Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat am 06. Mai 2024 die Orientierungshilfe Künstliche Intelligenz (KI) und Datenschutz veröffentlicht.

Künstliche Intelligenz basiert auf Machine Learning. Damit ein Algorithmus selbstständig lernen kann, muss dieser eine große Menge an Daten verarbeiten. Die Systeme nutzen verfügbare Daten und führen diese mit eingegebenen Informationen intelligent zusammen.

Die Orientierungshilfe dient als Leitfaden, um KI-Anwendungen hinsichtlich der datenschutzrechtlichen Erfordernisse auswählen zu können. Bei der Verarbeitung personenbezogener Daten mit KI-Anwendungen bzw. durch KI-Systeme ist genauso wie für Verarbeitungen ohne KI eine Rechtsgrundlage erforderlich.

kiai 1a1280Im Weiteren dürfen Entscheidungen mit rechtlicher Wirkung für eine betroffene Person nicht von der KI-Anwendung, sondern nur von einem Menschen getroffen werden (Art. 22 Abs. 1 DS-GVO / § 24 Abs. 1 KDG). Ergebnisse der KI sollten auf ihre Rechtmäßigkeit überprüft werden. Wird die Rechtmäßigkeit nicht erfüllt (z.B. diskriminierendes Ergebnis), so sollte das Ergebnis nicht verwendet werden. Weiterhin ist zu prüfen, ob bei der Verwendung von Ergebnissen eine Kennzeichnung als KI-generierte Inhalte notwendig ist, um beispielsweise Urheberrechtsverletzungen zu vermeiden.

Falls sich KI-Systeme in Drittstaaten befinden und dorthin eine Datenübermittlung erfolgt, müssen die entsprechenden Regularien zur Drittstaatenübermittlung beachtet werden (Art. 44 ff. DS-GVO / § 39 ff. KDG).

Durch den Einsatz zusätzlicher Systeme, mit denen auch personenbezogener Daten verarbeitet werden, sind u.U. Datenschutzhandbücher, Verfahren und Prozesse anzupassen. Davon betroffen wären z.B. Informationspflichten und Hinweise auf die Rechte der betroffenen Person, der Prozess bei Auskunftsersuchen oder das Löschen von Daten.

Die Orientierungshilfe gibt u.a. auch Hinweise, welche datenschutzrechtlichen Konstellationen es bei der Verantwortlichkeit geben kann. Je nach Anwendungsfall muss ein Vertrag zur Auftragsdatenverarbeitung oder eine Vereinbarung zur gemeinsamen Verantwortlichkeit getroffen werden.

Vor einem Einsatz sollten Organisationen und Einrichtungen Regelungen treffen, wie verfügbare KI-Systeme/-Anwendungen einzusetzen sind. Dabei kann eine Risikoeinschätzung bzw. eine DSFA (Datenschutz-Folgenabschätzung) sich als hilfreich erweisen. In der Orientierungshilfe wird eine Dienstvereinbarung mit dem Betriebsrat (Mitarbeitervertretung) empfohlen.

 

world link Link zur DSK - Orientierungshilfe Künstliche Intelligenz (als PDF)