Information- und Transparenzpflicht - auch in Bezug auf KI, und: Fragebogen zum Datenschutzbeauftragten

HMDATA Datenschutz-Newsletter 08/2023, Autor: Dipl.-Ing. (FH) Harald Müller-Delius, MBA, ©HMD 2024

Aus der Verarbeitung personenbezogener Daten leiten sich nach der DSGVO umfangreiche Verpflichtungen ab. So auch beispielsweise die nach Art. 5 Abs. 1 DSGVO geforderten Transparenz- und Informationspflichten.
Diese sollten vor Schaffung der notwendigen rechtlichen Grundlage ausgehändigt werden, damit ein potenzieller Kunde sich vor Verarbeitung ausreichend informieren kann, was mit seinen Daten geschieht und er nach Art. 2 Abs. 1 GG sein Recht auf informationelle Selbstbestimmung wahrnehmen kann.

Nun haben auch diese Informations- und Transparenzpflichten einem gesetzlichen Anspruch zu genügen. ErwgGr. 39 Satz 2 sagt hierzu: "Für natürliche Personen sollte Transparenz dahingehend bestehen, dass sie betreffende personenbezogene Daten erhoben, verwendet, eingesehen oder anderweitig verarbeitet werden und in welchem Umfang die personenbezogenen Daten verarbeitet werden und künftig noch verarbeitet werden."

Dabei wird auch nach Satz 3 eine Anforderung an die sprachliche Qualität definiert: "Der Grundsatz der Transparenz setzt voraus, dass alle Informationen und Mitteilungen zur Verarbeitung dieser personenbezogenen Daten leicht zugänglich und verständlich und in klarer und einfacher Sprache abgefasst sind."

Die formalen Anforderungen ergeben sich aus Satz 4: "Dieser Grundsatz betrifft insbesondere die Informationen über die Identität des Verantwortlichen und die Zwecke der Verarbeitung und sonstige Informationen, die eine faire und transparente Verarbeitung im Hinblick auf die betroffenen natürlichen Personen gewährleisten, sowie deren Recht, eine Bestätigung und Auskunft darüber zu erhalten, welche sie betreffende personenbezogene Daten verarbeitet werden."

Inhaltliches wird in Satz 5 und 6 geregelt: "Natürliche Personen sollten über die Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung personenbezogener Daten informiert und darüber aufgeklärt werden, wie sie ihre diesbezüglichen Rechte geltend machen können. 6Insbesondere sollten die bestimmten Zwecke, zu denen die personenbezogenen Daten verarbeitet werden, eindeutig und rechtmäßig sein und zum Zeitpunkt der Erhebung der personenbezogenen Daten feststehen."

Welche Auswirkungen hat das für mein Unternehmen?

Somit sind die Anforderungen an die Informations- und Transparenzpflichten summiert gesehen recht einfach: rechtzeitig vor Verarbeitung den Kunden in einfacher und verständlicher Sprache nach Treu und Glauben so zu informieren, dass er vollumfänglich über die zukünftige Verarbeitung aufgeklärt wird und daraufhin selbstbestimmt die Entscheidung treffen kann, ob der damit einverstanden ist oder nicht.

Dabei ist zu beachten: unter einem Überangebot an Information kann die Transparenz leiden und der Kunde überfordert werden.

Es gilt also in der Praxis, die richtige Balance zwischen dem Umfang und der Verständlichkeit bei der Formulierung der Informationspflicht zu finden und diese in den Workflows der Customer-Journey und im Kunden-LifeCycle rechtzeitig und datenschutzkonform auszuhändigen. Selbstverständlich können die Informations- und Transparenz pflichten in Textform bspw. auf der WebSite zur Verfügung gestellt und bspw. aus der E-Mail-Signatur verlinkt werden.

Einfluss von Machine Learning bzw. KI-Algorithmen auf die Transparenzpflicht

Solange man also seine internen Abläufe, Workflows und Verarbeitungstätigkeiten kennt, ist das kein Problem. Man stellt fest was man macht, was mit den Daten passiert, zu welchen Zwecken diese verarbeitet werden und beschreibt das kurz zusammengefasst in verständlicher Spreche. Aktuell aber sprießen neue Lösungen mit KI-basierten Datenverarbeitungen wie Pilze aus dem Boden - hype ist, was KI ist. Vor allem bei der Mensch-Maschine-Kommunikation bieten Large-Language-Modelle augenscheinlich erstaunlich gute Resultate. Aber eben nicht immer - gerade beim Einsatz von KI-Mechanismen, die personenbezogene Daten verarbeiten, ist der Punkt "... was mit den Daten passiert ..." nur noch schwerlich zu erfüllen. Je nach Trainingsgrad generiert eine KI aber nur mehr oder minder gute Wahrscheinlichkeiten und keine Gewissheiten, wie dies bei klassischen robusten IT-Funktionen der Fall wäre. Damit kann der Fall einer unvorteilhaften bis gravierend falschen Verarbeitung im Einzelfall nicht ausgeschlossen werden und vor allem - durch das "Selbstlernen und -optimieren" der KI nicht zuverlässig reproduziert werden.

Und das gilt es, zur Erfüllung der Informations- und Transparenzpflichten in einfacher und verständlicher Sprache in kurzen Absätzen zu vermitteln - kein leichter Job!

Eine annähernd wahre Aussage wie "Normalerweise führen unsere Verarbeitungen zu einer guten Lösung, im Einzelfall liegen wir aber krass daneben - wir bitten Sie hierfür um Verständnis" ist vermutlich keine geschickte Lösung, insb, auch in Bezug auf Haftungs- oder Schadenersatzansprüche. Es gilt also - auch mittels Durchführung einer Datenschutz-Folgeabschätzung - das Risiko einer KI-basierten Verarbeitung abzuschätzen und den Kunden von den Vorzügen in den Informations- und Transparenzpflichten verständlich zu überzeugen.

Was muss ich nun tun?

Ganz einfach: Prüfen, ob man nicht mittlerweile selbst oder durch einen beauftragten Drittdienstleister Verfahren des Machine-Learning oder KI-basiert anwendet. Das ist mitunter mittlerweile gar nicht mehr trivial, da KI-basierte Algorithmen rasant Einzug in den IT-Alltag erhalten. Sollte dies der Fall sein, steht als nächstes die Überprüfung an, ob und inwiefern personenbezogene Daten der Kunden verarbeitet werden.

Falls beides der Fall sein sollte:

• Ermitteln, wann und wie welche personenbezogenen Daten von der Verarbeitung betroffen sind
• Prüfen, ob eine Datenschutzfolgeabschätzung notwendig ist und ggf. Durchführung
• Ermitteln des Risikos der Verarbeitung für den Kunden
• Evaluieren, in wie weit
• Anpassen der Informations- und Transparenzpflichten
• Anpassen des Cyber-Risiko-Schutzes
• Ggf. Erweitern der Vermögensschadenhaftpflicht
• Festlegen von Richtlinien für Mitarbeiter beim Einsatz von KI

Sollte ein Drittdienstleister ein entsprechendes KI-basiertes Verfahren anwenden, kann man es sich leicht machen:
da dieser sehr wahrscheinlich als Auftragsverarbeiter nach Art. 28 DSGVO verpflichtet ist, hat dieser zur Unterstützung der Durchführung einer DSFA beizutragen.
Aktuell ist auch die EU final mit der Ausarbeitung des AI Actes beschäftigt. Mit dieser KI-Verordnung wird dann auch EU-weit und als weltweit erste Regulierung der Einsatz von Künstlicher Intelligenz und des Machine-Learnings geregelt werden. Auch dieser wird einen freiheitlichen Ansatz verfolgen, bei dem eine Risikobetrachtung des Verarbeitungsvorgangs im Vordergrund steht.

Beim Einsatz von KI: Richtlinien für Mitarbeiter

Datenschutzrechtlich relevant wird der Einsatz von KI-Modellen, wenn personenbezogene Daten von Kunden, Mitarbeitern oder Lieferanten in's Modell der KI bei der Formulierung der Prompts eingespeist werden. Dabei wäre es vordergründig wichtig zu garantieren, das im Prompt eingegebene personenbezogene Daten niemals Bestand des KI-Modells werden und damit möglicherweise Dritten offengelegt würden.

Eine ungewollte Offenlegung kann man auf verschiedene Art und Weise erreichen:

• Das Modell garantiert dies
• Es wird nur eine unternehmensinterne Insel-Lösung verwendet
• Man füttert das Modell nicht mit personenbezogenen Daten

Und spätestens beim dritten Punkt kommen die Richtlinien für Mitarbeiter verpflichtend in's Spiel.
Prävention ist die beste und einfachste Risikominimierung, d.h. Mitarbeiter müssen für die Thematik sensibilisiert und womöglich geschult werden. Das betrifft natürlich die Mitarbeiter im Support genauso wie den Innendienst, den Vertrieb oder auch die Programmierer, die Code per KI generieren lassen oder Marketing-Abteilungen, die sich schicke Grafiken per KI erzeugen.
Auch sollte überprüft werden, zu welchen vertraglichen Vereinbarungen bspw. über NDA, Lieferanten-/Courtageverträge, AVV, Geschäftsgeheimnisse, Berufsrecht usw. man verpflichtet ist und ob diese für den genannten Zweck eine Verarbeitung per KI-Mechanismen überhaupt zulassen.

Was sollte diese Richtlinie enthalten?

• Informationen zum Verständnis der Arbeitsweise von KI
• Urheberrechtliche Informationen
• Datenschutzkonformer Einsatz von Large-Language-Models wir bspw. ChatGPT
• Erlaubte und verbotene Prozesse für den Einsatz von KI
• Erlaubte und verbotene Eingaben von personenbezogenen Daten in KI

Ebenso wie dereinst beim Einsatz von Cloud-Technologien ist die Verwendung von KI weder gut noch schlecht, sondern im Einzelfall ein probates Mittel zur Qualitäts- und Effizienzsteigerung auch in betriebswirtschaftlicher Sicht und für die Customer-Experience.
Die Risiken sollte man aber kennen und gegenüber dem Nutzen abwägen.
Wenn ein durchgeführtes Risikomanagement und eine solide Prävention zur Risikominimierung beiträgt, überwiegt im Einzelfall sicherlich der Nutzen.
Evaluierung der Prozesse und das Sensibilisieren der Mitarbeiter an Hand von Richtlinien und Schulungen tragen sicherlich einen großen Teil dazu bei, vom Einsatz von KI-Technologien zu profitieren.

Noch in anderer Sache: Evaluierung zur Qualität der Arbeit von Datenschutzbeauftragten

Derzeit wird durch die Aufsichtsbehörden ein Fragenbogen zur Qualität der Arbeit von Datenschutzbeauftragten ausgerollt. Sollte Ihr Unternehmen angesprochen werden, unterstütze ich gerne beim Ausfüllen, der Fragebogen ist etwas kantig formuliert und ziemlich umfangreich. Für Interessierte kann der Fragebogen unter https://www.hmdata.de/doc/dsgvo/BayLDA-Pruefbogen-DSB-2023-05-04.pdf vorab eingesehen werden.