Datenschutz und KI: Dreamteam statt Showstopper

Von Dr. Kristina Schreiber | Partnerin | Loschelder Rechtsanwälte PartGmbB

KI eröffnet faszinierende Möglichkeiten. Mit vielen Chancen gehen noch größere Herausforderungen einher, insbesondere im Bereich des Datenschutzes.

Es gibt Wege, KI und Datenschutz sicher, rechtskonform und zukunftsorientiert in Einklang zu bringen – ohne „Showstopper“ für Ideen und Innovation zu sein und ohne unkontrollierbare Türen für den Schutz unserer Daten zu öffnen.

Voraussetzungen hierfür sind ein Verständnis der technischen Hintergründe von KI und der gesetzlichen Vorgaben sowie Strategien zur technisch und organisatorisch datenschutzkonformen Umsetzung in der Praxis.

2025 wird das KI-Jahr: Die ersten Pflichten der KI-Verordnung gelten ab letztem Monat, Integration und Einsatz von KI in Unternehmen nehmen rasant an Fahrt auf, genauso, wie die KI-Forschung und Weiterentwicklung. Das erfordert immer mehr Daten, auch personenbezogene Daten, für Training und Feinjustierung. Diese Daten zu schützen und gleichzeitig die Chancen von KI zu nutzen, ist aktuell wohl eine der größten Herausforderungen im praktischen Datenschutz.

Wechselwirkung zwischen Datenschutzrecht und KI-Verordnung

Technische Hintergründe

KI-Modelle werden mit großen Datenmengen trainiert, KI-Systeme mit spezifischen Daten nachjustiert. Oftmals werden dabei auch personenbezogene Daten verwendet, genau wie bei der täglichen Anwendung.

Für einen adäquaten Datenschutz bei der Entwicklung und Anwendung von KI-Modellen und Systemen ist die Analyse elementar, in welcher Phase welche Daten verwendet werden (sollen).

Grundsätzlich kann das im gesamten Lebenszyklus einer KI-Anwendung der Fall sein:

Von der Erhebung der Trainingsdaten
über die Durchführung des Trainings der KI
die Feinjustierung und Anpassung an die konkreten Einsatzbereiche
über das Prompting
bis hin zur Verwertung der Ergebnisse des intelligenten Helfers!

Die im August 2024 in Kraft getretene KI-Verordnung sieht daher – nicht verwunderlich – vor, dass die in ihr festgelegten Rechte und Pflichten neben der DSGVO Anwendung finden (Art. 2 Abs. 7 KI-VO). Beim Einsatz von KI sind also weiterhin datenschutzrechtliche Vorgaben vollständig mitzudenken, wann immer personenbezogene Daten betroffen sind. Wo genau dabei personenbezogene Daten verarbeitet werden und unter welchen Bedingungen das zulässig ist, beschäftigt die Fachwelt: Der Europäische Datenschutzausschuss (EDSA) hat in seiner aktuellen Stellungnahme 28/2024 einen differenzierten Ansatz befürwortet, der eine Einzelfallanalyse erforderlich macht.

Um zu wissen, wo für den Schutz personenbezogener Daten anzuknüpfen und welche Maßnahmen wann sinnvollerweise umzusetzen sind (z. B. Sensibilisierung, Informationspflichten), muss klar sein, wie KI funktioniert und wann ihr Einsatz den Datenschutz berührt.

Grundlage für viele Arten der KI ist das Machine Learning. Machine Learning-Modelle werden trainiert, um Muster und Zusammenhänge in Daten zu erkennen und darauf basierend Entscheidungen oder Vorhersagen zu treffen. Das Machine Learning ermöglicht die Entwicklung generativer und prädikativer KI:

Generative KI nutzt das Machine Learning, um neue Inhalte, z. B. Texte, Bilder, Videos, zu erzeugen. Ein Teilbereich der generativen KI sind Large Language Models (sog. LLM), die Texte erkennen und generieren können. Der wohl bekannteste Vertreter ist ChatGPT von OpenAI.
Prädiktive KI verwendet das maschinelle Lernen, um zukünftige Ereignisse vorherzusagen, in einem bestimmten Anwendungsfall.

Nach dem abgeschlossenen Training beinhalten insbesondere LLMs regelmäßig selbst keine personenbezogenen Daten in Klarform mehr: Die Texte, mit denen das Modell gefüttert wurde, werden in kleinere Einheiten, sog. Token (Wortbausteine) zerlegt, die wiederum in numerische Vektoren umgewandelt werden. Während der Anwendung analysieren die Modelle die eingegebenen Daten (sog. Prompts), indem sie Muster erkennen und Wahrscheinlichkeiten berechnen, um Vorhersagen über die Reihenfolge bestimmter Wortbausteine zu treffen. Hieraus entstehen schließlich an der Oberfläche ganze Wörter und Sätze, der Output.

Personenbezogene Daten in KI-Anwendungen

Sie merken: All das erweckt den Eindruck, als seien die in einem KI-Modell enthaltenen Datensätze eher anonym als personenbezogen. Allerdings können bei der Anwendung doch wieder personenbezogene Daten entstehen, so dass womöglich auch in den trainierten Modellen selbst noch personenbezogene Daten vorliegen. Der Hamburger Datenschutzbeauftragte hat dies in seinen Thesen zu LLMs verneint, Vertreter der ULD Schleswig-Holstein in einer wissenschaftlichen Abhandlung bejaht.

Der EDSA vertritt in seiner aktuellen Stellungnahme 28/2024 einen differenzierten Ansatz: Gerade bei LLMs für die Nutzung im Personalbereich, die entsprechend nachtrainiert wurden mit personenbezogenen Daten, können auch im Modell bzw. System schnell personenbezogene Daten liegen. Hier ist eine Prüfung im konkreten Anwendungsfall notwendig. Wenn personenbezogene Informationen, die zum Trainieren des KI-Modells verwendet wurden, mit vernünftigen Mitteln aus dem Modell heraus gewonnen werden können, kann nach Ansicht des EDSA davon ausgegangen werden, dass dieses KI-Modell nicht anonym ist – mit anderen Worten: personenbezogene Daten enthält.

Datenschützer wissen, diese Schlussfolgerung führt zu einer weiteren: Für die Verarbeitung personenbezogener Daten im Zusammenhang mit dem Einsatz von KI ist stets eine Erlaubnisgrundlage erforderlich, sämtliche Datenverarbeitungsgrundsätze der DSGVO sind einzuhalten.

Als Erlaubnisgrundlage kommt dabei auch das berechtigte Interesse an der Verarbeitung in Frage. Der EDSA hat sich mit dieser Erlaubnisgrundlage zuletzt intensiv beschäftigt und es je nach Fallgestaltung für möglich gehalten, diese Erlaubnis in der Praxis heranzuziehen, um KI-Modelle zu entwickeln und anzubieten.

Auch Rechenschaftsanforderungen der DSGVO müssen beim KI-Einsatz mitgedacht und erfüllt werden, etwa

Datenschutztage 2025

Wie sich all dies zu einem großen Ganzen des datenschutzkonformen KI-Einsatzes entwickelt, vom Training bis hin zur Anwendung, wird Gegenstand des Intensivseminars „KI & Datenschutz: Was geht wie datenschutzkonform?“ im Rahmen der Datenschutztage 2025 sein.

Hier erfahren Sie, wie Sie die Potenziale von KI ausschöpfen und gleichzeitig den Anforderungen der DSGVO gerecht werden. Sie bekommen praxisgerechte Lösungen und konkrete Strategien zur datenschutzkonformen Einbindung von KI im Unternehmen an die Hand, unter Berücksichtigung der Querverbindungen zur KI-Verordnung.

Wir haben ChatGPT gefragt, ob Datenschutz und KI sich wohl vertragen. Die Antwort lautet: „Die Beziehung zwischen KI und Datenschutz ist komplex und kann sowohl komplementär als auch konfliktreich sein.“ Dreamteam oder Showstopper?

Wir meinen: Der Weg zum Dreamteam verlangt Sensibilisierung, sorgfältige Planung, Transparenz und Pflege – aber welche Freundschaft tut das nicht? Möglich ist das allemal.

KI & Datenschutz: Was geht wie datenschutzkonform?

Mit Dr. Kristina Schreiber Partnerin | Loschelder Rechtsanwälte PartGmbB

Im Intensivseminar KI & Datenschutz erarbeiten wir, wo Datenschutz bei KI-Anwendungen relevant wird und wie KI datenschutzkonform einsetzbar ist. Wir differenzieren dafür zum einen zwischen den verschiedenen KI-Anwendungen und der Evolution von der Entwicklung bis hin zur Anwendung. Zum anderen fokussieren wir uns auf die konkrete Umsetzung in für die Erfüllung der Rechenschaftsanforderungen der DSGVO, etwa im Verarbeitungsverzeichnis, den Datenschutzinformationen, in Betriebsvereinbarung und KI-Richtlinien bis hin zu Regelungen in Verträgen mit Kunden.