KI-Recht und Datenschutz: Rechtssichere Nutzung Künstlicher Intelligenz

Im August 2024 sind erstmalig EU-weit geltende Vorschriften in Bezug auf den Einsatz und die Anwendung von künstlicher Intelligenz (KI) in Kraft getreten. Durch die sogenannte KI-Verordnung (AI Act) soll die gewissenhafte Entwicklung und Nutzung künstlicher Intelligenz ermöglicht werden. Besonders relevant sind in diesen Zusammenhang die mit der Nutzung einer KI verbundenen Risiken. So wird durch die KI-Verordnung eine Klassifizierung in vier Risikostufen vorgenommen: Minimales, begrenztes, hohes und unannehmbares Risiko.

Ob zur Ermöglichung eines schnellen Kundenkontakts, zur Datenanalyse oder zur Unterstützung innerbetrieblichen Entscheidungen – Unternehmen unterschiedlichster Branchen setzen KI-basierte Technologien bzw. Systeme immer häufiger ein. Mit der Vielzahl an Anwendungsfällen gehen jedoch auch vielfältige rechtliche Herausforderungen einher. Oftmals werden bei der Anwendung solcher Systeme personenbezogene Daten verarbeitet. Daher ist neben haftungsrechtlichen und urheberrechtlichen Aspekten vor allem der Datenschutz von hoher Relevanz.

Die Eingliederung von KI-Systemen in die bereits genannten vier Risikostufen ist insbesondere für Unternehmen, die KI-Systeme nutzen wollen, relevant. Durch diese Kategorisierung wird es Unternehmen vor der Implementierung eines KI-Systems erleichtert, die mit diesem einhergehenden Risiko einzuschätzen und entsprechende Maßnahmen zu ergreifen. Durch die Aufteilung in vier Kategorien ist nun ersichtlich, welche Anforderungen an KI-Systeme der jeweiligen Stufen zu stellen sind. So sind z. B. KI-Systeme, die ein unannehmbares Risiko darstellen, gem. Art. 5 KI-VO verboten.

Die KI-Verordnung (AI Act) enthält umfassende Regelungen zum Umgang mit Künstlicher Intelligenz, um einerseits die Rechte der EU-Bürger zu wahren und andererseits Unternehmen einen rechtssicheren Umgang mit auf Künstlicher Intelligenz basierenden Systemen zu ermöglichen. Denn die Anwendung künstlicher Intelligenz geht mit einigen Datenschutzrisiken einher:

• Verstoß gegen die DSGVO: Bei der Nutzung einer KI werden eine Menge Daten erhoben und verarbeitet. Dabei kann es sich auch um personenbezogene Daten handeln, die nach der DSGVO besonders zu schützen sind. Die Verarbeitung solcher Daten und Informationen ist nur dann rechtmäßig, wenn eine der in Art. 6 DSGVO aufgelisteten Bedingungen erfüllt ist. Liegt eine solche Rechtsgrundlage nicht zum Zeitpunkt der Verarbeitung vor, führt dies zu datenschutz- und persönlichkeitsrechtlichen Verstößen.
• „Black Box“ und Intransparenz: Bei der Künstlichen Intelligenz handelt es sich um eine Technologie, die mithilfe von Algorithmen und der Analyse der zur Verfügung gestellten Daten Zusammenhänge selbstständig erkennt und automatisierte Entscheidungen trifft bzw. Handlungsempfehlungen entwickelt. Die Funktionsweise solcher Systeme ist jedoch oft so komplex, dass sie nicht mehr nachvollziehbar ist – selbst für die Entwickler. In vielen Fällen lässt sich nicht genau rekonstruieren, wie eine bestimmte Entscheidung zustande gekommen ist. Für den Nutzer ist daher nicht ersichtlich, ob die Aussage der KI letztlich korrekt ist.
• Diskriminierung: Auch können KI-Systeme diskriminierende Entscheidungen treffen. Selbst, wenn durch die vorgegebenen Daten eine Diskriminierung ausdrücklich untersagt wird, kann es dennoch zu einer solchen kommen. So etwa bei Bewerbungsverfahren, in denen eine Vorauswahl durch eine KI getroffen wird.

Wie bereits erwähnt, werden bestimmte Anwendungen durch die KI-Verordnung gänzlich verboten, andere wiederum mit der Einhaltung spezieller Anforderungen verbunden. So werden teilweise strenge Anforderungen wie etwa die Durchführung einer Risikoanalyse und der menschlichen Überwachung gestellt. Andere Systeme unterliegen lediglich der Transparenz- und Informationspflicht.

Unternehmen, die Künstliche Intelligenz nutzen möchten, sollten sich vorab mit Fragen zur Zulässigkeit, zu den einzuhaltenden datenschutzrechtlichen und organisatorischen Anforderungen sowie zu den Risiken und der Verantwortlichkeit auseinandersetzen. Unser Team klärt sie in diesem Zusammenhang gerne über die einschlägigen rechtlichen Anforderungen und Pflichten auf und unterstützt Ihr Unternehmen dabei, sich rechtssicher aufzustellen.

Sollte Ihr Unternehmen bereits jetzt in bestimmten Bereichen Technologien oder Systeme mit Künstlicher Intelligenz einsetzen, müssen die Regelungen der Datenschutz-Grundverordnung (DSGVO) eingehalten werden. Dabei müssen insbesondere die Grundsätze der DSGVO beachtet werden. Dazu gehören unter anderem:

• Transparenz: Wenn ein Unternehmen personenbezogene Daten erhebt und verarbeitet, ist dieses dazu verpflichtet, offenzulegen, wie und aus welchem Grund es die Daten speichert. Dies muss dem Betroffenen auf nachvollziehbare Weise vermittelt werden (Art. 5 Abs. 1 lit. a DSGVO), etwa durch die Datenschutzerklärung.
• Rechtmäßigkeit: Die Erhebung, Speicherung und Verarbeitung personenbezogener Daten müssen auf einer rechtlichen Grundlage beruhen. In Art. 6 DSGVO sind dazu mehrere Grundlagen aufgelistet. So muss das Unternehmern angeben, dass die Datenverarbeitung zum Beispiel zur Erfüllung eines Vertrags oder aufgrund der durch den Betroffenen abgegebene Zustimmung erfolgt.
• Zweckbindung: Außerdem müssen die personenbezogenen Daten für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesem Zweck nicht vereinbarenden Weise weiterverarbeitet werden, Art. 5 Abs. 1 lit. b DSGVO. So wird sichergestellt, dass die Daten nicht missbraucht werden. Sollte ein Unternehmen bereits erhobene Daten nun für einen anderen Zweck nutzen wollen, bedarf es einer erneuten Zustimmung durch diesen.
• Datenminimierung: Im Weiteren müssen personenbezogene Daten gem. Art. 5 Abs. 1 lit. c DSGVO dem Zweck angemessen und erheblich sein sowie auf das für den Zweck der Verarbeitung notwendige Maß beschränkt werden. Über den Zweck hinausgehende Daten dürfen demnach nicht gespeichert werden. Um dies sicherzustellen, bedarf es einer regelmäßigen Überprüfung.
• Speicherbegrenzung: Werden die Daten entsprechend den oben genannten Anforderungen gespeichert, ist außerdem zu beachten, dass die Speicherdauer begrenzt ist. So müssen die Daten gem. Art. 5 Abs. 1 lit. e DSGVO in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Verarbeitungszwecke erforderlich ist.
• Richtigkeit der Daten: Auch müssen die erhobenen Daten sachlich richtig und auf dem aktuellen Stand sein, vgl. Art. 5 Abs. 1 lit. d DSGVO. Ist dies nicht der Fall, sind Maßnahmen zu ergreifen, durch die eine Korrektur vorgenommen wird oder die Daten gelöscht werden. Auch hier ist das Unternehmen dazu angehalten, regelmäßige Überprüfungen durchzuführen.

Zu beachten sind über die Grundsätze der DSGVO hinaus auch die Informationspflicht aus Art. 13, 14 DSGVO und die beim Einsatz Künstlicher Intelligenz erforderliche Durchführung einer Datenschutz-Folgeabschätzung gem. Art. 35 DSGVO.

In Kapitel 3 der DSGVO sind – neben der bereits genannten Informationspflicht – die Rechte der betroffenen Personen geregelt. So sind die Verantwortlichen dazu angehalten, die Ausübung der sogenannten Betroffenenrechte zu gewährleisten und entsprechende organisatorische sowie technische Maßnahmen vorzunehmen. Die betroffene Person kann so unter anderem folgende Rechte geltend machen:

• das Auskunftsrecht aus Art. 15 DSGVO,
• das Recht auf Berichtigung gem. Art. 16 DSGVO,
• das sich bei Vorliegen einer der in Art. 17 DSGVO genannten Gründe ergebene Recht auf Löschung,
• das Widerspruchsrecht nach Art. 21 DSVGO sowie
• bei Erfüllung der in Art. 18 DSGVO genannten Voraussetzungen das Recht auf Einschränkung der Verarbeitung.

Bei der Anwendung von KI-basierten Technologien kann es unter Umständen dazu kommen, dass die KI durch die Erlangung verschiedenster Daten einen Personenbezug herstellen kann oder unrichtige Informationen speichert und verarbeitet. Insbesondere in solchen Fällen kann die betroffene Person von ihren Betroffenenrechten Gebrauch machen.

Die erhöhten Anforderungen der neuen KI-Verordnung dienen nicht nur dem Schutz betroffener Personen außerhalb eines Unternehmens, sondern auch den Arbeitnehmern. Besonders interessant ist für Unternehmen der Einsatz Künstlicher Intelligenz im Personalwesen. So werden KI-basierte Systeme eingesetzt, um das Unternehmen bei der Wahl neuer Mitarbeiter in den Bewerbungsprozessen, bei der Personalplanung oder bei der Kontrolle zu unterstützen. Besonders im Fokus sollten dabei allerdings die Gesundheit und Sicherheit der Arbeitnehmer sowie der Schutz ihrer Rechte stehen. Außerdem ist zu bedenken, dass der Einsatz solcher Systeme im Bewerbungsverfahren auch zu Diskriminierungen führen kann. Unternehmen sollten daher vor dem Einsatz entsprechender Technologien etwaige arbeitsrechtliche, datenschutzrechtliche sowie weitere gesetzliche Aspekte beachten und prüfen, ob vor den genannten Risiken ausreichend geschützt wird. Insbesondere sollten der Arbeitnehmerdatenschutz und die Anforderungen der KI-Verordnung, abhängig von der Risikoeinstufung des einzusetzenden KI-Systems, beachtet werden.