Seit ChatGPT sind Systeme der künstlichen Intelligenz, kurz: KI-Systeme, in aller Munde. Sobald sie personenbezogene Daten verarbeiten, kommt die DSGVO ins Spiel. Eine Orientierungshilfe der Datenschutzkonferenz (DSK) erläutert, worauf es in Unternehmen ankommt.
Der Personenbezug stellt die Weichen
Auch für KI-Systeme gilt DSGVO nur, wenn personenbezogene Daten verarbeitet werden. Das ist keineswegs immer der Fall. So können KI-Systeme etwa ausschließlich Daten aus Produktionsprozessen auswerten, die keinerlei Bezug zu menschlichem Tun haben. Das gilt etwa, wenn sie mögliche Ausfälle von Motoren erkennen sollen, bevor es zu einem Ausfall kommt. Dabei gilt es allerdings, genau hinzusehen. Denn oft erfassen die Systeme auch Daten der Menschen, die Maschinen bedienen. Dann geht es meist doch an irgendeiner Stelle um personenbezogene Daten.
Eine Gesamtbetrachtung ist notwendig
Um festzustellen, ob personenbezogene Daten im Spiel sind, ist eine Gesamtbetrachtung des KI-Systems notwendig. Dies beginnt mit der Anmeldung, um das System nutzen zu können. Oft ist eine persönliche Anmeldung vorgesehen, um Missbrauch durch Außenstehende zu verhindern. Dies ist völlig in Ordnung. Für diese Daten gilt dann allerdings die DSGVO. Auch die Daten, die in ein KI-System eingegeben werden, können personenbezogen sein. Zwingend ist das allerdings nicht. Die Ausgabedaten sind ebenfalls näher zu beleuchten. In manchen Fällen kann ein KI-System aus nicht personenbezogenen Daten im Ergebnis durchaus personenbezogene Daten generieren.
Manchmal bestehen Gestaltungsmöglichkeiten
Manche KI-Systeme verarbeiten nur wenige personenbezogene Daten und könnten bei genauer Betrachtung durch-aus auch ohne diese Daten auskommen. In solchen Fällen kann es Sinn machen, die Daten mit Personenbezug aus den Eingabedaten „herauszufiltern“ und diese Daten nicht zu verwenden. Eine sorgfältige Dokumentation ist dabei notwendig, mag sie Mitarbeiter auch manchmal „nerven“. Denn immerhin geht es darum, ob die DSGVO zur Anwendung kommt oder nicht.
Geschlossene KI-Systeme sind laut DSK vorzuziehen
Großen Wert legt die DSK auf die Unterscheidung zwischen offenen und geschlossenen KI-Systemen. Diese Diffe-renzierung ist außerhalb des Datenschutzes bisher eher wenig üblich. Ein geschlossenes System in diesem Sinn liegt vor, wenn die Kontrolle über alle Ein- und Ausgabedaten vollständig beim Anwender bleibt. Weitere Bedingung ist, dass der Systemanbieter die Daten nicht zum Training des Systems verwendet. Es geht also darum, dass die verant-wortliche Stelle möglichst vollständig die „Herrin der Daten“ bleibt. Je nach Verwendungszweck des Systems lässt sich das praktisch umsetzen oder auch nicht.
Interne Vorgaben sind unbedingt zu beachten
Beim Einsatz von KI-Systemen herrscht oft eine gewisse Aufbruchsstimmung und das ist auch gut so. Dennoch haben Unternehmen gute Gründe, wenn sie beim Experimentieren mit solchen Systemen gewisse Grenzen setzen. Das kann auch auf Vorgaben des Datenschutzes zurückgehen. So darf ein KI-System Entscheidungen, die rechtliche Wirkungen gegenüber Menschen entfalten, nicht ausschließlich automatisiert treffen. Dies ergibt sich aus Art. 22 Abs. 1 DSGVO.
Das Personalwesen bietet ein lehrreiches Beispiel
Was damit gemeint ist, erläutert die DSK an einem Beispiel aus dem Personalwesen (siehe Randnummer 13 der Orientierungshilfe). Dort könnte jemand auf die Idee kommen, die Auswertung aller eingegangenen Bewerbungen einem KI-System zu überlassen. Ein solches System wäre ohne weiteres imstande, auf der Basis vorgegebener Kri-terien selbst zu entscheiden, wer dann zu einem Vorstellungsgespräch eingeladen wird und wer nicht. Das mag viel-leicht der Traum gestresster Personalstellen sein. Es verstößt jedoch eindeutig gegen die DSGVO. Denn schon wegen möglicher Diskriminierungen ist bereits die Einladung zu einem Vorstellungsgespräch rechtlich relevant.
Im Zweifel sollte man fragen und reden
Angesichts solcher Beispiele ist die Gefahr groß, dass der Datenschutz wie ein „Bremser der KI“ wirkt. Eine solche Sichtweise würde freilich ausblenden, dass nur rechtskonforme KI-Systeme ein Unternehmen voranbringen können. Deshalb gilt: Gerne kreativ sein, aber sich dann dem rechtlichen Realitätscheck stellen! Zeigen sich dabei Hürden, ist eben erneute Kreativität gefragt!
Die Orientierungshilfe ist hier zu finden
Werden Fragen des Datenschutzes bei KI-Systemen selbst auf den Grund gehen will, findet die Orientierungshilfe „Künstliche Intelligenz und Datenschutz“ der DSK vom 6. Mai 2024 hier: https://datenschutzkonferenz-online.de/ori-entierungshilfen.html.