Praxis Recht - Datenschutz bei künstlicher Intelligenz

Der Handlungsrahmen für den zulässigen Einsatz von KI-Anwendungen folgt aus zahlreichen Vorschriften unterschiedlichster Rechtsbereiche. So sind neben den maßgeblichen Regelungen der europäischen KI-Verordnung u.a. auch das Urheberrecht bei der Verwendung und Erstellung von Bildern und Texten oder der Datenschutz bei der Eingabe personenbezogener Daten zu beachten. Die nachfolgenden Ausführungen beschränken sich auf praxisrelevante Aspekte des Datenschutzes bei der Anwendung von KI-Tools und sind als spezifische Ergänzung bestehender KI-Handreichungen zu verstehen.

Die Nutzung von KI ist für sich genommen nicht datenschutzrelevant. Der Datenschutz ist jedoch dann zu beachten, wenn beim Einsatz von KI personenbezogene Daten verwendet werden. Personenbezogene Daten sind alle Informationen, die Rückschlüsse auf eine lebende Person zulassen (z.B. Name, körperliche Merkmale, finanzielle Verhältnisse, etc.). Solange solche personenbezogenen Daten nicht durch eine KI verarbeitet werden, findet der Datenschutz keine Anwendung. 

Ist es unerlässlich, personenbezogene Daten bei Nutzung einer KI zu verwenden, müssen bestimmte Datenschutzvorgaben beachtet werden. Vor der Einführung einer KI in die Arbeitsprozesse Ihrer Handwerksorganisation sollten Sie stets Ihren Datenschutzbeauftragten einbeziehen, um folgende Aspekte zu prüfen und sicherzustellen. 

• Verantwortlichkeit klären

  Wenn Sie von einer KI personenbezogene Daten verarbeiten lassen wollen, gilt Ihre Handwerksorganisation als verantwortliche Stelle für den Datenschutz. Um Probleme bei der Verantwortungszuweisung zu vermeiden, ist zu raten, KI-Nutzungen für dienstliche Zwecke ausschließlich über dienstliche Geräte zu gestatten und die Verwendung privater Geräte von Beschäftigten ausdrücklich zu untersagen.   

  Wird ein KI-Tool eines Drittanbieters verwendet, muss ein sog. Datenschutz-Auftragsverarbeitungsvertrag (AV) geschlossen werden. Bei großen Anbietern (Microsoft, Apple, etc.) enthalten i.d.R. die Nutzungsbestimmungen bereits die erforderliche AV.
   

   

• Rechtsgrundlage bestimmen

  Die Verarbeitung personenbezogener Daten bedarf immer einer rechtlichen Befugnis. Das kann entweder eine gesetzliche Erlaubnis oder die Einwilligung der betroffenen Personen sein, deren Daten verarbeitet werden. Zu beachten ist, dass sämtliche Schritte der KI-Nutzung einer eigenen Rechtsgrundlage bedürfen. Soll z.B. ein Chatbot für Besucher der Webseite einer Handwerkskammer eingeführt werden, ist jeweils eine Rechtsgrundlage für die vorherige Datensammlung, das Training des Chatbots sowie für die Herausgabe der Chatbot-Antworten an die Webseite-Besucher erforderlich.

  Einwilligungen können z.B. im Zusammenhang mit der Nutzung von Beschäftigtendaten durch den Arbeitgeber erforderlich sein und durch eine Betriebsvereinbarung eingeholt werden. Ebenso kann die Einwilligung von Antragstellern bei KI-unterstütztem Eintragungsverfahren in die Handwerksrolle eingeholt werden.

  Kommt eine Einwilligung aus praktischen Gründen nicht in Betracht (z.B. zu hohe Anzahl betroffener Personen), braucht es eine gesetzliche Nutzungsermächtigung. Als Rechtsgrundlage kann Art. 6 Abs. 1 Buch. f) DSGVO herangezogen werden. Dies gilt auch für öffentlich-rechtliche Handwerksorganisationen, solange die Verwendung einer KI nicht für die Erfüllung gesetzlich-hoheitlicher Aufgaben genutzt wird. 
   

   

• Daten minimieren

  Werden mithilfe von KI personenbezogene Daten verarbeitet, ist stets der Grundsatz der Datenminimierung konsequent anzuwenden und dementsprechend nur zwingend erforderliche Daten zu verwenden. So sind z.B. bei analytischen KI-Tools zur Betriebsberatung i.d.R. Finanz- und Wirtschaftsdaten erforderlich, die Firmenbezeichnung oder der Name des Inhabers sind dagegen für den Nutzungszweck irrelevant.   
   

   

• Technische und organisatorische Maßnahmen (TOMs) ergreifen

  Bei jeder Datennutzung gilt es, durch geeignete TOMs sicherzustellen, Datenschutzvorfällen vorzubeugen und z.B. Datenlacks, den Zugriff Unbefugter oder eine zweckwidrige Datennutzung zu vermeiden. Im Zusammenhang mit KI-Tools sollte insbesondere darauf geachtet werden, dass die KI-Anwendung ausschließlich mit zulässigen (sog. kuratierten) Daten trainiert wurde oder neu eingegebene Daten nicht zum weiteren Training verwendet werden. Dies kann in der Regel mit kostenpflichtigen Pro-Tools gewährleistet werden. 

  Zudem empfiehlt sich die Nutzung von KI-Anwendungen, die ausschließlich in der EU und damit im Geltungsbereich der DSGVO gehostet werden. Hierdurch wird sichergestellt, dass der Hosting-Dienstleister die Anforderungen der DSGVO beachtet.
   

   

• Verbot automatisierter Entscheidungen beachten

  Die DSGVO verbietet in gleicher Weise wie die europäische KI-Verordnung, dass Entscheidungen, die gegenüber einer Person rechtliche Wirkung entfaltet, ausschließlich automatisiert erfolgt. So dürfen Verwaltungsentscheidungen der Handwerkskammern oder rechtlich relevante Empfehlungen der Betriebsberatungen nicht ausschließlich auf einem Ergebnis einer KI-Anwendung erfolgen, sondern bedürfen zumindest einer menschlichen Mitentscheidung. 

Der interne Umgang mit KI sollte in jeder Handwerksorganisation festgelegt werden. Hierzu gehören neben der Bestimmung, welche KI-Tools in welchem Handlungsrahmen und zu welchen Zwecken verwendet werden dürfen, auch Maßgaben zur Wahrung des Datenschutzes. Diese sollten entsprechend der vorherigen Ausführungen und Checkliste folgende Handlungshinweise zum Datenschutz enthalten.

• Vermeidung der Nutzung personenbezogener Daten
• Datenminimierung
• Keine automatisierten Entscheidungen zulassen 

Ein Muster interner Leitlinien finden Sie hier.