Nachdem wir erst kürzlich unsere neue Beitragsreihe der „KI-Flash“ vorgestellt und hierbei die datenschutzrechtlichen Besonderheiten beim Einsatz von KI aufgezeigt haben, möchten wir Ihnen nunmehr in regelmäßigen Abständen rechtliche Impulse mit auf den Weg geben. Da Zeit in der heutigen Gesellschaft ein rares Gut ist, wollen wir mit unseren „KI-Flash“ gleich auf den Punkt kommen und die rechtlichen Herausforderungen kurz und prägnant zusammenfassen:
Heutiges Thema: Datenschutzrechtliche Rechtsgrundlagen beim Einsatz von KI
Da die DS-GVO ein sog. Verbot mit Erlaubnisvorbehalt statuiert, muss stets die Frage beantwortet werden, auf welcher Grundlage personenbezogene Daten verarbeitet werden dürfen. Was ist aber gerade beim Einsatz von KI zu beachten?
Die Einwilligung als pragmatische Wunderwaffe?
Man mag schnell zu der Schlussfolgerung kommen, dass die Einwilligung gemäß Art. 6 Abs. 1 lit. a), 9 Abs. 2 lit. a) DS-GVO – gerade beim Einsatz von KI – ein geeignetes Mittel zur Verarbeitung personenbezogener Daten darstellt. Was soll insoweit schon schiefgehen?
Neben „klassischen“ rechtlichen Fragestellungen – wie etwa der Freiwilligkeit der Einwilligung (gerade im Beschäftigungsverhältnis) – kommen beim Einsatz von KI einige Stolperfallen hinzu. So muss zunächst darauf geachtet werden, dass eine Einwilligung stets „in informierter Weise“ zu erfolgen hat. Wir hatten in unserem letzten KI-Quickie bereits die Problematik der Intransparenz von KI-Anwendungen aufgezeigt, welche natürlich auch hier maßgeblich zu berücksichtigen ist. Daneben muss auch die Frage aufgeworfen werden, ob die Nutzung der jeweiligen Daten (etwa zum Trainieren der KI) tatsächlich von einer Einwilligung abhängig gemacht werden soll. Ist es etwa sinnvoll, die ggf. drohende Löschung der jeweiligen Daten von der Entscheidung der betroffenen Person abhängig zu machen, insb. wenn noch nicht abschließend absehbar ist, wofür eine trainierte KI mit den (noch) personenbezogenen Daten eingesetzt werden soll? Rechtliche Fragen, die zumindest gründlich zu prüfen sind.
Datenverarbeitung zu Zwecken der Vertragserfüllung
Daneben ist es denkbar, dass die Nutzung einer KI-Anwendung gerade für die Erfüllung eines Vertrages (Art. 6 Abs. 1 lit. b) DS-GVO) mit der betroffenen Person als erforderlich anzusehen ist. Während dies im B2C-Kontext zumindest denkbar ist (etwa im Falle virtueller Sprachassistenten im Kundensupport), wird die Vertragserfüllung – gerade im B2B-Verkehr – nur selten als taugliche Rechtsgrundlage heranzuziehen sein. Neben der stets zu beantwortenden Frage, ob die jeweilige Anwendung tatsächlich für die Vertragserfüllung benötigt wird, wird es sich bei dem jeweiligen Vertragspartner im B2B-Verkehr regelmäßig nicht um die betroffene(n) Person(en) handeln.
Die allseits beliebte Interessenabwägung
In einer Vielzahl der denkbaren Anwendungsfälle wird es daher auf eine zu dokumentierende Interessenabwägung im Sinne des Art. 6 Abs. 1 lit. f) DS-GVO hinauslaufen. Ausdrücklich sei insoweit angemerkt, dass eine Interessenabwägung häufig dadurch „in die richtige Richtung“ gelenkt werden kann, sofern eine besondere Gründlichkeit bei der Auswahl und Implementierung von technischen und organisatorischen Maßnahmen gemäß Art. 32 DS-GVO an den Tag gelegt wird. Ein spannendes Thema, welches einem eigenen KI-Quickie vorbehalten bleibt. Aber Achtung: Bei der Verarbeitung von besonderen Kategorien personenbezogener Daten gemäß Art. 9 Abs. 1 DS-GVO (bspw. Gesundheitsdaten) kann von vornherein nicht auf die Regelung des Art. 6 Abs. 1 lit. f) DS-GVO abgestellt werden. Hier wird man sich wohl oder übel mit den bereits angerissenen Problemen beim Einholen einer Einwilligung auseinanderzusetzen haben.
Daneben sind in Sonderkonstellationen (bspw. im öffentlichen Katastrophenschutz) natürliche weitere Rechtsgrundlagen denkbar, welche vorliegend jedoch nicht weiter vertieft werden sollen.
Zu guter Letzt: Der Zweckbindungsgrundsatz
In praktischer Sicht wird es zudem von besonderer Relevanz sein, bereits bestehende Datensätze zum Trainieren einer KI zu verwenden. Dies steht jedoch in einem Spannungsfeld zum sog. Zweckbindungsgrundsatz in Art. 5 Abs. 1 lit. b) DS-GVO und muss den Anforderungen an eine Zweckänderung (vgl. Art. 6 Abs. 4 DS-GVO) entsprechen.
In unserem nächsten KI-Flash soll es daher um das spannende Themenfeld der Zweckänderung beim Einsatz von KI gehen.