English Italiano

© Wittmann Law     Durasweg 21     81247 Munich

Generative KI und die Datenschutz-Grundverordnung - ein umfassender Leitfaden

Ein umfassender Leitfaden für Unternehmen, die generative KI-Tools einsetzen, um Compliance und Transparenz zu gewährleisten und potenzielle Herausforderungen wie Voreingenommenheit und Sicherheitsbedenken sowie die Datenverarbeitung im Rahmen der DSGVO im Zusammenhang mit generativer KI anzugehen.

european flag wittmann legal services

Generative KI und die Rechtsgrundlage für die Datenverarbeitung nach der DSGVO

Nach dem Grundsatz der Rechtmäßigkeit gemäß Artikel 5 Absatz 1 Buchstabe a der Datenschutz-Grundverordnung (DSGVO) müssen sich die für die Verarbeitung Verantwortlichen auf eine rechtmäßige Rechtsgrundlage für die Datenverarbeitung stützen. Angesichts des Potenzials von KI-Tools zur Verarbeitung personenbezogener Daten prüfen die Datenschutzbehörden die Anbieter von Anwendungen der generativen KI, insbesondere OpenAI. Auch der Europäische Datenschutzausschuss hat eine Task Force eingerichtet, die sich mit Fragen der KI befasst. Ein immer wiederkehrendes Anliegen der Behörden ist die Festlegung einer gültigen Rechtsgrundlage für die Verarbeitung personenbezogener Daten.

Rechtsgrundlagen unter der Datenschutz-Grundverordnung

Artikel 6 der Datenschutz-Grundverordnung nennt verschiedene Möglichkeiten für die Festlegung einer Rechtsgrundlage: Die Verarbeitung ist zulässig, wenn die betroffene Person eingewilligt hat (Artikel 6 Absatz 1 Buchstabe a DSGVO), wenn die Verarbeitung für die Erfüllung eines Vertrags oder für vorvertragliche Maßnahmen erforderlich ist (Artikel 6 Absatz 1 Buchstabe b DSGVO) oder wenn die Verarbeitung zur Wahrung berechtigter Interessen erforderlich ist (Artikel 6 Absatz 1 Buchstabe f DSGVO). Darüber hinaus enthält Artikel 9 DSGVO weitere Rechtsgrundlagen für die Verarbeitung besonderer Kategorien personenbezogener Daten wie Gesundheitsdaten, biometrische Daten und politische Meinungen.

Anforderungen an die Rechtsgrundlage für Verarbeitungsvorgänge

Bei der Bestimmung der anwendbaren Rechtsgrundlage ist es wichtig, zwischen verschiedenen Verarbeitungsschritten zu unterscheiden. Zunächst ist zu unterscheiden zwischen der Verarbeitung von Eingabedaten durch den Nutzer, der Verarbeitung dieser Eingabedaten durch das Tool selbst und der Verarbeitung von Ausgabedaten sowohl durch das Tool als auch durch den Nutzer. Darüber hinaus werden die Eingabe- und Ausgabedaten in der Regel von den Anbietern von KI-Tools verwendet, um den zugrunde liegenden Algorithmus zu trainieren. Wann immer bei diesen einzelnen Schritten personenbezogene Daten verarbeitet werden, muss sich der für die Verarbeitung Verantwortliche auf eine gültige Rechtsgrundlage stützen.

Kritik der Behörden an den anwendbaren Rechtsgrundlagen

Die italienische Datenschutzbehörde "Garante" hat den Dienst von ChatGPT in Italien unter anderem deshalb verboten, weil sie das Fehlen einer Rechtsgrundlage für die Verarbeitung einer erheblichen Menge personenbezogener Daten durch ChatGPT zu Trainingszwecken bemängelt. Die deutschen Aufsichtsbehörden teilen ähnliche Bedenken, und sowohl die Deutsche Datenschutzkonferenz (DSK) als auch der Europäische Datenschutzausschuss (EDPB) haben eine KI-Taskforce eingerichtet, die sich mit der Rechtsgrundlage für verschiedene Verarbeitungen personenbezogener Daten bei ChatGPT befassen wird. Für den Fall, dass die Einwilligung als Rechtsgrundlage verwendet wird, wird der Landesbeauftragte für den Datenschutz Schleswig-Holstein ChatGPT auffordern, eine Mustereinwilligungserklärung vorzulegen. Der Hessische Landesbeauftragte für den Datenschutz hat ChatGPT aufgefordert, zu erläutern, wie mit Auskunfts- und Löschungsbegehren von Betroffenen umgegangen wird und wie der Widerruf von Einwilligungen gehandhabt wird. Wenn sich ChatGPT oder Dritte auf berechtigte Interessen als Rechtsgrundlage berufen, sollte ChatGPT die Gründe und Überlegungen für die jeweilige Interessenabwägung erläutern.

Wahl der geeigneten Rechtsgrundlage

Für Unternehmen, die ihren Mitarbeitern die Nutzung von KI-Tools gestatten, ist es unerlässlich, eine Rechtsgrundlage für die Eingabe personenbezogener Daten in Form von Eingabeaufforderungen zu schaffen. Die anwendbare Rechtsgrundlage hängt von der spezifischen Datenverarbeitung im jeweiligen Anwendungsfall ab und kann in Form einer Einwilligung oder eines berechtigten Interesses an der Dateneingabe vorliegen. Unternehmen sollten diese Faktoren für ihre jeweiligen Anwendungsfälle sorgfältig abwägen und in ihren Aufzeichnungen über die Verarbeitungstätigkeiten dokumentieren. Darüber hinaus sind weitere datenschutzrechtliche Pflichten eines für die Verarbeitung Verantwortlichen zu berücksichtigen, wie die Durchführung von Datenschutz- Folgenabschätzungen und die Erfüllung von Transparenzpflichten, wie in den folgenden Beiträgen erörtert wird.

Im April 2023 teilte die italienische Aufsichtsbehörde (Garante) OpenAI mit, dass die Verarbeitung personenbezogener Daten für das Training des ChatGPT-Algorithmus nicht auf die Rechtsgrundlage der Vertragserfüllung (Artikel 6 Absatz 1 Buchstabe b DSGVO) gestützt werden kann. Es bleibt zu klären, ob sich OpenAI auf eine gültige Rechtsgrundlage für die Verarbeitung zu Trainingszwecken berufen kann. Da eine Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO nur wirksam ist, wenn sie in Kenntnis der Sachlage und auf transparente Weise erteilt wird, und KI-Anwendungen in dieser Hinsicht derzeit als Black Boxes gelten.

OpenAI wahrscheinlich auf die Rechtsgrundlage des legitimen Interesses zurückgreifen.

Es wird spannend sein zu beobachten, ob OpenAI in diesem Zusammenhang eine überzeugende Interessenabwägung vornehmen kann. Der EuGH hat kürzlich bestätigt, dass die Verarbeitung großer Mengen von Daten, die aus einer Vielzahl unterschiedlicher Quellen stammen, zum Zweck der Produktentwicklung und -verbesserung auf einem berechtigten Interesse nach Art. 6 Abs. 1 lit. f DSGVO beruht (Meta gegen Deutsches Kartellamt (C- 252/21), vom 4. Juli 2023). Das Gericht stellte jedoch auch fest, dass die strikte Erforderlichkeitsprüfung angewendet werden muss: 1) ein berechtigtes Interesse aller für die Verarbeitung Verantwortlichen, 2) dass die Verarbeitung unbedingt erforderlich ist, was bedeutet, dass dieses Interesse nicht durch andere Mittel erreicht werden kann (auch unter Berücksichtigung der Grundsätze der Datenminimierung) und 3) dass die Grundrechte und Grundfreiheiten der Personen nicht gegenüber den berechtigten Interessen überwiegen. Der EuGH hat in seinem Meta-Urteil auch bestätigt, dass sensible Daten im öffentlichen Bereich weiterhin geschützt sind und eine vorherige Zustimmung zur Weiterverarbeitung erfordern. Chat GPT wird sich auf Filter verlassen müssen, um die unbefugte Verarbeitung sensibler Daten zu verhindern.

Häufig gestellte Fragen zu Datenschutz und generativer KI

Weitere Artikel

Aktuelles zu Datenschutz, GDPR, KI-Gesetzgebung und mehr

ai visualized wittmann legal services

15 Richtlinien für Unternehmen, die Chatbots mit großen Sprachmodellen einsetzen

Zu den wichtigsten Empfehlungen gehören die Festlegung interner Richtlinien, die Einbeziehung von Datenschutzbeauftragten, die Sicherstellung der Authentifizierung, der Verzicht auf die Ein- und Ausgabe personenbezogener Daten, das Anbieten von Opt-out- Optionen, die Sicherstellung der Beteiligung von Menschen an rechtlichen Entscheidungen und die ständige Aktualisierung der sich entwickelnden Vorschriften, insbesondere der bevorstehenden EU-Verordnung über künstliche Intelligenz.

weiterlesen
chatgpt screen darkmode ai regulations wittmann legal services

EU vs. US - Vergleich der KI-Gesetzgebung

Vergleich zwischen der Executive Order (EO) des Weißen Hauses und der KI-Gesetzgebung der EU. Beide Richtlinien räumen dem Testen von KI, der Überwachung und dem Schutz der Privatsphäre Priorität ein, unterscheiden sich jedoch in ihrem Ansatz. Das EU-Gesetz ist umfassender, risikobasiert und regelt Anwendungsfälle mit hohem Risiko, während das US EO flexibler und sektorspezifisch ist und breitere politische Dimensionen anspricht. Es ist wichtig, beide Ansätze zu verstehen, um eine effektive Einhaltung der Datenschutzbestimmungen und KI-Governance-Programme zu gewährleisten, da Unternehmen weltweit mit sich überschneidenden Compliance-Bemühungen konfrontiert sind.

weiterlesen
Contact us now