KI und Datenschutz: Neue Hilfestellungen von Datenschutzaufsichtsbehörden

Künstliche Intelligenz (KI) hält immer mehr Einzug in Unternehmen und Behörden. Der Einsatz von KI-Systemen wirft aber auch viele datenschutzrechtliche Fragen auf.

Die Datenschutzaufsichtsbehörden in Deutschland widmen sich daher verstärkt diesem Themenfeld.

In den vergangenen Monaten haben die Behörden eine Reihe von Publikationen veröffentlicht, die Unternehmen beim datenschutzfreundlicheren Einsatz von KI unterstützen sollen.

Diese neuen Leitfäden und Checklisten geben Orientierung und Hilfestellung.

In diesem Beitrag möchte ich dir einen Überblick über die aktuellen Veröffentlichungen der deutschen und französischen Datenschutzbehörden zum Thema KI vorstellen.

Leitfäden, Checklisten und Diskussionspapiere

Die vorgestellten Publikationen decken verschiedene Aspekte des datenschutzfreundlichen Einsatzes von KI ab. Sie reichen von konkreten Checklisten über Diskussionspapiere zu Rechtsfragen hin zu umfassenden Leitfäden.

Im Folgenden stelle ich dir eine Auswahl dieser Hilfestellungen der Datenschutzbehörden vor. Sie geben einen guten Überblick über die Bandbreite der verfügbaren Materialien.

Ich werde versuchen, die Liste mit neuen Publikationen zu ergänzen 🙃.

Hamburg: Checkliste für Chatbots

Die Datenschutzaufsichtsbehörde Hamburg hat im November 2023 eine Checkliste für den Einsatz von Chatbots auf Basis von Large Language Models (LLMs) wie ChatGPT veröffentlicht.

Die Checkliste gibt Unternehmen und Behörden 15 konkrete Empfehlungen, um die Datenschutz-Risiken beim Einsatz solcher KI-basierten Chatbots zu minimieren.

Zu den zentralen Punkten gehören:

• Interne Nutzungsregeln festlegen
• Datenschutzbeauftragte einbinden
• Funktionsaccounts statt Privataccounts nutzen
• Personenbezogene Daten weder eingeben noch abfragen
• KI-Training und Chatverlauf deaktivieren
• Ergebnisse auf Richtigkeit und Diskriminierung überprüfen
• Beschäftigte für Datenschutzrisiken sensibilisieren

Die Checkliste bietet einen guten ersten Leitfaden, um die neuen Chatbot-Technologien datenschutzfreundlicher einzusetzen. Sie verdeutlicht, dass bereits bei der Nutzung Vorsicht geboten ist und interne Prozesse angepasst werden müssen.

Zur Checkliste zum Einsatz LLM-basierter Chatbots.

Bayern: Infoflyer und Checkliste

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat im Januar 2024 einen Infoflyer sowie eine Checkliste zum Thema KI und Datenschutz veröffentlicht.

Der Infoflyer fasst in acht Punkten die wichtigsten Aspekte für einen datenschutzkonformen Einsatz von KI zusammen. Unter anderem werden die Themen Rechtskonformität, Datenschutz-Folgenabschätzung, Umgang mit KI-Risiken und Schulung der Beschäftigten behandelt.

Die beigefügte Checkliste konkretisiert die Anforderungen in Form einer Liste von Prüfpunkten. Sie deckt die Bereiche Training von KI-Modellen, Risikobewertung und Einsatz von KI-Anwendungen ab. Zu jedem Bereich werden detaillierte Empfehlungen gegeben, z. B. zur Dokumentation, zur Einhaltung der DSGVO und zu technisch-organisatorischen Maßnahmen.

Die Publikationen des BayLDA bieten einen Überblick und Leitfaden für Unternehmen, um KI-Systeme datenschutzkonform einzusetzen. Sie zeigen konkrete Handlungsempfehlungen auf und sensibilisieren für die wichtigsten Risiken.

Zur Checkliste und dem Flyer.

Baden-Württemberg: Diskussionspapier zu Rechtsgrundlagen

Der Landesbeauftragte für den Datenschutz Baden-Württemberg hat im November 2023 ein Diskussionspapier mit dem Titel „Rechtsgrundlagen im Datenschutz beim Einsatz von Künstlicher Intelligenz“ veröffentlicht.

Das Papier befasst sich mit der Frage, welche Rechtsgrundlagen das Datenschutzrecht für die Verarbeitung personenbezogener Daten beim Einsatz von KI-Systemen vorsieht.

Dabei wird auf die Phasen der Datenerhebung, des Trainings, der Bereitstellung und der Nutzung von KI-Systemen eingegangen. Zentral ist die Differenzierung zwischen öffentlichen und nicht-öffentlichen Stellen hinsichtlich der jeweils anwendbaren Rechtsnormen.

Einen Schwerpunkt bilden die Voraussetzungen und Anforderungen an die Einwilligung, die berechtigten Interessen und die Verarbeitung besonderer Kategorien personenbezogener Daten.

Das Diskussionspapier richtet sich an Unternehmen und Behörden in Baden-Württemberg und soll als Arbeitshilfe dienen, um Einsatzszenarien von KI datenschutzrechtlich besser einordnen zu können. Es enthält Checklisten mit Leitfragen.

Insgesamt bietet die Publikation einen Überblick über die relevanten Rechtsgrundlagen beim Einsatz von KI und sensibilisiert für datenschutzrechtliche Fragestellungen.

Zum Diskussionspapier: Rechtsgrundlagen im Datenschutz beim Einsatz von Künstlicher Intelligenz.

Frankreich: Selbstbewertungsleitfaden

Die CNIL hat 2022 einen Leitfaden mit einem Fragenkatalog zur Selbstbewertung von KI-Systemen im Hinblick auf die DSGVO veröffentlicht.

Der Leitfaden besteht aus 7 Factsheets, die sich mit verschiedenen Themen durch die Nutzung von KI befassen:

1. Ziel und Verhältnismäßigkeit der KI-Nutzung
2. Sammlung und Qualifizierung von Trainingsdaten
3. Entwicklung und Training von Algorithmen
4. Einsatz des KI-Systems
5. Sicherheit der Verarbeitung
6. Wahrung der Rechte der betroffenen Personen
7. Einhaltung der rechtlichen Anforderungen

Und eine Sammlung weiterer Leitfäden, Tools und Best Practices.

Die Factsheets enthalten jeweils Fragen und Empfehlungen, anhand derer Unternehmen die Einhaltung der DSGVO durch ihre KI-Systeme selbst überprüfen können.

Der Leitfaden bietet einen Überblick über die datenschutzrechtlich relevanten Aspekte beim Einsatz von KI und soll dabei helfen, diese eigenständig zu bewerten.

Zum Selbstbewertungsleitfaden: Self-assessment guide for artificial intelligence (AI) systems (englisch).

Fazit

Die vorgestellten Veröffentlichungen der Behörden zeigen, dass Datenschutz bei KI ein wachsendes Thema ist. Sie bieten Unternehmen und Behörden Hilfestellungen und Handlungsempfehlungen für den datenschutzfreundlicheren Einsatz von KI-Systemen.