In den vergangenen Jahren hat sich einiges im Datenschutz getan. Viele der zunächst bestehenden Unklarheiten seit Inkrafttreten der DSGVO wurden geklärt oder zumindest minimiert. Dennoch bedeutet der stetige Fortschritt von Technik, Digitalisierung und den dazugehörigen gesetzlichen Regelungen regelmäßigen Prüfungs- und Anpassungsbedarf der eigenen Datenschutzcompliance.
Eines der aktuell besonders relevanten Themen dürfte bei fast allen Unternehmen die Einführung von Software sein, die künstliche Intelligenz (nachfolgend nur noch „Software“) beinhaltet. Neben den Anforderungen aus der KI-Verordnung und den Fragestellungen aus dem Bereich IT-Security sind vor Einführung der KI auch die datenschutzrechtlichen Anforderungen zu beachten und erforderliche Maßnahmen umzusetzen. Dazu gehört insbesondere auch die Erstellung einer Datenschutzfolgenabschätzung.
1. Erfordernis einer Datenschutzfolgenabschätzung
Art. 35 DSGVO trägt dem für die Datenverarbeitung Verantwortlichen die Pflicht auf, bei risikobehafteten Datenverarbeitungsprozessen eine Datenschutzfolgenabschätzung (DSFA) durchzuführen. Des Weiteren hat der Gesetzgeber vorgesehen, dass auch die Aufsichtsbehörde(n) eine Liste von Prozessen anfertigen kann (können), bei denen eine DSFA durchzuführen ist.
Die Datenschutzkonferenz (DSK), das Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder, hat in ihrer „Muss-Liste“, einer Liste der Verarbeitungstätigkeiten, 17 Fälle definiert, für die eine DSFA durchzuführen ist. Dort ist unter Nr. 11 der Fall erfasst, dass künstliche Intelligenz zur Verarbeitung personenbezogener Daten zwecks Steuerung der Interaktion mit den Betroffenen oder zur Bewertung persönlicher Aspekte der betroffenen Person eingesetzt wird. Als Beispiel wird der Kundensupport mittels KI genannt, was vor allem durch die Verwendung von Chatbots bekannt geworden ist. In ihrer Orientierungshilfe „Künstliche Intelligenz und Datenschutz“ vom 6. Mai 2024 stellt die DSK zudem noch einmal fest, dass in den meisten Fällen eine Datenverarbeitung mittels KI voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben dürfte und eine DSFA in diesen Fällen mithin erforderlich ist.
2. Durchführung einer DSFA
Nachfolgend sollen in gebotener Kürze die wesentlichen Punkte für die Erstellung einer DSFA aufgezeigt werden, die in der Regel die Schwerpunkte der Prüfung bilden und daher als eine Art Leitlinie für die Praxis dienen können, die in jedem konkreten Einzelfall zu überprüfen und an die Besonderheiten des Einzelfalls anzupassen ist.
Schritt 1: Vorbereitung
Zunächst sollte herausgestellt werden, welche Software mit welchen Funktionen konkret zum Einsatz kommen soll. Handelt es sich um ein neues Produkt, oder soll ein bereits vorhandenes Produkt um neue Tools oder Funktionen, z. B. KI, erweitert werden?
In diesem Stadium sollte bereits hinterfragt werden, wie die Einführung im Unternehmen stattfinden soll. Stufenweise, indem z. B. zunächst mit einer kleinen Pilotgruppe ggf. ohne Echtdaten gestartet und dann über die Abteilungen hinweg ausgerollt wird? Dies bringt den Vorteil, dass die Datenverarbeitungsprozesse zunächst anhand einer überschaubaren Anzahl von Daten und Nutzern getestet und diese im Rahmen von Einwilligungserklärungen legitimiert werden können.
>In einem weiteren Schritt sollte sodann herausgearbeitet werden, wie die neue Software(-funktion) in die bestehenden Prozesse und Systeme zu integrieren ist und ob diese konzernweit genutzt werden soll, also z. B. auch durch Schwester- und Tochtergesellschaften im In- und/oder Ausland. Dabei sind zum einen die operativen Business-Prozesse zu betrachten, zum anderen aber auch die technische Implementierung in die vorhandene Infrastruktur.
Rechtlich betrachtet sind in diesem Zusammenhang die Vertragsbedingungen und ggf. zu beachtenden regulatorischen Anforderungen zu prüfen sowie die datenschutzrechtlichen Anforderungen durch den Datenschutzbeauftragten. Standardmäßig wird der Anbieter des Produktes seine AGB oder Standard-Lizenzbedingungen vorlegen, die dann zu prüfen und – soweit möglich – zu verhandeln sind.
Es ist ratsam, bereits in der Vorbereitungsphase die verschiedenen Beteiligten in einer Projektgruppe zusammenzubringen, damit von vornherein die Weichen in allen Bereichen richtiggestellt sind. Andernfalls besteht z. B. die Gefahr, dass die seitens der Fachseite präferierte Lösung zwar technisch eingebunden werden kann, die Datenverarbeitungsprozesse jedoch nicht mit den datenschutzrechtlichen oder regulatorischen Anforderungen in Einklang stehen, was im Worst Case das Scheitern der Produkteinführung bedeuten kann.
>Als Kontrollüberlegung empfiehlt sich zudem, stets eine negative Abgrenzung durchzuführen, wer das Produkt nicht nutzen soll und welche Daten nicht dort hineingelangen dürfen. Zwar geht es im Rahmen der DSFA um die Verarbeitung personenbezogener Daten im Sinne der DSGVO, allerdings können auch Daten und sonstige Informationen, die z. B. Geschäftsgeheimnisse darstellen, besonders schützenswert sein und sollen aufgrund von unternehmensinternen Regelungen nicht mittels KI verarbeitet werden.
Schritt 2: konkrete Sachverhaltserfassung
Sind die Vorbereitungen abgeschlossen, sind nun alle relevanten Informationen für eine abschließende Risikoanalyse zusammenzutragen. Dafür sollte zunächst die Fachseite die in der Software ablaufenden Prozesse und insbesondere die Datenflüsse sowie den Output im Rahmen des KI-Einsatzes beschreiben. Es ist klar zu beschreiben, was die konkrete Datenverarbeitung – insbesondere für den Betroffenen – bedeutet. In diesem Schritt sind mit Unterstützung des Datenschutzbeauftragten und/oder der Rechtsberater sowie des KI- und des IT-Security-Beauftragten auch schon die jeweiligen Rechtsgrundlagen für die jeweilige Datenverarbeitung sowie bestehende technische Maßnahmen zum Schutz der Daten zu prüfen, um ggf. weitere erforderliche Maßnahmen frühzeitig einzuleiten.
Die technische Ebene sowie die damit verbundenen IT-Security-Fragen und die Frage der Eingruppierung in die bestehenden KI-Risikoklassen können je nach Software sehr vielschichtig sein. Insbesondere dann, wenn im Rahmen des Outsourcings die Daten die eigene IT-Infrastruktur verlassen sollen, sind u. U. besondere Anforderungen zu beachten. Dies betrifft insbesondere regulierte Bereiche, die zur kritischen Infrastruktur gehören, wie die Banken- oder Versicherungsbranche. Hier ist das allgemeine Set-up zu betrachten, wie z. B. ob eine Single- oder Multi-Tenant-Umgebung genutzt werden soll, ob lediglich globale Einstellungen möglich sind oder Entity-individuelle Einstellungen vorgenommen werden können sowie ob das vorgesehene Rollen- und Rechtekonzept umgesetzt werden kann.
Schritt 3: DSFA-Risikoanalyse
Im Rahmen der Risikobewertung erfolgt eine Verhältnismäßigkeitsprüfung, bei der die jeweiligen Datenverarbeitungsprozesse daraufhin zu bewerten sind, inwieweit sie für den verfolgten Zweck notwendig und verhältnismäßig sind, welches Ziel durch den Einsatz der Software verfolgt wird, warum dieses Ziel wichtig für den Verantwortlichen ist und ob dieses nicht mit anderen, weniger risikoreichen Mitteln verfolgt werden kann. Des Weiteren erfolgt eine Abschätzung der Eintrittswahrscheinlichkeit der Risiken und der Schadenshöhe aus der Perspektive der Betroffenen.
Für die Risikobewertung hat sich nach wie vor u. a. das Standard-Datenschutzmodell etabliert. Im Mittelpunkt stehen dort sechs einheitliche Gewährleistungsziele: die Daten- und Informationssicherheit, Erreichbarkeit, Integrität und Vertraulichkeit, die Transparenz, die Nichtverkettung und die Intervenierbarkeit. Neben dem technikneutralen Verfahren des Standard-Datenschutzmodells können datenschutzrelevante Risiken auch aus den „Ethik-Leitlinien für vertrauenswürdige KI“ ermittelt werden.
>Mit Blick auf die Besonderheit beim Einsatz von KI sind neben den KI-immanenten Risiken auch jene Risiken zu betrachten, die aufgrund einer möglichen Nutzung der Daten durch den Anbieter selbst zu eigenen Zwecken entstehen können. Dies kann beispielsweise dann der Fall sein, wenn der Anbieter vertraglich vorsehen sollte, dass er die in die KI eingespeisten Daten zu Trainingszwecken oder zur Produktverbesserung nutzt.
Schritt 4: Maßnahmen zur Risikominimierung
Die im Rahmen der DSFA herausgearbeiteten Risiken für die Rechte und Freiheiten der Betroffenen sind nun mittels geeigneter Maßnahmen einzudämmen. Insofern ist abzugleichen, welche technischen und organisatorischen Maßnahmen durch den Verantwortlichen wie auch durch den Anbieter, der in der Regel als Auftragsverarbeiter oder Joint Controller einzuordnen ist, getroffen wurden und welche weiteren Maßnahmen im Sinne der Risikominimierung umgesetzt werden sollten. Es könnte z. B. vertraglich vereinbart werden, dass der Anbieter die Daten nicht zu KI-Trainingszwecken nutzen darf.
>Ergibt die DSFA, dass die Datenverarbeitung trotz implementierter technischer und organisatorischer Maßnahmen ein hohes Risiko für die Betroffenen zur Folge hat, hat der Verantwortliche vor der Datenverarbeitung die Aufsichtsbehörde zu konsultieren, vgl. Art. 36 DSGVO.
3. Fazit und Ausblick
Die Anforderungen an den Verantwortlichen bzgl. der Beachtung des Datenschutzrechts nehmen nicht ab. Neben den neuen Möglichkeiten, die Technik und Digitalisierung und vor allem die KI den Unternehmen bringen, bringen sie zugleich weitere Komplexität und Herausforderungen, was die (datenschutz-)rechtlich saubere Umsetzung betrifft. Dem kann jedoch mit guter Vorbereitung und der Zusammensetzung entsprechender Projektteams (notfalls unter Einbindung externer Ressourcen) ein Stück weit entgegengetreten werden.
(Michelle Petruzzelli – Rechtsanwältin Luther Rechtsanwaltsgesellschaft mbH)