DSK: Ori­en­tie­rungs­hil­fe Künst­li­che Intelligenz

Die deut­sche Daten­schutz­kon­fe­renz, die Kon­fe­renz der unab­hän­gi­gen Daten­schutz­auf­sichts­be­hör­den des Bun­des und der Län­der, hat eine Ori­en­tie­rungs­hil­fe “Künst­li­che Intel­li­genz und Daten­schutz” ver­öf­fent­licht (Ver­si­on 1.0 vom 6. Mai 2024 – dass die Ori­en­tie­rungs­hil­fe in Zukunft ange­passt wer­den wird, wird aus­drück­lich erwähnt).

Die Ori­en­tie­rungs­hil­fe (OH) kon­zen­triert sich auf Gene­ra­ti­ve AI und adres­siert vor allem die Ver­ant­wort­li­chen, die AI-Anwen­dun­gen ein­set­zen wol­len; ande­re Funk­tio­nen wie Ent­wick­ler, Her­stel­ler und Anbie­ter wer­den nur mit­tel­bar betroffen.

Die OH geht die übli­chen daten­schutz­recht­li­chen Anfor­de­run­gen durch und unter­schei­det dabei im Auf­bau zwi­schen der Kon­zep­ti­on des Ein­sat­zes und der Aus­wahl von KI-Anwendungen, zu ihrer Imple­men­tie­rung und zu ihrer Nut­zung. Die Aus­füh­run­gen über­schnei­den sich aller­dings; man­che Hin­wei­se für die Kon­zep­ti­ons­pha­se betref­fen z.B. eben­so die Nut­zungs­pha­se. Her­vor­zu­he­ben sind fol­gen­de Punkte:

Kon­zep­ti­ons­pha­se

  • Die OH legt das Gewicht hier auf eine Prü­fung, wie und zu wel­chem Zweck das Modell ange­wen­det wer­den soll – die OH rich­tet sich hier also vor allem gegen Blind­flug, viel­leicht aus Neu­gier oder der Hoff­nung auf vage Vor­tei­le. Soweit mög­lich, sol­len Ver­ant­wort­li­che auf die Ver­wen­dung von Per­so­nen­da­ten ver­zich­ten. Weil der Begriff des Per­so­nen­da­tums weit ist, kön­nen Ver­ant­wort­li­che aber nicht vor­ei­lig hof­fen, nicht in den Anwen­dungs­be­reich des Daten­schutz­rechts zu fallen.
  • Bei LLMs weist die DSK dar­auf hin, dass eine Bear­bei­tung von Per­so­nen­da­ten auch dar­in lie­gen kann, dass das Modell selbst Per­so­nen­da­ten ent­hält. Unklar bleibt aller­dings, inwie­fern dies in den Ver­ant­wor­tungs­be­reich des Ver­ant­wort­li­chen fal­len soll.
  • Mit Bezug auf das Trai­ning muss sich der Ver­ant­wort­li­che fra­gen, ob Feh­ler beim Trai­ning eine Aus­wir­kung auf eine eige­ne Daten­be­ar­bei­tung haben können.
  • Eine eige­ne Rechts­grund­la­ge (dazu ver­weist die OH auf ein Papier der Daten­schutz­be­hör­de Baden-Würt­tem­bergs) wäre erfor­der­lich, wenn Per­so­nen­da­ten für Trai­nings­zwecke ver­wen­det wer­den; auch dann, wenn der Ver­ant­wort­li­che ein Fremd­sy­stem nutzt, das durch Ein­ga­ben wei­ter trai­niert wird;
  • Geheim­nis­vor­schrif­ten kön­nen anwend­bar sein;
  • Infor­ma­ti­ons- und Trans­pa­renz­pflich­ten sind zu beach­ten. Soweit eine auto­ma­ti­sier­te Ein­zel­ent­schei­dung erfolgt, muss der Ver­ant­wort­li­che u.a. über die “Logik” der Ent­schei­dung infor­mie­ren. Das bedeu­tet nach der OH eine “Erläu­te­rung der Metho­de der Daten­ver­ar­bei­tung bezo­gen auf die Funk­ti­ons­wei­se des Pro­gramm­ab­laufs im Zusam­men­hang mit der kon­kre­ten Anwen­dung”. Dabei kön­nen “Visua­li­sie­run­gen und inter­ak­ti­ve Tech­ni­ken” hel­fen, “die Kom­ple­xi­tät der Logik auf ein ver­ständ­li­ches Maß her­un­ter zu brechen”;
  • Betrof­fe­nen­rech­te: Ein KI-Modell müs­se in der Lage sein, unrich­ti­ge Per­so­nen­da­ten zu kor­ri­gie­ren, bspw. duch ein Nach­trai­ning oder ein Fine Tuning. Beim Lösch­recht genügt ein Aus­ga­be­fil­ter an sich nicht, aber sie sind immer­hin ein “Bei­trag”.

Imple­men­tie­rung

Für die Imple­men­tie­rungs­pha­se hält die OH u.a. fol­gen­des fest:

  • Der Dritt­an­bie­ter des Systems ist i.d.R. ein Auf­trags­be­ar­bei­ter. Eine gemein­sa­me Ver­ant­wor­tung kommt aber in Betracht, wenn

    eine KI-Anwendung mit unter­schied­li­chen Daten­sät­zen gespeist oder trai­niert oder auf der Platt­form einer Stel­le ihre KI-Anwendung von ande­ren Stel­len zu neu­en KI-Anwendungen wei­ter­ent­wickelt wird. Es ist nicht erfor­der­lich, dass der Ver­ant­wort­li­che tat­säch­lich Zugang zu den ver­ar­bei­te­ten Daten hat, um als gemein­sam Ver­ant­wort­li­cher ein­ge­stuft zu werden.

  • Die Bekannt­ga­be von Per­so­nen­da­ten zwi­schen gemein­sam Ver­ant­wort­li­chen ver­lan­ge eine eige­ne Rechts­grund­la­ge, die­ses Ver­hält­nis ist in die­sem Sin­ne also nicht pri­vi­le­giert (was auch aus der Recht­spre­chung des EuGH hervorgeht).
  • Im inter­nen Ver­hält­nis sol­len Ver­ant­wort­li­che kla­re Regeln vor­ge­ben, wie Mit­ar­bei­ten­de mit KI-Anwen­dun­gen umge­hen sol­len bzw. dür­fen. Zudem sol­len Mit­ar­bei­ten­den dafür eige­ne Arbeits­ge­rä­te und Accounts zur Ver­fü­gung gestellt wer­den, mit nicht-sper­chen­den Accounts (z.B. einer Funktions-Email-Adresse).
  • Bei KI-Anwen­dun­gen sei “viel­fach” eine Daten­schutz-Fol­gen­ab­schät­zung (DSFA) not­wen­dig. Die “black list” der DSK sieht denn auch vor, dass eine DSFA beim Ein­satz von KI zur “Steue­rung der Inter­ak­ti­on mit den Betrof­fe­nen oder zur Bewer­tung per­sön­li­cher Aspek­te der betrof­fe­nen Per­son” zwin­gend ist, wenn dabei Per­so­nen­da­ten bear­bei­tet wer­den (z.B. bei einer Sen­ti­ment Ana­ly­sis eines Call­cen­ters oder ein Chat­bot, der “mit Kun­den durch Kon­ver­sa­ti­on inter­agiert” und für die Bera­tung Per­so­nen­da­ten verwendet).

Ver­wen­dung von KI-Anwendungen

Bei der Nut­zung sol­len Ver­ant­wort­li­che u.a. die Ein­ga­be von Per­so­nen­da­ten auf ein Mini­mum beschrän­ken. Soweit durch eine AI ein Per­so­nen­da­tum gene­riert wird, sei dafür eben­falls eine Rechts­grund­la­ge erfor­der­lich, d.h. wenn der Anwen­der eine Aus­ga­be einer bestimm­ten Per­son zuord­net. Das Bei­spiel der OH ist eine vor­ge­schla­ge­ne Spie­ler­auf­stel­lung für einen Fussballtrainer.

Die Ergeb­nis­se der KI müs­sen sodann auf ihre Rich­tig­keit geprüft wer­den, wenn sie Per­so­nen­be­zug auf­wen­den, und sol­che Ergeb­nis­se dür­fen nicht in dis­kri­mi­nie­ren­der Art und Wei­se ver­wen­det werden.

Behörde

Gebiet

Themen

Ähnliche Beiträge

Newsletter