Datenschutz: Was vor dem Einsatz von KI-Diensten zu tun ist

DSFA vor KI-Nutzung: Nicht einfach, aber Pflicht

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) (PDF) nennt neben der Verpflichtung auch die Vorteile einer solchen DSFA vor der Nutzung von KI-Diensten: Die Datenschutz-Folgenabschätzung ist nicht nur das (verpflichtende) Mittel der Wahl, hohen Risiken strukturiert und nachweislich in den Griff zu bekommen – sie dient auch dazu, mehr Vertrauen in den eigenen KI-Einsatz aufzubauen.

Wie aber lassen sich die Risiken einer KI bestimmen? Auch dazu hat das BayLDA wichtige Hinweise: Datenschutzrisiken für die Rechte und Freiheiten natürlicher Personen bei KI-Einsatz ergeben sich, wenn KI-spezifische Schutzziele nicht vollständig erfüllt werden. Beispiele derartiger Schutzziele sind die Transparenz (Information der Betroffenen über Verwendung ihrer Daten beim Training von KI-Modellen; Prüfbarkeit im Sinne der Rechenschaftspflicht), die Verlässlichkeit (Schutz vor absichtlicher Manipulation; Umgang mit Halluzinationen bei Sprachmodellen) und die Fairness (Verhinderung unbeabsichtigter Diskriminierung oder Ungleichbehandlung durch die KI).

Es stellen sich also die Fragen, ob und wie sich solche Schutzziele bei Nutzung einer bestimmten KI-Lösung einhalten lassen, und was passieren kann, wenn dies nicht gelingt.

Aufsichtsbehörden geben Hinweise zu KI-Risiken

Die Datenschutzkonferenz (DSK) hatte schon vor Jahren die Schutzziele bei KI-Einsatz sowie mögliche Fragen zur Einhaltung des jeweiligen Schutzzieles im „Positionspapier der DSK zu empfohlenen technischen und organisatorischen Maßnahmen bei der Entwicklung und dem Betrieb von KI-Systemen“ (PDF) veröffentlicht. Diese Fragen können bei der Risikobestimmung eine Hilfe sein.

Die Datenschutzkonferenz hat nun nochmals nachgelegt und eine Orientierungshilfe mit datenschutzrechtlichen Kriterien für die Auswahl und den datenschutzkonformen Einsatz von KI-Anwendungen veröffentlicht. Die Orientierungshilfe „Künstliche Intelligenz und Datenschutz“ (PDF) richtet sich an Unternehmen, Behörden und andere Organisationen. Im Sinne einer Checkliste dient das Papier als Leitfaden insbesondere für datenschutzrechtlich Verantwortliche, um KI-Anwendungen auszuwählen, zu implementieren und zu nutzen. Die Orientierungshilfe wird künftig weiterentwickelt und an aktuelle Entwicklungen angepasst.

Ob Zweckbestimmung, Transparenzpflichten, Betroffenenrechte oder Richtigkeit von Ergebnissen: Die Orientierungshilfe erörtert – auch anhand von Beispielen – wichtige Kriterien entlang der Vorgaben der Datenschutz-Grundverordnung und zeigt Leitlinien für entsprechende Entscheidungen auf, so die DSK.

Prof. Dr. Dieter Kugelmann, Vorsitzender der Taskforce KI der DSK, erläuterte die Motivation für das Papier: „Wir wissen und erkennen an, dass Unternehmen und Behörden sich aktuell unter Hochdruck mit dem möglichen Einsatz von KI-Anwendungen auseinandersetzen. Allerdings sind in einem hochdynamischen Umfeld tragfähige Bewertungen schwierig“.

Zudem würden wesentliche Fragen zur Nutzung personenbezogener Daten für das Training von KI-Anwendungen von vielen Anbietern nicht transparent beantwortet. Andererseits sollten innovative Lösungen auch mittels KI möglich sein. „In dieser Situation möchten wir gerade kleine und mittlere Unternehmen sowie öffentliche Stellen nicht alleine lassen. Wir wollen ihnen ein Werkzeug an die Hand geben, um ihre Entscheidung informiert zu treffen und ihre datenschutzrechtliche Verantwortung bestmöglich wahrzunehmen“, so Prof. Kugelmann weiter.

Pflicht zur DSFA bleibt, trotz AI Act

Unternehmen sollten die von den Datenschutzaufsichtsbehörden angebotenen Orientierungshilfen nutzen, um die Risiken bei einer geplanten KI-Nutzung besser einschätzen zu können. Dies hilft ohne Zweifel bei der vorgeschriebenen DSFA. Diese wird auch in Zukunft Pflicht sein, auch mit dem AI Act der EU.

„Datenschutzregelungen wie die Datenschutz-Grundverordnung werden mit der KI-Verordnung nicht ersetzt, sondern gelten weiterhin“, betont die Datenschutzaufsicht von NRW. „KI-Anwendungen haben nicht immer mit personenbezogenen Daten zu tun. Wenn aber personenbezogene Daten bei KI-Anwendungen verarbeitet werden, muss das Datenschutzrecht eingehalten werden.“

Es ist also keine temporäre Aufgabe, sich mit den Datenrisiken vor KI-Nutzung zu befassen, sondern die Datenschutz-Folgenabschätzung bleibt als Aufgabe bestehen. Das gilt auch dann, wenn KI-Dienste quasi „durch die Hintertür“ ins Unternehmen kommen. Die Verantwortlichkeit für den Datenschutz besteht auch dann.

Das BayLDA hat dafür auch ein „Datenschutz-Risikomodell“ erläutert: Festlegung und Dokumentation, welche der Schutzziele einer KI-Anwendung für das spezifische Szenario relevant sind. Datenschutzrisiken ergeben sich dann aus der Abweichung eines vollständigen Erreichens der jeweiligen Schutzziele. Eine ausführliche Begründung, falls ein Schutzziel als nicht relevant angesehen wird, darf dann nicht fehlen.

An Hilfen für eine DSFA vor KI-Nutzung mangelt es also nicht, an der Umsetzung jedoch bisher schon.