Datenschutz beim Einsatz künstlicher Intelligenz im Unternehmen
Ein Beitrag von Prof. Dr. Alexander Golland
Die allgemeine Verfügbarkeit generativer KI-Modelle, allen voran die großen Sprachmodelle (Large Language Models, kurz: LLM) wie ChatGPT von OpenAI oder Bing AI von Microsoft, erfreuen sich größter Beliebtheit: LLM sind in der Lage, auf Grundlage statistischer Methoden – eine entsprechende Schnittstelle vorausgesetzt – auch technisch wenig versierten Nutzern verständliche Antworten auf ihre Fragen zu liefern. Datenschutzrechtlich stellt der Einsatz solcher LLM Unternehmen aber vor große Herausforderungen.
Anwendbarkeit des Datenschutzrechtes
LLM verarbeiten massenhaft personenbezogene Daten. Diese können sich in der Eingabe („prompt“) oder in der Ausgabe wiederfinden. Auch die bei der Interaktion mit dem LLM anfallenden Daten sind personenbezogene Daten. Ob das anhand personenbezogener Daten trainierte LLM selbst als personenbezogen einzustufen ist, ist umstritten.
Datenschutzrechtlich verantwortlich ist stets das Unternehmen, das LLM einsetzt. Der Anbieter des LLM ist i. d. R. als Auftragsverarbeiter tätig. Sofern das LLM anhand von Nutzungsdaten trainiert wird, kann dies aber auch zu einer gemeinsamen Verantwortlichkeit der Beteiligten führen. In diesem Fall bedarf es (ggf. neben dem Auftragsverarbeitungsvertrag) auch einer entsprechenden Vereinbarung sowie einer (zusätzlichen, den Datenaustausch legitimierenden) Rechtsgrundlage.
Überwiegende Interessen als Rechtfertigung der LLM-Nutzung
Als Rechtsgrundlage für die Datenverarbeitung kommt allein die zugunsten des Unternehmens ausfallende Abwägung seiner Interessen mit den Interessen der von der Datenverarbeitung Betroffenen in Betracht (Art. 6 Abs. 1 Satz 1 lit. f DSGVO). Schwierigkeiten bestehen dann, wenn die Daten auch für die Weiterentwicklung des LLM verwendet werden, wenn Daten von Minderjährigen verarbeitet werden oder wenn (auch) sog. sensible Daten erhoben werden. All dies kann nicht wirksam ausgeschlossen werden, wenn das LLM auf weitere Quellen, insbesondere das Internet, zugreift.
Wird das LLM eingesetzt, um Entscheidungen zu treffen (oder diese in relevantem Maß vorzubereiten), die rechtliche Wirksamkeit gegenüber Betroffenen entfalten oder diese vergleichbar beeinträchtigen, ist dies nur zulässig, wenn eine der Ausnahmen des Art. 22 Abs. 2 DSGVO vorliegt. Da die Reichweite der Ausnahmetatbestände umstritten ist, ist dies mit zusätzlichen Rechtsrisiken verbunden.
Betroffenenrechte und weitere relevante Pflichten eines Unternehmens
Herausforderungen stellen sich auch bei der Erfüllung der Betroffenenrechte: Sowohl Datenschutzinformationen (Art. 13 f. DSGVO) als auch Auskünfte (Art. 15 DSGVO) lassen sich nur schwer vollständig und korrekt erteilen, insbesondere wenn das LLM auf das Internet zugreift. Auch das „Halluzinieren“ von LLM steht im Widerspruch zum Gebot der Datenrichtigkeit (vgl. Art. 16 DSGVO).
Neben passenden Datenschutzverträgen ist auch eine Datenschutzfolgenabschätzung i. d. R. erforderlich. Bei LLM-Anbietern in den USA ist zu prüfen, ob diese nach dem Data Privacy Framework zertifiziert sind. Ist dies nicht der Fall, sind EU-Standarddatenschutzklauseln abzuschließen.
____________________________________________
Dies ist eine Kurzfassung des Beitrages NWB 2024 Seite 420-432
SNEAK 👀 – Exklusiv bei tax&bytes! Lesen Sie den Artikel jetzt kostenlos und in voller Länge in der NWB-Datenbank 🤫
