Mehrfach ausgezeichnet.

Focus Markenrecht
en

Künstliche Intelligenz und Datenschutz

Ihr Ansprechpartner

ChatGPT, Bing, Virtuelle Assistenten – die Anwendungsbereiche von Künstlicher Intelligenz (KI) nehmen zu. Auch im Kanzleialltag wird KI immer mehr eingesetzt, Stichwort Legal Tech. KI bietet große Chancen, doch sollten Anbieter und Nutzer einige datenschutzrechtliche Aspekte beachten.

LHR Rechtsanwälte unterstützt Sie bei der datenschutzkonformen Einbindung von KI-Anwendungen, bei der Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten (VVT), der Datenschutz-Folgenabschätzung (DFA), bei Standardvertragsklauseln und Auftragsdatenverarbeitungsverträgen sowie bei der Vorbereitung auf die neue KI-Verordnung der Europäischen Union.

Künstliche Intelligenz

Künstliche Intelligenz gibt es in den unterschiedlichsten Bereichen, z. B.

  • Bilderkennung, z. B. in der medizinischen Diagnostik
  • Spracherkennung/Sprachassistenzsysteme, Chatbots
  • Autonomes Fahren
  • Mustererkennung, Prozessoptimierung
  • Biometrische Gesichtserkennung
  • Automatisierte Kennzeichenerfassung
  • Profiling, Scoring, Risikobewertung
  • Big-Data-Analyse mit Hilfe von KI

In Kanzleien dienen KI-Systeme der Dokumentenklassifikation und Ablageorganisation und der Zuordnung und Automatisierung von Vorgängen. Ebenso findet KI Anwendung bei der Dokumentenrecherche und -analyse und der Erstellung von Dokumenten und Schriftsätzen.

Grundsätze / Standpunkt der Datenschutzbehörden

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder hat die „Hambacher Erklärung zur Künstlichen Intelligenz“ mit sieben datenschutzrechtlichen Anforderungen verabschiedet. Zu diesen gehört, dass KI die Menschenwürde (Art. 1 Abs. 1 GG, Art. 1 Grundrechtecharta) gewährleisten muss und Menschen nicht zum Objekt machen darf. KI muss transparent, nachvollziehbar und erklärbar sein. Die Hambacher Erklärung verlangt eine transparente Verarbeitung durch KI, bei der „die Informationen über den Prozess der Verarbeitung“ und gegebenenfalls verwendete Trainingsdaten „leicht zugänglich und verständlich sind“. KI-Entscheidungen müssen „nachvollziehbar und erklärbar“ sein „im Hinblick auf die Prozesse und das Zustandekommen von Entscheidungen“. Über die verwendete KI-Logik ist „ausreichend aufzuklären“, so die Hambacher Erklärung. Darüber hinaus darf KI nicht diskriminieren. Auch für KI-Systeme gilt der Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO).

Eröffnung des DSGVO-Anwendungsbereichs

Sobald im Rahmen eines KI-Systems personenbezogene Daten verarbeitet werden, findet die DSGVO Anwendung. Daten sind nach Art. 4 Nr. 1 DSGVO dann personenbezogen, wenn sie sich „auf eine identifizierte oder identifizierbare natürliche Person“ beziehen. Dies kann beispielsweise über einen Namen, eine Kundennummer oder ähnliches geschehen. Dabei spielt es zunächst keine Rolle, ob es um Kunden- oder Mitarbeiterdaten geht.

Wird KI lediglich eingesetzt, um zum Beispiel Texte, Bilder oder Programmiercode zu generieren, dann ist weder ein Personenbezug gegeben noch der Anwendungsbereich der DSGVO nach Art. 2 Abs. 1 DSGVO eröffnet.

KI und Datenschutz im Business

Geschäftsgeheimnisse

KI kann den Schutz von Geschäftsgeheimnissen berühren. Wer ein Geschäftsgeheimnis, über das er verfügt, z. B. bei ChatGPT promptet , gibt ein Geschäftsgeheimnis preis. Nach § 4 Abs. 2 Nr. 3 des Gesetzes zum Schutz von Geschäftsgeheimnissen (GeschGehG) darf ein Geschäftsgeheimnis nicht offenlegen, wer „gegen eine Verpflichtung verstößt, das Geschäftsgeheimnis nicht offenzulegen“. Wer entgegen § 4 Abs. 2 Nr. 3 GeschGehG als Unternehmensmitarbeiter ein Geschäftsgeheimnis offenlegt, wird nach § 23 Abs. 1 Nr. 3 GeschGehG mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft, wenn dies zugunsten eines Dritten erfolgt. Da der ChatGPT-Anbieter OpenAI eingegebene Daten bekanntlich für maschinelles Lernen nutzt, erfolgt eine Preisgabe eines Geschäftsgeheimnisses über eine Eingabe bei ChatGPT zugunsten eines Dritten.

Berufsgeheimnis

Die Nutzung von ChatGPT, Google Bard oder vergleichbaren Anwendungen kann auch das Berufsgeheimnis berühren. Rechtsanwälte sind nach § 43a Abs. 2 Bundesrechtsanwaltsordnung (BRAO) zur Verschwiegenheit verpflichtet. Zwar darf nach § 43e Abs. 1 BRAO ein Rechtsanwalt Dienstleistern „den Zugang zu Tatsachen“ eröffnen, auf die sich die Verschwiegenheit bezieht, „soweit dies für die Inanspruchnahme der Dienstleistung erforderlich ist“. Nach § 43e Abs. 2 Satz 1 BRAO ist der Rechtsanwalt, aber auch verpflichtet, „den Dienstleister sorgfältig auszuwählen“. Bei einem Produkt wie ChatGPT, bei der das sogenannte ‚Blackbox‘-Problem besteht bzw. nicht transparent ist, welche Daten wie verarbeitet werden und wer möglicherweise Empfänger von personenbezogenen Daten sind, steht in Frage, ob diese geeignet ist, der Verschwiegenheitspflicht genüge zu tun. Daher dürfte es jedenfalls nur mit Einwilligung des Mandanten möglich sein, personenbezogene Daten eines Mandanten durch eine Anwendung wie z. B. ChatGPT verarbeiten zu lassen.

KI und Datenschutz im Betrieb

Arbeitsrecht

Arbeitsrechtlich kann die Nutzung von KI ganz oder beschränkt erlaubt werden. Ein Arbeitgeber kann Arbeitnehmern untersagen, KI zu betrieblichen Zwecken zu nutzen. In der Datenschutzverpflichtung für Mitarbeiter kann der Gebrauch von KI eigens und detailliert geregelt werden.

Mitarbeiterdatenschutz

Geht es um den Einsatz von KI-Tools, die Mitarbeiterinnen und Mitarbeiter überwachen, muss der Betriebsrat zustimmen. Der Betriebsrat hat nach § 87 Abs. 1 Nr. 6 das Recht, mitzubestimmen bei der „Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen“.

Das Bundesarbeitsgericht hat entschieden, dass eine „vom Arbeitgeber betriebene Facebookseite, die es den Nutzern von Facebook ermöglicht, über die Funktion ‚Besucher-Beiträge‘ Postings zum Verhalten und zur Leistung der beschäftigten Arbeitnehmer einzustellen“ eine technische Einrichtung im Sinne dieser Vorschrift darstellt (BAG, Beschluss vom 13.12.2016, Az. 1 ABR 7/15).

Rechtsgrundlagen für die Verarbeitung

Wenn mit Hilfe von KI personenbezogene Daten verarbeitet werden, bedarf es einer Rechtsgrundlage. In Betracht kommt hier in erster Linie eine Verarbeitung auf der Grundlage von Art. 6 Abs. 1 lit. a DSGVO. Hierzu bedarf es einer Einwilligung der betroffenen Person in die Verarbeitung ihrer personenbezogenen Daten für einen oder mehrere bestimmte Zwecke. Der Zweck muss bei einem KI-System aber nicht unbedingt vollständig feststehen und nicht begrenzt sein. Bei einem sich selbst weiterentwickelnden KI-System können sich Zwecke außerdem ändern. Daher kann die Einholung einer wirksamen Einwilligung bei KI-Systemen unter Umständen rechtliche Schwierigkeiten bereiten.

Bei einer KI-Anwendung, bei der der Kern die KI darstellt und die ohne KI gar nicht denkbar wäre (beispielsweise ein Produkt wie Amazons Alexa), kann die Verarbeitung sicherlich auf Art. 6 Abs. 1 lit. b DSGVO gestützt werden. Danach ist die Verarbeitung zulässig, wenn sie zur Erfüllung eines Vertrages erforderlich ist.

Eine Verarbeitung kann auch nach Art. 6 Abs. 1 lit. f DSGVO erfolgen. Danach ist die Verarbeitung zulässig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist. Allerdings dürfen dabei die Interessen oder Grundrechte des Betroffenen nicht überwiegen. Dies als Verantwortlicher zu beurteilen und sicherzustellen kann sich bei KI-Systemen herausfordernd gestalten, da zum Teil nicht klar ist, was mit den Daten genau geschieht und wie sich dies auf die Interessen des Betroffenen auswirken kann.

Ferner ist der Grundsatz der Zweckbindung (Art. 5 Abs. 1 lit. b DSGVO) zu beachten. Zweckänderungen sind durch Art. 6 Abs. 4 DSGVO Grenzen gesetzt. Möglicherweise hinzukommende, erweiterte Verarbeitungszwecke der KI müssen außerdem mit dem ursprünglichen Erhebungszweck vereinbar sein.

Verantwortlichkeit und Auftragsverarbeitung

Auch wenn eine KI fast agieren kann wie eine eigene Persönlichkeit, braucht eine KI einen Verantwortlichen im Sinne der DSGVO, da sie keine eigene Rechtspersönlichkeit besitzt. Als Verantwortlicher in Betracht kommt die natürliche oder juristische Person hinter der KI. Diese ist beim Einsatz von KI-Tools nach Art. 5 Abs. 2 DSGVO dafür verantwortlich, dass die Grundsätze für die Verarbeitung personenbezogener Daten in Art. 5 Abs. 1 DSGVO sowie die Betroffenenrechte (Art. 12 ff. DSGVO) eingehalten werden. Gegen den Verantwortlichen richten sich auch mögliche Bußgelder und Schadenersatzansprüche.

Beim Einsatz von KI ist unter Umständen, was die Verantwortlichkeit betrifft, weiter zu differenzieren. Bei ChatGPT beispielsweise ist der Anbieter OpenAI der Verantwortliche für die Anwendung selbst.

Ein Nutzer einer KI-Anwendung, der personenbezogene Daten eingibt – ganz gleich, ob eine natürliche oder juristische Person, ob Privatperson oder Mitarbeiter – ist in Bezug auf diese Daten als Verantwortlicher anzusehen. Denn diese Person legt auch die Zwecke der und die Mittel zur Verarbeitung fest. Die Verantwortlichkeit erstreckt sich dabei nicht allein auf die Eingabe, sondern bereits auf die Bereitstellung der Daten für die Eingabe und auch auf die Verwendung des späteren Daten-Outputs der KI-Anwendung. Der KI-Anbieter ist in diesem Fall Auftragsdatenverarbeiter im Sinne von Art. 4 Nr. 8 DSGVO.

Geht es jedoch darum, wie der KI-Chatbot eingegebene personenbezogene Daten anschließend weiternutzt, etwa durch Abgleich mit anderen Daten, dann kann die Verantwortlichkeit auseinanderfallen: Der Nutzer ist für die eingegebenen Daten verantwortlich, der KI-Anbieter für das, was anschließend mit den Daten geschieht.

Von Bedeutung bei der Verantwortlichkeit ist, ob die Verarbeitung von Daten mit KI nur lokal beim Nutzer erfolgt oder ob personenbezogene Daten zum Anbieter der KI-Lösung übermittelt werden. Ist Letzteres der Fall, ist der KI-Anbieter nur dann zusätzlich zum Nutzer Verantwortlicher, wenn er Zwecke verfolgt, die über den bloßen Betrieb des KI-Systems hinausgehen, zum Beispiel, um das System zu verbessern oder Daten zu verkaufen.

Wenn der Nutzer und der KI-Anbieter gemeinsam die Zwecke der Verarbeitung festlegen, dann sind sie gemeinsame Verantwortliche im Sinne von Art. 26 DSGVO.

Privacy by Design und Privacy by Default / TOM

Auch dann, wenn KI zum Einsatz kommt, gilt der Grundsatz Datenschutz durch Technikgestaltung („Privacy by Design“). Dieser in Art. 25 Abs. 1 DSGVO festgehaltene Grundsatz beinhaltet, dass bereits zum Zeitpunkt der Festlegung der Mittel der Verarbeitung diese so ausgelegt ist, dass Datenschutzgrundsätze wie etwa Datenminimierung möglichst wirksam umgesetzt sind.

In Art. 25 Abs. 2 DSGVO ist der Grundsatz Datenschutz durch datenschutzfreundliche Voreinstellungen („Privacy by Default“) verankert. Danach hat der Verantwortliche bei KI-Systemen geeignete technische und organisatorische Maßnahmen (TOM) zu treffen, „die sicherstellen, dass durch Voreinstellung nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden“. Dies gilt für die Menge der erhobenen personenbezogenen Daten, den Umfang der Verarbeitung, die Speicherdauer und die Zugänglichkeit der Daten. Beispiele für derartige technische und organisatorische Maßnahmen sind die Anonymisierung, Pseudonymisierung und Verschlüsselung von Daten oder die Zutrittskontrolle.

Informationspflichten / Verzeichnis von Verarbeitungstätigkeiten

Werden personenbezogener Daten mit Hilfe von KI verarbeitet, muss die Datenschutzerklärung des Verantwortlichen darüber aufklären. Setzt eine Firma zum Beispiel einen Dienst wie ChatGPT ein, dann muss dies in der Datenschutzerklärung Erwähnung finden, falls der Diensteanbieter von ChatGPT, die Firma OpenAI, ein Empfänger von personenbezogenen Daten des Betroffenen ist.

Die in Art. 13 DSGVO vorgesehenen Informationspflichten gelten auch und insbesondere, wenn eine KI personenbezogene Daten bei der betroffenen Person erhebt. Werden die Daten bei Dritten erhoben, gilt Art. 14 DSGVO.

Außerdem schreibt Art. 30 DSGVO vor, dass der Verantwortliche ein Verzeichnis von Verarbeitungstätigkeiten, die seiner Zuständigkeit unterliegen, zu führen hat. Das VVT muss Angaben zu den Zwecken der Verarbeitung, zu den Kategorien personenbezogener Daten und zu vorgesehenen Löschfristen enthalten. Auch müssen darin Empfänger, gegenüber denen die personenbezogenen Daten offengelegt werden, und Übermittlungen an ein Drittland offengelegt werden. Die Pflicht zur Führung eines VVT gilt nicht, wenn das Unternehmen weniger als 250 Mitarbeiter beschäftigt.

Datenschutz-Folgenabschätzung (DFA)

KI ist eine neue Technologie, die ein Risiko für die Rechte von Betroffenen bergen kann. Daher muss nach Art. 35 Abs. 1 Satz 1 DSGVO beim Einsatz von KI eine DFA vorgenommen werden. Hierbei muss „eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten“ erfolgen. Bei automatisierter Verarbeitung, bei Profiling und bei Big-Data-Systemen ist stets eine DFA erforderlich (Art. 35 Abs. 3 DSGVO).

Datentransfer in EU-Drittstaaten (TIA, SCC, TADPF)

Werden unter Nutzung von KI personenbezogene Daten an ein Drittland übermittelt und dort verarbeitet, ist Art. 44 DSGVO zu beachten. Erfolgt die Übermittlung an einen nicht sicheren Drittstaat, müssen im Fall einer Auftragsverarbeitung sogenannte Transfer Impact Assessments (TIA) durchgeführt und Standard Contractual Clauses (SCC) genannte Standardvertragsklauseln abgeschlossen werden. Darin verpflichtet sich der Anbieter im Drittstaat, bei der Verarbeitung der Daten das EU-Datenschutzniveau einzuhalten. Die USA gelten seit dem Abschluss des Trans-Atlantic Data Privacy Framework (TADPF) als sicherer Drittstaat .

Betroffenenrechte

Auch wenn KI im Spiel ist, stehen Betroffenen die regulären Betroffenenrechte nach der DSGVO zu, konkret das Recht auf Auskunft (Art. 15), Recht auf Berichtigung (Art. 16), Recht auf Löschung (Art. 17) und das Recht auf Einschränkung der Verarbeitung (Art. 18).

Besondere Kategorien personenbezogener Daten

Spezielle Regelungen gelten bei der Verarbeitung personenbezogener Daten, aus denen die ethnische Herkunft, die politische Meinung oder religiöse/weltanschauliche Überzeugung hervorgeht sowie bei der Verarbeitung von genetischen und biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, bei Gesundheitsdaten oder Daten zum Sexualleben oder zur sexuellen Orientierung einer natürlichen Person. Deren Verarbeitung ist nämlich grundsätzlich untersagt, es sei denn, es liegt einer der in Art. 9 Abs. 2 DSGVO vorgesehenen Ausnahmetatbestand vor, wozu auch die Einwilligung der betroffenen Person zählt.

Die Ausnahmetatbestände in Art. 9 Abs. 2 DSGVO (‚Verarbeitung besonderer Kategorien personenbezogener Daten‘) sind anders gefasst als die in Art. 6 Abs. 1 DSGVO (‚Rechtmäßigkeit der Verarbeitung‘). Eine Verarbeitung aufgrund von Vertrag ist bei besonderen Kategorien personenbezogener Arten nicht vorgesehen. Wohl aber eine Verarbeitung, wenn die betroffene Person die Daten offensichtlich öffentlich gemacht hat. Daneben ist die Verarbeitung zulässig aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit sowie aus Gründen eines erheblichen öffentlichen Interesses.

Art. 35 Abs. 3 lit. b DSGVO sieht vor, dass eine DFA Pflicht ist, wenn eine „umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten“ stattfindet. Ein Beispiel hierfür ist eine Big-Data-Anwendung, die im großen Stil Gesundheitsdaten verarbeitet.

Verbot automatisierter Entscheidungen im Einzelfall

Nach Art. 22 Abs. 1 DSGVO hat die betroffene Person das Recht, „nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt“. Ein Beispiel hierfür ist eine KI-gestützte Prüfung, bei der KI entscheidet, ob jemand auf Rechnung kaufen darf, einen Kredit erhält oder einen Job bekommt.

Eine Ausnahme von der Regelung sieht Art. 22 Abs. 2 DSGVO nur dort vor, wo die Person ausdrücklich einwilligt, die Entscheidung für den Abschluss oder die Erfüllung eines Vertrages zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist oder dies aufgrund von Rechtsvorschriften der Union oder von Mitgliedstaaten, denen der Verantwortliche unterliegen muss, zulässig ist.

Wenn also im Rahmen eines KI-Systems personenbezogene Daten automatisiert verarbeitet werden, darf auf eine solche Verarbeitung keine Entscheidung gestützt werden, die rechtliche Wirkung entfaltet. Es sei denn, der Betroffene willigt ausdrücklich ein. Falls der Betroffene von einer automatisierten Entscheidung im Einzelfall betroffen ist, muss er darüber informiert werden.

Kontaktieren Sie uns gerne, wenn Sie rechtliche Fragen zum Thema „KI und Datenschutz“ oder zur neuen KI-Verordnung haben!

Praxishandbuch Anspruchsdurchsetzung im Wettbewerbsrecht

2., vollständig überarbeitete und aktualisierte Auflage

Chronologisch aufgebaut, differenzierte Gliederung, zahlreiche Querverweise und, ganz neu: Umfangreiche Praxishinweise zu jeder Prozesssituation.

Mehr erfahren

Praxishandbuch Anspruchsdurchsetzung im Wettbewerbsrecht