Sinnvolle Nutzung von KI, neue Gesetzgebung nach DDG

HMDATA Datenschutz-Newsletter 02/2024, Autor: Dipl.-Ing. (FH) Harald Müller-Delius, MBA, ©HMD 2024

Trotz aller disruptiver Euphorie tritt in Sachen KI-Nutzung der Datenschutz mal wieder als gefühlte Spaßbremse auf.

Und zwar durch die Regelung von Art. 22 DSGVO

"Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt."

Es gibt hierbei natürlich die Ausnahmetatbestände. Nach Art. 22 Abs. 2 DSGVO gilt Abs. 1 nicht, wenn die Verarbeitung

• lit a) "… für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist,"
• lit c) " … mit ausdrücklicher Einwilligung der betroffenen Person erfolgt."

Wird also auf Grund der Ausnahmen des Abs. 2 mit KI gearbeitet, so muss nach Abs. 3

" … genannten Fällen trifft der Verantwortliche angemessene Maßnahmen, um die Rechte und Freiheiten sowie die berechtigten Interessen der betroffenen Person zu wahren, wozu mindestens das Recht auf Erwirkung des Eingreifens einer Person seitens des Verantwortlichen, auf Darlegung des eigenen Standpunkts und auf Anfechtung der Entscheidung gehört."

Und hier kommt die Nachweisbarkeit in's Spiel, nicht nur wegen einer möglichen Beratungshaftung sondern auch wegen der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO.

Das Eingabeproblem der KI

Nun haben es aber selbstlernende Algorithmen so an sich, dass sie trainiert werden wollen und das System auch im laufenden Betrieb ständig dazulernt, um mit immer höherer Wahrscheinlichkeit bessere Resultate zu liefern. Dabei ist zu beachten, dass Trainingsdaten und laufende Daten nicht Teil des Models werden, was insb. eine schwebende ungewollte Offenlegung nach sich zieht, als auch eine Löschung so gut wie unmöglich macht. Daher sollte also kein öffentliches Modell mit personenbezogenen Daten unter eigener Verantwortung eingespeist werden, sondern nur ggf. vortrainierte oder abgeschottete eigene Unternehmensinstanzen verwendet werden. Zudem sollte immer beachtet werden, dass eine automatisierte Verarbeitung vermutlich auch ein neuer Verarbeitungszweck ist, der Informations-, Transparenz- und auch Einwilligungspflichten auslöst.

Das Ausgabeproblem der KI

Zu beachten ist, dass die selbstlernende automatisierte Verarbeitung immer nur Wahrscheinlichkeiten und keine Gewissheiten kennt. Eine letztendliche menschliche Endkontrolle vor Eintreten einer rechtlichen Wirkung für den Betroffenen wäre also sehr hilfreich, wie in Art. 22 Abs. 3 DSGVO gefordert. Unbedingt gewährleistet werden sollte, dass die Verarbeitung bei der Ausgabe der Daten keinen Personenbezug unbeteiligter Dritter enthält, das wäre gleichbedeutend mit einer Datenpanne.

Grundsätzlicher Natur sollte die Überlegung sein, die erhofften Vorteile beim Einsatz von KI nicht nur aus Nutzersicht zu beurteilen. Wenn die KI alles besser macht, war es dann vorher schlecht? Vertraut der Kunde den automatisierten Antworten genauso wie er es gegenüber einem Menschen machen würde? Sind meine Kunden Zielgruppe einer KI-Beratung? Mit Sicherheit darf man sich einen Effizienz- und Quantitätsvorteil erhoffen, die Qualität sollte immer unter Betrachtung der "False Positives" erfolgen.

Was ist dann zu tun?

Eine neue Technologie sollte immer ausreichend getestet und das Risiko der Verarbeitung mit der Schutzwürdigkeit der Verarbeitung entsprechenden technischen und organisatorischen Maßnahmen unterlegt sein - das versteht sich von selbst. Neben der sicheren technischen Verarbeitung steht aber noch die Compliancebetrachtung im Vordergrund, also das Einhalten der Informationspflichten und das Schaffen der richtigen gesetzlichen Grundlage. Meist ist das recht schnell erledigt, wenn man die bisherigen Dokumente gegenüber dem Kunden um einen Absatz erweitert, der informiert, den neuen Zweck legitimiert und eine nachweisbare formal korrekte Einwilligung einholt. Sollte sich im späteren Verlauf ein Betroffener mit seinem Auskunftsrecht an die verantwortliche Stelle wenden, so ist der Hinweis auf die automatisierte Verarbeitung unbedingt korrekt mit anzugeben.

DDG – Das digitale Dienste-Gesetz

Mit Wirkung zum 17.02.2024 wird die Bundesregierung den EU-Digital Services Act (DSA) mit Hilfe des Digitale-Dienste-Gesetz (DDG) in nationales Recht umwandeln und die bisherigen Regelungen nach Telemediengesetz und das Netzwerkdurchsetzungsgesetz (NetzDG) weitgehend außer Kraft setzen. "Was offline strafbar ist, soll online ebenfalls geahndet werden" lautet die Maxime hinter dem Gesetz.

Grundsätzlich sind hier die Betreiber großer Online-Plattformen im Fokus, jedoch gibt es auch Auswirkungen auf kleinere Unternehmen. Insb. die Impressumspflicht erfolgt dann nicht mehr auf Grundlage des §5 TMG sondern auf Grundlage des §5 DDG. Wer sich also bei Angabe des Impressums auf das TMG bezieht, möge dies ändern.

Theoretisch sind Verstöße bußgeldbewehrt, zuständig ist die Bundesnetzagentur.

Ansonsten gelten die neuen Bestimmungen hauptsächlich für Online-Dienste, die kostenpflichtig eine größere Nutzerbreite ansprechen und insb. auf denen Kommentar- oder Diskussionsbeiträge möglich sind.