Reuschlaw

Acht-Punkte-Plan zur Datenschutz-Compliance von KI

Das vor­über­ge­hen­de Ver­bot des KI-Tools ChatGPT in Ita­li­en hat eine inten­si­ve Debat­te zu den daten­schutz­recht­li­chen Anfor­de­run­gen an die Ent­wick­lung, den Betrieb und die Nut­zung von KI-Systemen ent­facht. Auch die deut­schen Daten­schutz­auf­sichts­be­hör­den prü­fen der­zeit die Ein­hal­tung der daten­schutz­recht­li­chen Anfor­de­run­gen bei ChatGPT. Hier­zu haben die Behör­den unter ande­rem einen Kata­log mit über 40 Fra­gen zum Daten­schutz an ChatGPT-Betreiber Ope­nAI über­sandt. Der Fra­gen­ka­ta­log gibt einen inter­es­san­ten Ein­blick in das lau­fen­de Prüf­ver­fah­ren und die Her­an­ge­hens­wei­se der Daten­schutz­auf­sichts­be­hör­den. Dar­über hin­aus kann der Fra­gen­ka­ta­log Unter­neh­men auf viel­fäl­ti­ge Wei­se bei der Über­prü­fung und Ver­bes­se­rung der Datenschutz-Compliance bei KI dienen.

Acht-Punkte-Plan zur Datenschutz-Compliance von KI

Neben tief­ge­hen­den Audits rund um die Ent­wick­lung, den Betrieb und die Nut­zung von KI-Systemen lässt sich bei­spiels­wei­se der fol­gen­de Acht-Punkte-Plan für eine schnel­le Betrach­tung ablei­ten. Ein KI-System ist mit den Anfor­de­run­gen der DSGVO ver­ein­bar, wenn …

  1. … die Grund­sät­ze der Daten­ver­ar­bei­tung (insb. Zweck­bin­dung, Daten­mi­ni­mie­rung und Spei­cher­be­gren­zung) ein­ge­hal­ten werden.
  2. … die Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten in vol­lem Umfang auf eine Rechts­grund­la­ge gestützt wer­den kann und bei der Ver­ar­bei­tung von beson­de­ren Kate­go­rien von per­so­nen­be­zo­ge­nen Daten die beson­de­ren Anfor­de­run­gen von Art. 9 DSGVO erfüllt werden.
  3. … die Daten­ver­ar­bei­tung trans­pa­rent erfolgt und die Betrof­fe­nen­rech­te gewähr­leis­tet werden.
  4. … die Anfor­de­run­gen an Daten­si­cher­heit, Data Pro­tec­tion by Design und daten­schutz­freund­li­che Vor­ein­stel­lun­gen erfüllt sind.
  5. … eine Daten­schutz­fol­gen­ab­schät­zung durch­ge­führt wurde.
  6. … der Schutz von Kin­dern und Jugend­li­chen gewähr­leis­tet ist.
  7. … bei Dritt­lands­über­mitt­lun­gen ein ange­mes­se­nes Daten­schutz­ni­veau gewähr­leis­tet ist.
  8. … bei einer Wei­ter­nut­zung der Daten durch ande­re Diens­te oder Unter­neh­men die daten­schutz­recht­li­che Ver­ant­wort­lich­keit und Zuläs­sig­keit geklärt ist.

Bewer­tung und Ausblick

Es zeich­net sich ein grund­sätz­li­ches Span­nungs­ver­hält­nis zwi­schen KI und Daten­schutz ab. Die Ver­ein­bar­keit von DSGVO und KI wird daher nicht nur die Behör­den, son­dern auch die Pra­xis in Zukunft wei­ter beschäf­ti­gen. Auch die geplan­te KI-Verordnung dürf­te zu viel­fäl­ti­gen recht­li­chen Her­aus­for­de­run­gen beim Ein­satz von KI füh­ren. Für den Daten­schutz gibt der Fra­gen­ka­ta­log der Daten­schutz­auf­sichts­be­hör­den Ver­ant­wort­li­chen aber schon heu­te viel­fäl­ti­ge Mög­lich­kei­ten zur Kon­trol­le und Ver­bes­se­rung der eige­nen Com­pli­ance an die Hand. Wer KI-Systeme ent­wi­ckelt, betreibt oder nutzt, soll­te ent­spre­chen­de Maß­nah­men ergreifen.

zurück

Bleiben Sie
up to date

Wir verwenden Ihre E-Mail-Adresse ausschließlich für den Versand unseres Newsletters. Sie können Ihre Einwilligung hierfür jederzeit mit Wirkung für die Zukunft widerrufen. Weitere Informationen entnehmen Sie bitte unserer Datenschutzerklärung.