Die datenschutzrechtlichen Anforderungen an KI-Lösungen am Beispiel von ChatGPT
Maschinelles Lernen und Künstliche Intelligenz bieten ein sehr breites Anwendungsspektrum – so auch das KI-Tool ChatGPT, das in den letzten Wochen in den Anwendungsfokus von Unternehmen gerückt ist. Dabei sind gerade im Unternehmens- und Beschäftigungskontext einige Dinge hinsichtlich des Datenschutzes zu beachten.
Was macht ChatGPT so besonders?
ChatGPT ist ein von OpenAI entwickeltes KI-Tool, das durch eine umfangreiche Menge von Daten trainiert wurde. Nutzerinnen und Nutzer haben die Möglichkeit unzählige Fragen aus den unterschiedlichsten Themenbereichen an das Tool zu formulieren, welches selbstständig vollständige Antworten für sie generiert. Dabei begeistert ChatGPT aktuell durch die Möglichkeit, in schnellster Zeit anhand weniger Angaben große Textmengen in guter Qualität zu generieren.
Die Einsatzmöglichkeiten des Tools für Unternehmen sind dadurch praktisch unbegrenzt, z.B. im Personalbereich zur Erstellung von Stellenbeschreibung und Arbeitszeugnissen, im Marketingbereich zur Formulierung von Werbetexten, oder generell zur Erstellung von Unternehmenspräsentationen oder zur Unterstützung bei Rechercheaufgaben. Voraussetzung für eine effektive Bearbeitung der Fragen der Nutzerinnen und Nutzer ist die Verarbeitung großer Datenmengen. Hierbei können auch, je nach Eingaben der Nutzenden, personenbezogene Daten verarbeitet werden.
Künstliche Intelligenz unter Berücksichtigung datenschutzrechtlicher Anforderungen
Bei Verarbeitung personenbezogener Daten ist der Anwendungsbereich der DSGVO eröffnet (vgl. Art. 2 Abs. 1 DSGVO). Werden also beim Einsatz von KI-Tools personenbezogene Daten verarbeitet, müssen die datenschutzrechtlichen Grundsätze nach Art. 5 DSGVO gewahrt werden. Insbesondere rücken hierbei das Transparenzgebot, die Zweckbindung und die Datenminimierung in den Fokus.
KI-Systeme entziehen sich weitestgehend dem Einfluss der Unternehmen, die solche Tools im Einsatz haben. Als Verantwortliche (vgl. Art. 4 Nr. 7 DSGVO) sind diese Unternehmen allerdings verpflichtet, die Einhaltung des Datenschutzes zu gewährleisten. Werden beim Einsatz von KI-Tools personenbezogene Daten verarbeitet, wird dies regelmäßig als Auftragsverarbeitung (vgl. Art. 4 Nr. 8 DSGVO) der Tool-Anbietenden einzustufen sein. Somit sind Unternehmen bei der Auswahl von KI-Tools angehalten zu prüfen, ob die Einhaltung des Datenschutzes durch den betreffenden Tool-Anbietenden gewährleistet werden kann (vgl. Art 28 i.V.m. ErwGr 81 DSGVO).
In der Praxis ist für Unternehmen schwer nachzuvollziehen, wie und zu welchen Zwecken die Daten tatsächlich durch die Tool-Anbietenden verarbeitet werden. Hierbei ist zu berücksichtigen, dass ein Kernmerkmal KI-gestützter Tools die dauerhafte Verbesserung durch die andauernde Datenverarbeitung ist. Regelmäßig werden zu diesem Zweck Daten aus verschiedenen Quellen zusammengeführt und unbegrenzt gespeichert. Bei personenbezogenen Daten gelten die Grundsätze der Zweckbindung, Datenminimierung und Speicherbegrenzung (vgl. Art. 5 Abs. 1 lit. b, c und e DSGVO). Daher muss sichergestellt werden, dass sich die erweiterten Verarbeitungszwecke im Rahmen eines KI-Systems mit dem ursprünglichen Erhebungszweck vereinbaren lassen (vgl. Art. 6 Abs. 4 DSGVO). Bei Erledigung der rechtmäßigen Verarbeitungszwecke muss eine Löschung der Daten erfolgen.
Eine weitere Herausforderung für Unternehmen beim Einsatz von KI-Lösungen dürfte der Grundsatz der Transparenz sein, nach dem betroffenen Personen Informationen zur Verarbeitung ihrer Daten bereitgestellt werden müssen. Regelmäßig besteht bei KI-Lösungen keine vollständige Transparenz zur Verarbeitung der Daten, da im Rahmen der gesetzten Ziele durch Entwicklerinnen und Entwickler keine Lösungen vorgegeben, sondern von der KI selbst entwickelt werden. Somit ist der Lösungsansatz einer KI häufig nicht einmal den Toolanbietenden vollständig transparent. Dies macht es für Unternehmen schwierig, die Datenverarbeitung den betroffenen Personen transparent darstellen zu können.
Auch automatisierte Entscheidungsfindungen im Zusammenhang mit künstlicher Intelligenz stellen ein datenschutzrechtliches Problem dar. Nach Art. 22 DSGVO sind Personen grundsätzlich vor automatisierten Entscheidungen geschützt. Aus diesen Gründen werden Unternehmen auch in Zukunft, z.B. bei der Erstellung von Arbeitszeugnissen, Kündigungen oder bei der Durchführung des Bewerbungsprozesses, nicht ohne weiteres vollständig über KI-Lösungen automatisieren können. Der Einsatz von KI-Lösungen im HR-Bereich wird zunächst nicht ohne die zusätzliche menschliche Entscheidungskompetenz auskommen, da andernfalls ein datenschutzrechtlicher Verstoß vorliegen könnte.
Weiterhin müssen zur Einhaltung datenschutzrechtlicher Grundsätze technische und organisatorische Maßnahmen nach den Vorgaben der Art. 25 und 32 DSGVO beim Einsatz von künstlicher Intelligenz herangezogen werden. Datenverarbeitungssysteme sind demnach bereits bei der Entwicklung datenschutzkonform zu gestalten (Privacy By Design, vgl. Art. 25 DSGVO). Aufgrund der beschriebenen Merkmale der KI, müssen die Aspekte schon früh in eine KI-Lösung integriert worden sein, um überhaupt wirksam umgesetzt werden zu können.
Mindestanforderungen zum Einsatz von KI-Anwendungen
Wenn Sie KI-Anwendungen wie ChatGPT in ihrem Unternehmen einsetzen wollen, empfehlen wir die beschriebenen datenschutzrechtlichen Aspekte zu berücksichtigen. Dafür empfiehlt sich z.B. eine unternehmensinterne Richtlinie zum Umgang und Einsatz von ChatGPT zu entwickeln, um einen datenschutzkonformen Umgang der Mitarbeitenden innerhalb des Unternehmens gewährleisten zu können.
Weiterhin sollten vor allem im Beschäftigungskontext keine personenbezogenen Daten in ein KI-basiertes Tool eingegeben werden. Arbeitnehmende gehören zu besonders schutzbedürftigen Betroffenen (vgl. WP 248 Rev. 01 der Art. 29-Gruppe) und sollten daher besonders von der Verarbeitung durch KI-Lösungen, insbesondere ChatGPT, ausgeschlossen werden.
Zusätzlich wird regelmäßig vor dem Einsatz einer KI-Lösung die Durchführung einer Datenschutz-Folgenabschätzung (DSFA) gem. Art. 35 DSGVO erforderlich sein, um alle beschriebenen datenschutzrelevanten Risiken bewerten zu können. Beim Einsatz von KI-Lösungen werden regelmäßig mindestens zwei der zehn Merkmale zur Durchführung der DSFA (vgl. WP 248 Rev. 01 der Art. 29-Gruppe) greifen, z.B. Daten zu schutzbedürftigen Personen, Nutzung neuer technologischer Lösungen und das Zusammenführen von Datensätzen.
Weitere Informationen zu den datenschutzrechtlichen Anforderungen an KI-Lösungen können Sie der Hambacher Erklärung zur künstlichen Intelligenz der Datenschutzkonferenz (DSK) entnehmen. Auch die französische Datenschutzbehörde (CNIL) hat eine Hilfestellung zum Einsatz von KI veröffentlicht.