Hinweise für Datenschutzbeauftragte „Künstliche Intelligenz“

1.   Verarbeitung personenbezogener Daten mit KI-Systemen

Die Verarbeitung personenbezogener Daten mit KI-Systemen muss immer den Vorschriften der DSGVO entsprechen. Daher sind sowohl die Richtlinien der KI-Verordnung (KI-VO) als auch die der DSGVO zu beachten.

1.1. Beispiele für die Verarbeitung personenbezogener Daten mit KI:

  • Training von KI-Systemen mit Datensätzen, die personenbezogene Daten enthalten.
  • Eingabe personenbezogener Daten in den Prompt eines Sprachmodells.
  • Verwendung eines KI-Systems zur Zusammenfassung von Dokumenten mit personenbezogenen Daten.
  • Auswertung von Gesundheitsdaten in einer Fitness-App mithilfe von KI.

Besonders wichtig ist, dass für jede Datenverarbeitung eine rechtliche Grundlage vorhanden ist. Bei der Verarbeitung besonderer Kategorien personenbezogener Daten gemäß Artikel 9 Absatz 1 DSGVO müssen zusätzliche Anforderungen erfüllt werden.

2.   Automatisierte Einzelfallentscheidungen

Automatisierte Einzelfallentscheidungen, die rechtliche Wirkung entfalten oder die betroffene Person erheblich beeinträchtigen, sind gemäß Artikel 22 DSGVO grundsätzlich verboten. Menschen sollen nicht ausschließlich von Maschinen getroffenen Entscheidungen abhängig sein.

Wenn KI-Systeme in diesem sensiblen Bereich eingesetzt werden sollen, müssen folgende Voraussetzungen erfüllt sein:

  • Es muss eine der Ausnahmen aus Artikel 22 Absatz 2 DSGVO vorliegen.
  • Die Anforderungen aus Artikel 22 Absatz 4 DSGVO müssen bei der Verarbeitung besonderer Kategorien personenbezogener Daten eingehalten werden.
  • Die Transparenzanforderungen aus Artikel 22 Absatz 3 DSGVO sowie gegebenenfalls aus § 31 Bundesdatenschutzgesetz (BDSG) müssen erfüllt werden.

3.   Informationspflichten und Transparenzpflichten

Die Informationspflichten gemäß Artikel 13 und 14 DSGVO sowie die Transparenzpflichten der KI-VO müssen unabhängig voneinander eingehalten werden.

Möglicherweise muss laut Artikel 13 DSGVO über die KI als Empfänger von personenbezogenen Daten informiert werden.

Das KI-System muss im Verzeichnis von Verarbeitungstätigkeiten gemäß Artikel 30 DSGVO aufgeführt werden.

4.   Datenschutz-Folgenabschätzung

Eine Datenschutz-Folgenabschätzung (Artikel 35 DSGVO) ist notwendig, wenn KI-Systeme als „neue Technologie“ eingesetzt werden und ein hohes Risiko für die Rechte und Freiheiten von Personen besteht.

Öffentliche Einrichtungen und private Anbieter öffentlicher Dienste müssen vor dem Einsatz eines KI-Systems möglicherweise auch eine Grundrechte-Folgenabschätzung (Artikel 27 KI-VO) durchführen. Dies gilt insbesondere, wenn KI-Systeme zur Kreditprüfung, Bonitätsbewertung oder Risikoprüfung bei Versicherungen eingesetzt werden sollen.

5.   Auskunftsrecht

Die Rechte der betroffenen Personen nach den Artikeln 12 bis 23 DSGVO stellen für Betreiber von KI-Systemen eine erhebliche Herausforderung dar. Besonders das Auskunftsrecht erfordert aufwändige Prozesse, um sicherzustellen, dass Anfragen korrekt und zeitnah beantwortet werden.

6.   Drittlandtransfer

Werden personenbezogene Daten außerhalb der EU und des EWR verarbeitet, müssen die Anforderungen an die Übermittlung in Drittländer (Artikel 44 ff. DSGVO) eingehalten werden.

Tulos Datenschutz-Pakete, auf die Sie sich verlassen können, Erstgespräch kostenlos