Geschrieben am 24.11.2023 von:
Im letzten Beitrag haben wir uns mit urheberrechtlichen Fragestellungen und dem Nutzen von KI-basierten Anwendungen für Social Media beschäftigt. Ein Themenfeld, das bei jeder KI-basierten Anwendung eine Rolle spielt, haben wir bisher außen vor gelassen: das Datenschutzrecht. Doch was hat dieses mit Künstlicher Intelligenz zu tun? Und was müssen Anwender*innen beachten? Dazu möchten wir dir im Folgenden ein paar Einblicke geben.
Durch das Datenschutzrecht wird eine Person in ihrem Recht auf informationelle Selbstbestimmung geschützt. Mit anderen Worten: Das Datenschutzrecht schützt die Person in ihrem Recht, selbst zu bestimmen, ob (und wenn ja welche) Daten von ihr verarbeitet werden und hat zum Ziel, die Rechtmäßigkeit dieser Datenverarbeitung zu sichern. Regelungen in rechtlicher Hinsicht dazu finden sich z.B. in der europäischen Datenschutz-Grundverordnung und dem deutschen Bundesdatenschutzgesetz.
Bei der Nutzung von KI-basierten Anwendungen kommt es zwangsläufig zu umfangreichen Datenverarbeitungen jeglicher Art. Umfasst sind auch sog. personenbezogene Daten, also Daten, durch die eine natürliche Person (z.B. du oder ich) identifiziert ist oder identifizierbar wird. Dies können die IP-Adresse, Performance- und Nutzungsdaten oder Daten wie Namen, Geburtsdaten und Adressdaten sein.
Die Verarbeitung dieser Daten muss rechtmäßig sein. Es muss also ein „Erlaubnisgrund“ vorliegen, die betreffenden Daten zu erheben, zu speichern oder weiterzugeben. Solche „Erlaubnisgründe“ können sein: die Einwilligung, die Vertragserfüllung oder ein berechtigtes Interesse. Hierin liegt der Knackpunkt. Unproblematisch wird man sagen können, dass z.B. die Verarbeitung von IP-Adressen zur Bereitstellung einer internetbasierten KI-Anwendung auf den „Erlaubnisgrund“ der Vertragserfüllung gestützt werden kann. Die Erhebung einer IP-Adresse ist notwendig, damit die Anwendung im Internet mit deinem Endgerät kommunizieren kann. Aber wie ist das bei der Eingabe von personenbezogenen Daten in z.B. generative KI-Systeme? Vor allem, wenn es sich nicht um die eigenen personenbezogenen Daten handelt? Oder bei KI-gestützten Anwendungen zur IT-Sicherheit, wenn diese E-Mails scannen oder Nutzungsdaten erheben und speichern, um Nutzungsprofile mit dem Ziel zu erstellen, Anomalien aufzudecken?
Mit diesen Fragen muss sich vor dem Einsatz von KI-basierten Anwendungen im Unternehmen auseinandergesetzt werden. Die Rechtmäßigkeit der Verarbeitung muss der sog. „Verantwortliche“ im datenschutzrechtlichen Sinne gewährleisten. Je nach KI-Anwendung wird das Unternehmen, das die Anwendung implementiert, als „Verantwortlicher“ zu klassifizieren sein. Somit ist es wichtig, die Funktionen und Wirkungsweise der KI-Anwendung vor ihrem Einsatz zu kennen, um sicherzustellen, dass die Grundsätze des Datenschutzes eingehalten werden. Unabdingbar wird eine Auseinandersetzung mit der Konkurrenz-Software auf dem Markt zu Vergleichszwecken sein. Des Weiteren wird geprüft werden müssen, ob bestimmte Funktionalitäten der Anwendung abgeschaltet werden können, um die Anwendung datenschutzfreundlicher zu machen.
Darüber hinaus ist zu prüfen und zu berücksichtigen, ob Datenübermittlungen stattfinden und wenn ja, in welchem Umfang, betreffend welcher Daten und wohin. Auch diese Übermittlungen stellen Verarbeitungen dar, die im Lichte der Datenschutz-Grundverordnung rechtmäßig sein müssen.
Das waren wie gesagt nur Einblicke in die grundsätzlichen Fragen des Datenschutzes bei dem Einsatz von KI-basierten Anwendungen. Darüber hinaus gibt es noch zahlreiche andere Fragestellungen und Fallgestaltungen, die zu berücksichtigen sind. Gerne bringen wir dir den Komplex „Datenschutz und KI“ in einem persönlichen Gespräch näher und prüfen mit dir gemeinsam, wie du Künstliche Intelligenz in deinem Unternehmen einsetzen kannst. Komm einfach auf uns zu!