AlienCat - stock.adobe.com

Wer für den Datenschutz bei KI verantwortlich sein soll

Für den Datenschutz bei Einsatz von KI ist nach DSGVO das Anwenderunternehmen verantwortlich. Aufsichtsbehörden sehen aber auch Hersteller von KI-Lösungen in der Pflicht.

Der Start von ChatGPT vor einem Jahr war eine Initialzündung für den KI-Einsatz“, so Bitkom-Präsident Dr. Ralf Wintergerst. „ChatGPT hat vielen Menschen erstmals vor Augen geführt, was KI heute schon leisten kann. Für Unternehmen war es noch nie so einfach und kostengünstig wie heute, KI einzusetzen und erste Erfahrungen zu sammeln. Diese Chance gilt es, jetzt zu nutzen.“

Der Digitalverband Bitkom berichtet von einem aktuellen Boom rund um künstliche Intelligenz (KI) und einer stark steigenden Nachfrage im deutschen Markt. 68 Prozent der von Bitkom befragten Unternehmen geben aber auch an, dass sie zurückhaltend beim KI-Einsatz sind, weil sie Angst haben, gegen Vorschriften zu verstoßen. Ein Bereich, in dem durchaus Vorgaben verletzt werden könnten, ist der Datenschutz.

Mögliche Datenschutzverstöße bei KI

Auch bei Nutzung von KI sieht die Datenschutz-Grundverordnung (DSGVO) das Anwenderunternehmen in der Verantwortung, auch wenn es bei KI bislang sehr schwierig erscheint, so viel Sichtbarkeit zu erlangen, dass man als Anwenderin oder Anwender entscheiden könnte, ob durch den Einsatz einer KI die DSGVO verletzt wird oder nicht.

Kommt es also zu einer Datenpanne bei KI-Verwendung, wird die Datenschutzverletzung insbesondere dem Anwenderunternehmen zugerechnet, ganz einfach, weil die DSGVO die Verantwortung nur bei dem Unternehmen selbst oder bei einem Auftragsverarbeiter sieht. Hersteller sind dagegen in der DSGVO gar nicht bedacht worden.

Darauf hatte zum Beispiel der Bundesdatenschutzbeauftragte schon im Mai 2023 hingewiesen: „Wir brauchen eine Herstellerhaftung auch im Datenschutz. Es kann nicht sein, dass vor allem kleine und mittlere Unternehmen dafür datenschutzrechtlich geradestehen müssen, was eigentlich Aufgabe der Microsofts, Googles und AWS dieser Welt wäre. Das gilt umso mehr, wenn zunehmend KI-Systeme zum Einsatz kommen“, so Prof. Kelber.

Aufsichtsbehörden fordern Verantwortung auch bei Herstellern

Kürzlich hat sich das Gremium der deutschen Datenschutzaufsichtsbehörden (Datenschutzkonferenz, DSK) klar positioniert (PDF): Für die Aufsichtsbehörden wäre es demnach problematisch, den KI-Betreibern und KI-Anwendern die vollständige Verantwortung für die Beherrschung der Risiken aufzubürden, wenn sie keine verlässlichen Informationen über die Funktionsweisen, die in das KI-Training eingegangenen Daten sowie die Optimierungsziele erhielten und die auf der Ebene der Basismodelle möglichen Maßnahmen zur Risikoeindämmung fehlten.

Es müsse den KI-Betreibern und KI-Anwendern, darunter gerade auch den heimischen kleinen und mittleren Unternehmen, möglich sein, die Risiken korrekt zu identifizieren. Dies sei nicht nur Bedingung für Datenschutz-Folgenabschätzungen, sondern auch Grundlage, um die Anforderungen zu Datenschutz by Design und by Default zu erfüllen.

Die kommende KI-Verordnung (EU AI Act) sollte daher für alle Beteiligten, auch für Hersteller und Anbieter von Basismodellen, festlegen, welche Anforderungen sie erfüllen müssten (siehe auch AI Act: Einigung bei Regeln für künstliche Intelligenz). Eine einseitige Verschiebung der rechtlichen Verantwortung auf die letzten Stufen der Wertschöpfungskette sei datenschutzrechtlich und wirtschaftlich die falsche Wahl. Nur mit der notwendigen Vertrauenswürdigkeit würde es eine hohe Akzeptanz für die mit KI verbundenen Chancen geben, so die Datenschützer.

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz und Leiter der KI-Taskforce der DSK, Prof. Dr. Dieter Kugelmann, betonte: „KI braucht einen Rahmen, um das Versprechen einzulösen, wonach der Mensch im Mittelpunkt stehen soll. Die Regeln der KI-Verordnung bieten eine solchen Rahmen. Sie sollten relevante Prozesse erfassen und dabei nicht die Verantwortung allein den Anwendern zuschieben. Entwickler und Hersteller müssen ihren Teil der Verantwortung tragen. Dazu bedarf es Regelungen, die auch klare Anknüpfungspunkte für das Datenschutzrecht bieten.“

Was von KI-Entwicklern erwartet wird

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg Prof. Dr. Tobias Keber machte klar: „Wir empfehlen verantwortlichen Stellen, frühzeitig datenschutzrechtliche Fragestellungen zu berücksichtigen, um die Entwicklung und Anwendung von KI Systemen nachhaltig und sicher zu fördern. Ein regelmäßiger Blick auf den Stand der Verhandlungen der KI-Verordnung ist dabei wichtig, zentrale Vorgaben für die Rechtmäßigkeit der Datenverarbeitung durch KI-Systeme sieht aber bereits das geltende Recht vor.“

KI-Entwickler stehen heute schon in der Verantwortung“, betonte Bettina Gayk im August 2023, Landesbeauftragte für Datenschutz und Informationsfreiheit in NRW. Die Datenschutztaufsichtsbehörden haben auch bereits seit längerem ihre Forderungen an KI-Systeme formuliert, insbesondere in der Hambacher Erklärung (PDF). Die dort genannten Forderungen an datenschutzkonforme KI-Systeme betreffen auch das „Design des KI-Systems und deren KI-Komponenten“, ganz offensichtlich etwas, was weder Anwender noch Betreiber sondern nur Hersteller gewährleisten können.

Wenn es also nach den Datenschützern geht, wird der Datenschutz bei KI-Systemen nicht nur eine Aufgabe der Anwender und Auftragsverarbeiter sein, sondern auch der Hersteller. Ohne Zweifel ein richtiger Ansatz, der gerade dem Mittelstand helfen würde, KI erfolgreich einzusetzen.

Erfahren Sie mehr über Künstliche Intelligenz (KI) und Machine Learning (ML)