Mit der Veröffentlichung des Chatbots „ChatGPT“ sind KI-Dienste in den Fokus der Öffentlichkeit sowie großer und kleiner Unternehmen gerückt. Seitdem wurde vor allem die Frage nach den urheberrechtlichen Implikationen diskutiert. Hierzu berichteten wir bereits in einem Blogbeitrag vom 10. März 2023. Weniger diskutiert, aber für den Einsatz im Unternehmen ebenso relevant ist die Frage nach der Vereinbarkeit mit den deutschen und europäischen Datenschutzvorgaben.

Geregelt wird der Datenschutz in der EU in erster Linie durch die Datenschutzgrundverordnung (DSGVO). Sie greift, wenn personenbezogene Daten, also Informationen über eine identifizierbare Person, vorliegen. KI basiert auf Informationen, die ihr im Trainingsprozess zur Verfügung gestellt werden. Diese Informationen enthalten oftmals auch personenbezogene Daten. Darüber hinaus werden personenbezogene Daten nicht selten als Teil eines Prompts (= der Befehl an eine KI) an diese übermittelt. Daraus ergibt sich, dass sowohl Nutzer als auch Anbieter von KI-gestützten Diensten die DSGVO und ihre Vorgaben zwingend beachten müssen.

Rechtsmäßige Erstellung und Einsatz von KI

Bei der Verarbeitung personenbezogener Daten muss das verarbeitende Unternehmen sich stets auf eine sogenannte Rechtsgrundlage berufen können.

Eine solche Rechtsgrundlage kann die Einwilligung der betroffenen Personen sein. Aufgrund der großen Datenmengen im Bereich KI ist jedoch praktisch nicht möglich, die jeweils betroffenen Personen zu identifizieren und von ihnen eine DSGVO-konforme Einwilligung einzuholen. Als Rechtsgrundlage kommt daher eher die Verarbeitung aufgrund berechtigter Interessen (Art. 6 Abs. 1 Buchst. f) DSGVO) in Betracht. Die Frage, ob berechtigte Interessen vorliegen, ist im Einzelfall aber nicht einfach zu beantworten und sollte daher sicherheitshalber von geschultem Personal oder spezialisierten Juristen vorgenommen werden. Soweit es nicht um das Training, sondern um die Nutzung von KI-Diensten geht, kann mitunter auch die Vertragsdurchführung gemäß Art. 6 Abs. 1 Buchst. b) DSGVO Rechtsgrundlage sein.

Beim Einsatz von KI, z.B. zur Unterstützung unternehmensinterner Prozesse, ist ebenfalls eine Rechtsgrundlage erforderlich. Da es sich hier in der Regel um einen abgegrenzten Betroffenenkreis (Mitarbeiter und Kunden) handeln dürfte, kann regelmäßig eine Einwilligung eingeholt werden. Dabei muss das Unternehmen jedoch beachten, dass diese den besonderen Anforderungen des Art. 22 Abs. 2, 3 DSGVO genügen muss. Dazu gehört etwa die ausdrückliche Information des Betroffenen und ein Recht auf Einflussnahme auf das Ergebnis der KI.

Durchführung einer DSFA

Wer sich bereits etwas mit den Regelungen der DSGVO auskennt, wird auch schon von der sogenannten Datenschutz-Folgenabschätzung (kurz: DSFA) gehört haben. Dabei handelt es sich im Wesentlichen um eine Prüfung der jeweiligen Risiken, die eine Verarbeitung personenbezogener Daten im Einzelfall haben kann. Nach der DSGVO ist eine DSFA in Fällen durchzuführen, in denen ein besonderes Risiko für die Betroffenen besteht. Zu der Frage, wann ein solches Risiko vorliegt, haben die deutschen Datenschutzbehörden bereits vor einigen Jahren eine Liste mit typischen Fällen erstellt, in denen eine DSFA zwingend erforderlich ist. Diese Liste umfasst auch Umstände, die beim Einsatz von KI-Modellen in den meisten Fällen gegeben sein dürften. Unternehmen, die KI-Modelle einsetzen möchten, werden daher in der Regel nicht um die Durchführung einer DSFA herumkommen.

Wer ist verantwortlich?

Darüber hinaus stellt sich beim Einsatz von KI die Frage, wer konkret für die Verarbeitungen und für die Einhaltung der DSGVO verantwortlich ist. Grundlage dieser Frage ist, dass die DSGVO bei der Verarbeitung personenbezogener Daten– vereinfacht dargestellt – zwischen zwei Akteuren unterscheidet. Auf der einen Seite steht der Verantwortliche, der in erster Linie verpflichtet ist, die erforderlichen Schutzmaßnahmen zu treffen, und auf der anderen Seite der Auftragsverarbeiter, der dem Verantwortlichen zuarbeitet und insoweit lediglich eine unterstützende Funktion hat. Verantwortlicher ist nach Art. 4 Nr. 7 DSGVO derjenige, der „über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“.

Die Abgrenzung kann in der Praxis schwierig sein, ist aber von erheblicher Relevanz. Beim Einsatz von KI ergeben sich Probleme insbesondere daraus, dass grundsätzlich derjenige als Verantwortlicher anzusehen sein dürfte, der personenbezogene Daten in eine KI eingibt. Das bedeutet, dass beispielsweise bei der Nutzung von ChatGPT der Nutzer für den Schutz der Daten verantwortlich ist, die er in den Chatbot eingibt. Problematisch ist hierbei, dass er überhaupt keine Kontrolle oder Überblick über die Verarbeitungsprozesse innerhalb der KI-Dienste hat und somit seiner Verantwortung naturgemäß gar nicht nachkommen kann. Fraglich ist in diesem Zusammenhang auch, inwieweit eine Regelung in den Nutzungsbedingungen der KI-Anbieter, die die Verantwortung für die eingegebenen Informationen auf den Nutzer überträgt, zulässig ist.

Weitere Probleme

Die dargestellten Punkte stellen nur einen kurzen Überblick über einige der aktuell diskutierten datenschutzrechtlichen Probleme dar. Die deutschen Aufsichtsbehörden befassen sich derzeit mit ChatGPT und OpenAI (siehe Pressemitteilung des LFDI BaWü). Die in diesem Zusammenhang zu treffenden Entscheidungen dürften auch für den Einsatz anderer KI-gestützter Modelle richtungsweisend sein und insofern einige Klarheit schaffen.

Können wir helfen?

Wenn Sie Probleme mit dem Einsatz von KI in Ihrem Unternehmen haben oder Beratung in diesem Bereich benötigen, sprechen Sie uns gerne an! Unsere Kanzlei berät Sie gerne bei allen rechtlichen Fragen rund um die Nutzung von KI-Diensten. Das gilt für Fragen des Urheberrechts ebenso wie für die Bereiche Datenschutz, Vertragsgestaltung oder Haftungsrisiken.

Sie können uns telefonisch unter 0511 374 98 150 oder per E-Mail unter kontakt@recht-im-internet.de erreichen.