IT-Sicherheit - 28. September 2023

Den Datenschutz beachten

Mit rasanter Geschwindigkeit schreitet die technologische Entwicklung voran. Aktuell dominiert ChatGPT die Medien. Bei aller Euphorie dürfen hier nicht die Interessen von Betroffenen übersehen werden, die vor einem Missbrauch personenbezogener Daten zu schützen sind.

Wie bei der Einführung von Cloud Computing scheint künstliche Intelligenz (KI) die Spitze eines Eisbergs an ökonomischen Interessen, politischen Zielen und technologischen Herausforderungen zu sein. Die Geschwindigkeit der technologischen Entwicklung übersteigt auch hier die politische Handlungsfähigkeit von Gesetzgebern und belastet die Anwenderinnen und Anwender und Betroffenen mit enormen Anforderungen. Der europäische Gesetzgeber versucht ebenso schnell zu reagieren, wie die US-amerikanischen Unternehmen von der Politik in die Pflicht genommen werden, die KI nicht nur zur Mode zu machen, sondern auch die Interessen der Betroffenen vor einem möglichen Missbrauch ihrer persönlichen Daten zu berücksichtigen. Gleichzeitig drängen Angebote auf den Markt und schaffen einen Umsetzungsdruck. Wie kann dieser gemeistert werden, ohne die Chancen durch erhöhte Risiken zu gefährden? Das Recht auf informationelle Selbstbestimmung aller Menschen bestimmt immer noch und zunehmend das rechtsstaatliche Selbstverständnis der technologischen Herausforderungen. Das Datenschutzrecht ist nicht nur das Mittel für IT-Sicherheit, sondern steht für den Erhalt von Menschenrechten auch in einer informationell geprägten elektronischen Kommunikationswelt.

Wer trägt die Verantwortung für KI?

Die bestehende Datenschutz-Grundverordnung (DS-GVO) verpflichtet jede natürliche und juristische Person auf die Einhaltung der gesetzlichen Vorgaben, wenn sie als Verantwortliche über die Zwecke und Mittel der Datenverarbeitung entscheiden. Aber wie kann ein Unternehmen diese Pflichten umsetzen, wenn es keine Informationen über die KI-Funktionalität, deren Herkunft sowie die Verwendung von Nutzungsdaten durch den Hersteller und Betreiber erhält? Solange das anbietende Unternehmen auch Datenverarbeiter ist, wird ein Vertrag zur Auftragsverarbeitung zwischen Anwender und Hersteller benötigt. Und soweit der Betreiber seinen Sitz außerhalb Europas hat, ist auch eine entsprechende gesetzliche Grundlage für die Zulässigkeit der Datenübermittlung der Nutzer außerhalb der Europäischen Union (EU) in einen Staat ohne Angemessenheitsbeschluss erforderlich. Der Vorteil dabei ist schon mit Blick auf ChatGPT zu erkennen. Auf dem IAPP Canada Privacy Symposium 2023 in Toronto hat der kanadische Datenschutzbeauftragte Philippe Dufresne das fehlende US-amerikanische Datenschutzrechtsverständnis für die Aufgaben der Aufsichtsbehörden kritisiert, weil er selbst gerade ein Verfahren gegen ChatGPT führte, da das fälschlicherweise in Europa agierende, als OpenAI bezeichnete Unternehmen seinen Sitz in Kanada hat. Damit trägt nach europäischer Rechtslage der DS-GVO das KI-einsetzende Unternehmen die Verantwortung für die Sicherstellung der Rechtmäßigkeit des von ihm eingesetzten Mittels der Datenverarbeitung – wie auch immer die Marketingbegrifflichkeit zu interpretieren sei.

Rechtsgrundlage für die Datenverarbeitung

Selbst wenn ein Anwender Kenntnis von der Funktionalität der KI und den ihr zugrunde liegenden Daten erhält, wird er als Nutzer dann zum Verantwortlichen auch in Fällen der Anwendung pseudonymisierter oder anonymisierter Daten für eine Nutzung durch einen konkreten Anwender. Werden statistisch belegbare Wahrscheinlichkeiten aus einer Menge von öffentlich zugänglichen Daten genutzt, um eine Foto- oder Sprach-Software an Funktionen einer Mehrheit anzupassen, ist die rechtliche Auswirkung jedenfalls für den Nutzer personenbezogen und damit gesetzlich für jedes Unternehmen mit Sitz oder Kunden in Europa rechtfertigungsbedürftig. Außerdem kann es sich um ein Profiling gemäß Art. 4 Nr. 4 DS-GVO handeln. Als Profiling wird jede Art der automatisierten Verarbeitung personenbezogener Daten definiert, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte zur Arbeitsleistung, wirtschaftlichen Lage, Gesundheit, zu persönlichen Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen. Sollte die KI und deren Nutzungszweck durch den Verwender diese Anforderungen erfüllen, ergeben sich daraus besondere Informationspflichten nach Art. 13 (2) lit. f DS-GVO, Art. 14 (2) lit. g DS-GVO, Art. 15 (1) lit. h DS-GVO sowie ein Widerspruchsrecht des Betroffenen gemäß Art. 21 (1) und (2) DS-GVO sowie ein gesetzliches Verbot gemäß Art. 22 DS-GVO, dem nur in den Fällen von Art. 22 (2) DS-GVO entgangen werden kann. Und damit entstehen auch besondere Anforderungen an die Datenschutzfolgenabschätzung vor Einführung des Verfahrens nach Art. 35 (3) lit. a DS-GVO. Entweder verpflichten also gesetzliche Vorschriften die Verantwortlichen zu vertraglichen Pflichten zwischen Verantwortlichem und Nutzer oder es ist eine freiwillige und aktiv begründete Einwilligung des Betroffenen in Kenntnis der Risiken zwingend erforderlich.

Verfahrensbeschreibung des Verantwortlichen

Die betroffene Person hat das Recht, keiner ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. Dieses gesetzliche Verbot erfordert eine umfassende organisatorische Vorbereitung in den Unternehmen. Ausnahmen von diesem Verbot bestehen, wenn die Entscheidung für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist. Gründe können Rechtsvorschriften der EU oder der Mitgliedstaaten sein, denen der Verantwortliche unterliegt. Diese Rechtsvorschriften müssen angemessene Maßnahmen zur Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person enthalten oder mit ausdrücklicher Einwilligung der betroffenen Person erfolgen.

Was haben die Unternehmen zu leisten?

Der Nachweis zur Einhaltung der gesetzlichen Anforderungen erfolgt bei der Verfahrensbeschreibung gemäß Art. 30 DS-GVO, zur Erfüllung der Informationspflichten des Unternehmens gegenüber den Betroffenen nach Art. 12 bis 21 DS-GVO im Verfahren und zur vertraglichen Einbindung des Dienstleisters als Auftragsverarbeiter nach den Art. 28 oder 26 DS-GVO. Unterstützung hierfür bieten Datenschutzbeauftragte oder Experten in diesem Rechtsgebiet. Das kommende Jahr wird umfangreiche gesetzliche Änderungen auf europäischer und nationaler Ebene mit sich bringen, über die man sich auf dem Laufenden halten sollte.

Zum Autor

KN
Karsten Neumann

Senior Associate und Datenschutzexperte von ECOVIS in Rostock. Er ist Lehrbeauftragter für IT-Recht und Datenschutz, Mitglied der IAPP sowie geschäftsführendes Vorstandsmitglied der EAID e. V. und Landesbeauftragter für Datenschutz in Mecklenburg-Vorpommern a. D.

Weitere Artikel des Autors