieser KI verbundenen Risiken sensibilisiert werden. Dabei ist auch die ab dem 2. Februar 2025 gemäß Artikel 4 KI-VO sicherzustellende KI-Kompetenz zu berücksichtigen.
• Achten Sie darauf, dass der Hersteller der KI-Anwendung, sofern er auch datenschutzrechtlich Verantwortlicher ist und seinen Sitz nicht in der EU hat, möglichst einen Vertreter nach Artikel 27 DS-GVO benannt hat. Ansonsten kann die effektive Durchsetzung der Betroffenenrechte unter Umständen sehr schwierig werden.

Weitere Informationen finden Sie unter https://www.baden-wuerttemberg.datenschutz.de/drittstaaten-ki/.

⇒ Inhaltsverzeichnis