Ohne Zweifel bietet die KI-Technologie große Chancen für Unternehmen und den öffentlichen Sektor. Soweit beim Einsatz von KI-Technologie aber personenbezogene Daten verarbeitet werden müssen die Regelungen der Datenschutz-Grundverordnung („DSGVO“) eingehalten werden.
Der Vorstand bzw. der Geschäftsführer hat die Einhaltung der gesetzlichen Regelungen sicherzustellen. Dies ergibt sich aus der sogenannten Legalitätspflicht, welche Geschäftsführer und Vorstand unterliegen.
Es stellt sich also regelmäßig die Frage, ob die DSGVO Anwendung findet.
Wann handelt es sich um personenbezogene Daten?
Der Begriff der personenbezogenen Daten ist in der DSGVO in Artikel 4 Nr. 1 DSGVO legaldefiniert.
„Personenbezogene Daten“ sind demnach alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen.
Aufsichtsbehörden und Gerichte legen den Begriff der personenbezogenen Daten in der Praxis sehr weit aus.
In einer jüngeren Entscheidung hat der europäische Gerichtshof etwa entschieden dass der sogenannte „TC-String“ ein personenbezogenes Datum darstellt (vgl. EuGH Urteil vom 07.03.2024 – C-604/22).
Bei dem „TC-String“ handelt es sich um eine eine Kombination von Buchstaben und Zeichen, welche die Präferenzen eines Internetnutzers in Bezug auf dessen Einwilligung in die Verarbeitung von ihn betreffenden personenbezogene Daten durch Dritte enthält. Dabei handelt es sich – so der EuGH – um Informationen, „die sich auf eine natürliche Person beziehen“. Kann der TC-String mit vertretbaren Aufwand einer Kennung, wie insbesondere der IP-Adresse zugeordnet werden, so handelt es sich um ein personenbezogenes Datum.
Im Zweifel ist es also für aufgrund dieser weiten Auslegung des Begriffs der personenbezogenen Daten für Unternehmen ratsam, von einem personenbezogenen Datum und damit der Anwendbarkeit der DSGVO auszugehen.
Ausgewählte Problemstellungen beim Einsatz von KI-Technologie
Bei dem Einsatz von KI-Technologie stellen sich eine Vielzahl von Fragen:
- Wurden personenbezogene Daten für das Training der KI verwendet?
- Welche Daten werden eingegeben? („Prompting“)
- Welche Daten werden ausgegeben?
- Welche Daten werden im Anmeldeprozess verarbeitet? (Beschäftigtendaten?)
- Welche Daten werden im Verarbeitungsprozess der KI verarbeitet
Wesentlich ist, dass diese Fragen nachweislich vor dem Einsatz der KI-Technologie im Unternehmen geklärt werden und die Ergebnisse dokumentiert werden. Nur damit kann der Rechenschaftspflicht aus Artikel 5 Absatz 2 DSGVO nachgekommen werden.