Empfehlungen zu Künstlicher Intelligenz – was sagen Aufsichtsbehörden aktuell zum Einsatz von KI-Lösungen?

Herausforderungen des Datenschutzes beim Einsatz von Künstlicher Intelligenz

Spätestens seit dem Einsatz von Chat GPT ist der Einsatz von Künstlicher Intelligenz in der Mitte der Gesellschaft angekommen. Künstliche Intelligenz (KI) ist längst nicht mehr nur eine futuristische Vision, sondern prägt zunehmend unseren Alltag und hat erhebliche Auswirkungen auf verschiedene Branchen. Aus diesem Grund hatten wir als Bitkom Consult einen News-Artikel zu den datenschutzrechtlichen Anforderungen an KI-Lösungen veröffentlicht. Nun möchten wir gemeinsam mit Ihnen auf aktuelle Empfehlungen der Aufsichtsbehörden schauen.

Checkliste zum Einsatz LLM-basierter Chatbots aus Hamburg

Zunächst ist auf die Checkliste der Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit zum Einsatz LLM-basierter Chatbots hinzuweisen. Als Kernrisken des Einsatzes von KI identifiziert die hamburgische Behörde zum einen den Einsatz der Lösungen in der Cloud, und zum anderen das Risiko unrechtmäßiger Verarbeitungen aufgrund unrichtiger Ergebnisse. Vor diesem Hintergrund hat die Behörde eine Checkliste entwickelt, die Unternehmen als Leitfaden zur datenschutzkonformen Nutzung von Chatbots dienen soll.

Zielbild sollte es demnach sein Compliance-Regelungen im Umgang mit Chatbots aufzustellen. Ohne Regeln besteht das Risiko der unkontrollierten Nutzung. Dazu heißt es in der Checkliste: „Wer keine internen Regelungen vorgibt, ob und wie generative KI im Arbeitsalltag eingesetzt werden darf, kann davon ausgehen, dass sich Beschäftigte und andere Angehörige der Organisationen eigenmächtig und unkontrolliert der neuartigen Hilfsmittel bedienen.“ Darüber hinaus soll unter anderem auf die Nutzung privater Konten verzichtet, keinen personenbezogenen Daten ein- oder ausgegeben, personenbeziehbare Daten vermieden, und die Ergebnisse sorgfältig auf Richtigkeit und Diskrimierung geprüft werden.

Im Ergebnis sollten Unternehmen dringend Regeln im Umgang mit KI-Lösungen aufstellen und Maßnahmen validieren, wie diese bestmöglich eingehalten werden können.

Diskussionspapier zum Datenschutz beim Einsatz von Künstlicher Intelligenz aus Baden-Württemberg

Weiterhin veröffentlichte auch der Landesdatenschutzbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI BW) ein Diskussionspapier, in dem die Verarbeitung personenbezogener Daten beim Einsatz von KI-Lösungen beleuchtet wurde. Ziel des Papiers sei es verantwortliche Stellen bei der Bewertung der Rechtmäßigkeit zu unterstützen. Die Ausführungen beziehen sich dabei auf aktuell geltendes Recht, sprich die europäische Datenschutz-Grundverordnung (DSGVO. Zudem betonte der LfDI-BW, dass es sich bei den Inhalten nicht um finale Festlegungen handelt, sondern viel als „lebendes Dokument“ zu verstehen sei.

Schwerpunkt des Diskussionspapieres ist somit die Bewertung der Rechtsgrundlagen zur Verarbeitung personenbezogener Daten beim Einsatz von KI-Lösungen, unter anderem die Einwilligung, die Erfüllung vertraglicher Pflichten und das berechtigte Interesse. Darüber hinaus umfasst das Papier Ausführungen zur Weiterverarbeitung gem. Art. 6 Abs. 4 DSGVO, zu den datenschutzrechtlichen Verantwortlichkeiten, zu Rechtsgrundlagen der öffentlichen Stellen und zur Verarbeitung besonderer Kategorien gem. Art. 9 DSGVO.

Wir begrüßen die Einschätzung der Behörde und sind gespannt, ob es zukünftig auch auf Bundesebene eine vergleichbare Einschätzung gibt, und ob die Ausführungen des LfDI-BW dafür möglicherweise als Grundlage dienen können. Datenschützerinnen können wir das Papier insbesondere für Erwägungen der Datenschutz-Folgenabschätzung ans Herz legen.

Selbstbewertungsleitfaden für Systeme der künstlichen Intelligenz (KI)

Zuletzt hat auch die französische Datenschutzbehörde (CNIL) einen Selbstbwertungsleitfaden (engl. self-assessment guide) zum Einsatz von KI-Lösungen veröffentlicht. Ähnlich wie das Diskussionspapier des LfDI-BW ist der Leitfaden thematisch breit aufgestellt und listet alle relevanten datenschutzrelevanten Themenbereiche nach geltendem Recht. Damit soll Organisationen ein Analyseraster angeboten werden, mit dem diese selbst den Reifegrad ihrer Systeme für künstliche Intelligenz im Hinblick auf die DSGVO bewerten können. Zudem werden auch bewährte Verfahren aus der Praxis (best practices) beschrieben.

Besonders hervorzuheben, dass die CNIL für alle Themenbereiche neben Erklärungen auch Checklisten vorbereitet hat, die für die Selbstbewertung einer KI-Lösung genutzt werden können. Wir empfehlen daher alle Themenbereiche zu prüfen, und darauf eine eigene Checkliste für die Bewertung zu entwerfen. Nicht alle Themenbereiche werden relevant sein, da beispielsweise viele Unternehmen keine eigene Entwicklung von KI-Lösungen durchführen.

Zusammengefasst