Wenn es um die Verarbeitung von Daten mit Bezug zu einem Menschen geht, dann ist das Datenschutzrecht, allen voran die Datenschutzgrundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG), anwendbar. Soweit, so klar. Auch der Umstand, dass der Begriff der personenbezogenen Daten sehr weitgehend zu verstehen ist, dürfte inzwischen bekannt sein. Denn es geht nicht nur um identifizierte, sondern auch um identifizierbare natürliche Personen (vgl. Art. 4 Nr. 1 DSGVO). Folge dieses sehr weiten Anwendungsbereichs des Datenschutzrechts ist u.a., dass stets eine Rechtsgrundlage für die Datenverarbeitung vorliegen muss. Das gilt ganz allgemein, aber im Besondern auch bei der Nutzung von Künstlicher Intelligenz (KI). Zudem ist hierbei problematisch, dass die Daten, die der KI-Nutzer als Prompt eingibt, in den meisten Fällen auf Server übertragen werden, die sich im Nicht-EU-Ausland befinden. Denn kaum eine KI-Anwendung stammt von Anbietern aus Europa, sondern vor allem aus Asien oder den USA.
Übrigens: Im Zweifel sollte von einem Personenbezug ausgegangen werden. Aber auch dann, wenn im Einzelfall ein solcher fehlen sollte, kann es sich gleichwohl um sensible Daten handeln, beispielsweise um Geschäftsgeheimnisse. Auf diese ist zwar vielleicht nicht die DSGVO anwendbar, dennoch unterliegen sie z.T. eigenen gesetzlichen Regelungen, z.B. dem Geschäftsgeheimnisgesetz (GeschGehG).
Rechtsgrundlage vorhanden?
Es muss folglich eine Rechtsgrundlage für diese Datenverarbeitung und ggf. auch für die Übermittlung der Daten uns vorliegen. Im Zweifel kommt hierfür eine Einwilligung der betroffenen Person in Betracht, es gibt aber auch noch andere denkbare Rechtsgrundlagen (Vertragserfüllung, überwiegende berechtigte Interessen…).
Wenn das genutzte KI-Tool aus einem sog. unsicheren Drittstaat stammt, also etwa aus China, aus Indien oder aus den USA, dann muss der Datentransfer dorthin zusätzlich legitimiert sein. Im Vorfeld müssen insbesondere spezielle Verträge mit dem KI-Anbieter abgeschlossen werden, die sog. Standardvertragsklauseln (engl.: standard contractual clauses, kurz: SCC). Darüber hinaus müssen ggf. auch noch weitere Voraussetzungen erfüllt werden, wie etwa die Verschlüsselung oder die Pseudonymisierung der , gesonderte vertragliche Vereinbarungen mit dem ausländischen Datenempfänger etwa über die Pflicht, ein Herausgabeverlangen seitens staatlicher Ermittlungsbehördengerichtlich überprüfen zu lassen.
Praxistipp:
Wer einen Vertrag per KI erstellen lassen will, der sollte schon aus Gründen der anwaltlichen Verschwiegenheitspflicht, aber auch aufgrund des Datenschutzrechts davon Abstand nehmen, echte Daten zu verwenden. Diese sollten vielmehr gegen Fantasie- oder Platzhalter-Daten ausgetauscht werden. Inhaltlich muss der KI-generierte Vertrag anschließend selbstverständlich auf Korrektheit und Aktualität geprüft werden.
Dokumentation angefertigt?
Wer personenbezogene Daten verarbeitet, sei es mit oder ohne Hilfe von KI-Anwendungen, der muss dies in nachvollziehbarer Weise dokumentieren. So verlangt insbesondere Art. 30 Abs. 1 DSGVO die Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten (VVT). Darin sind alle Verarbeitungstätigkeiten aufzuführen, auch solche mit KI-Unterstützung. Zusätzlich ist das VVT zumindest mit den Pflichtinformationen gem. Art. 30 Abs. 1 DSGVO (z.B. Zwecke der Verarbeitungen, betroffene Personen, verarbeitete Daten, Empfänger) sowie einer Beschreibung der technischen und organisatorischen Maßnahmen (TOMs) zu füllen (Art. 32 DSGVO).
Praxistipp:
Egal, ob eine eingesetzte KI-Anwendung als eigene Verarbeitung festgelegt oder ob sie als „Werkzeug“ für eine bestimmte Verarbeitungstätigkeit definiert wird – sie sollte so oder so ins VVT aufgenommen werden. Hierbei sind insbesondere die damit verarbeiteten Daten und die Verarbeitungszwecke möglichst transparent und nachvollziehbar aufzuführen. Leider sind die meisten derzeit am Markt verfügbaren KI-Anwendungen (noch) „“, so dass niemand außer den Anbietern sagen kann, wie sie genau funktionieren oder was mit den darin verarbeiteten Daten geschieht. Wird die KI mit Hilfe der von ihren Nutzern eingegebenen Daten weiter trainiert? Werden die Daten an Dritte weitergegeben? Wo werden sie wie lange gespeichert? Daher sollte das in der Kanzlei eingesetzte KI-Tool nicht als eigene Verarbeitung, sondern als „Werkzeug“ für eine Verarbeitung (z.B. „Juristische Recherchearbeit“) dokumentiert werden. Genauso wie beispielsweise „Outlook“ keine Verarbeitungstätigkeit, sondern ein „Werkzeug“ für die Verarbeitung E-Mails, Terminen oder Kontakten ist.
Informationspflichten erfüllt?
Nach Art. 13, 14 DSGVO besteht die Verpflichtung, bestimmte Informationen über die eigene Datenverarbeitung pro-aktiv bereitzustellen (z.B. Name, Anschrift und Kontaktdaten, die Zwecke sowie die Rechtsgrundlage der Verarbeitung oder der Hinweis auf die Rechte der Betroffenen). Dies gilt insgesamt für alle Verarbeitungen personenbezogener Datenaber auch beim Einsatz von KI-Tools. Da es sich hierbei um eine noch vergleichsweise neue Technologie handelt und man als Nutzer nur bedingt erfährt, was mit den eingegebenen Daten passiert, sollte man gegenüber den potenziell betroffenen Personen „mit offenen Karten spielen“ und so genau wie möglich über die in der Kanzlei eingesetzten KI-Tools informieren.
Folgen abgeschätzt?
Gemäß Art. 35 DSGVO muss die eine sog. Datenschutz-Folgenabschätzung (DSFA) vornehmen, wenn mit einer (geplanten) Datenverarbeitung voraussichtlich ein hohes Risiko für die Betroffenen, deren Daten verarbeitet werden (sollen), verbunden ist (z.B. Diskriminierung, Identitätsdiebstahl bzw. -betrug, Rufschädigung oder auch finanzielle Verluste). Die DSFA ist ein spezielles Verfahren, bei dessen Durchführung etwaige Risiken identifiziert, bewertet und nach Möglichkeit durch geeignete TOMs reduziert werden sollen. Das Ergebnis einer solchen DSFA ist dann entweder, dass nun zumindest kein hohes Risiko mehr besteht oder dass das Risiko nicht in ausreichender Weise reduziert werden konnte. Im letzteren Fall muss die zuständige Aufsichtsbehörde konsultiert werden (Art. 36 DSGVO).
Praxistipp:
Die Bewertung, ob ein Risiko besteht und ob dieses als „hoch“ im Sinne von Art. 35 Abs. 1 DSGVO einzustufen ist, obliegt Ihnen als datenschutzrechtlich verantwortliche Stelle. Um Ihnen bei dieser Entscheidung zu helfen, stellen die Datenschutzaufsichtsbehörden sog. „Positiv-Listen“ gem. Art. 35 Abs. 4 DSGVO bereit. Die Liste für den nicht-öffentlichen Bereich steht z.B. auf der Website des Bundesdatenschutzbeauftragten zum kostenfreien Download bereit. Auf dieser Liste werden solche Arten von Datenverarbeitungen aufgeführt, die potenziell hohe Risiken aufweisen, so dass hierbei auf jeden Fall eine DSFA durchzuführen ist. Dort werden u.a. Telefongespräch-Auswertungen mittels Algorithmen oder auch Kundensupport mittels künstlicher Intelligenz sowie Big-Data-Analysen aufgeführt. Das führt letztlich dazu, dass vor dem geschäftlichen Einsatz einer KI-Anwendung in aller Regel eine DSFA durchzuführen ist.
Dabei spielt es generell keine Rolle, ob ein Chat-Bot zur Kundenkommunikation auf der eigenen Website eingebunden oder eine KI-Software dazu genutzt werden soll, die Übersetzung von fremdsprachigen Unterlagen, die Umformulierung von Pressemitteilungen oder die Erstellung eines Gratulationsschreibens zum 10-jährigen Mitarbeiterjubiläum übernehmen soll. In jedem Fall können hohe Risiken mit dem KI-Einsatz verbunden sein. Das hängt u.a. vom jeweiligen Einsatzzweck, der Art oder auch der Anzahl verarbeiteten Daten ab. Insbesondere dann, wenn sehr sensible personenbezogenen Daten, z.B. Angaben zur Gesundheit, Religion oder Gewerkschaftszugehörigkeit (vgl. Art. 9 Abs. 1 DSGVO), verarbeitet werden, ist häufig ein hohes Risiko anzunehmen. Das gleiche gilt, wenn besonders viele (auch nicht-sensible) personenbezogene Daten verarbeitet werden (sog. Big Data Analysen).
Checkliste KI & DatenschutzMit Hilfe der nachfolgenden Checkliste lässt sich auf einen Blick erkennen, was bei der Nutzung von KI-Anwendungen aus datenschutzrechtlicher Sicht auf jeden Fall zu beachten ist:
|
