Die Konvergenz zwischen dem Schutz personenbezogener Daten und der Entwicklung von Systemen der künstlichen Intelligenz wirft bedeutende neue rechtliche Herausforderungen auf. Die Datenschutz-Grundverordnung (DSGVO) und das spanische Organische Gesetz zum Datenschutz und zur Gewährleistung digitaler Rechte (LOPDGDD) gelten vollständig für KI-Systeme, die personenbezogene Daten verarbeiten, aber die neue KI-Verordnung führt zusätzliche Anforderungen ein, die einen doppelten Compliance-Rahmen schaffen.
Rechtsgrundlagen für die Verarbeitung in KI-Systemen
Viele KI-Systeme werden mit großen Mengen personenbezogener Daten für das Training gespeist. Die häufigste Rechtsgrundlage ist das berechtigte Interesse (Art. 6 Abs. 1 lit. f DSGVO), obwohl seine Anwendung einen Abwägungstest erfordert, den Massen-KI-Systeme möglicherweise nicht bestehen. Die informierte Einwilligung erfordert, dass die betroffene Person versteht, wie ihre Daten in einem KI-Kontext verwendet werden, was komplex sein kann, wenn das Modell auf historischen Daten trainiert wird oder kontinuierlich aktualisiert wird.
Für besondere Kategorien personenbezogener Daten — Gesundheitsdaten, biometrische Daten, politische oder religiöse Überzeugungen — verlangt die DSGVO zusätzlich eine Bedingung nach Art. 9 Abs. 2, was in der Praxis das Training von KI-Modellen auf dieser Art von Daten ohne ausdrückliche Einwilligung oder eine spezifische Rechtsgrundlage erheblich einschränkt.
Automatisierte Entscheidungen und Profiling
Art. 22 DSGVO regelt das Recht, nicht ausschließlich auf automatisierter Verarbeitung basierenden Entscheidungen unterworfen zu sein. Unternehmen, die KI für Entscheidungen mit erheblichen Auswirkungen auf Einzelpersonen einsetzen (Kredit, Beschäftigung, Versicherung, Zugang zu Dienstleistungen), müssen eine sinnvolle menschliche Intervention, Prozesstransparenz und die Möglichkeit der Anfechtung gewährleisten. In der Praxis bedeutet dies, einen Überprüfungsmechanismus durch eine natürliche Person zu haben — nicht nur einen formalen —, die tatsächlich in der Lage ist, das algorithmische Ergebnis zu verändern.
Die spanische Datenschutzbehörde (AEPD) hat spezifische Leitlinien zu KI und Datenschutz veröffentlicht und erklärt, dass die menschliche Intervention real und nicht nur symbolisch sein muss: Ein Bediener, der das Ergebnis des Algorithmus lediglich validiert, ohne effektive Überprüfungsfähigkeit, erfüllt die Anforderungen von Art. 22 nicht.
Datenschutz-Folgenabschätzungen (DSFAs)
Wenn die Datenverarbeitung in einem KI-System voraussichtlich zu hohen Risiken für die Rechte und Freiheiten der betroffenen Personen führt, muss vor Beginn der Verarbeitung eine Datenschutz-Folgenabschätzung (DSFA) durchgeführt werden. Die KI-Verordnung fügt eigene Konformitätsbewertungen für Hochrisikosysteme hinzu, was potenziell eine doppelte Compliance-Belastung schafft.
Hochrisiko-KI-Systeme im Sinne der KI-Verordnung umfassen unter anderem: Systeme zur Verwaltung kritischer Infrastrukturen, KI in Bildung und Berufsausbildung, Personalauswahlsysteme, Kreditsysteme, Systeme in der Justizverwaltung und biometrische Identifizierungssysteme. Für all diese muss das Unternehmen das Systemdesign, die verwendeten Datensätze, die menschlichen Aufsichtsmaßnahmen und die Ergebnisse von Robustheitstests dokumentieren.
Die Rolle des Datenschutzbeauftragten (DSB) in KI-Umgebungen
Unternehmen, die nach Art. 37 DSGVO zur Bestellung eines DSB verpflichtet sind — einschließlich solcher, die eine umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten oder systematisches Profiling durchführen —, müssen ihren DSB von Anfang an in Design und Prüfung von KI-Systemen einbeziehen. Dieses Privacy-by-Design-Prinzip ist besonders wichtig, wenn ein KI-System von einem externen Anbieter bezogen wird: Der Auftragsverarbeitungsvertrag muss die Pflichten aus Art. 28 DSGVO widerspiegeln, und der Auftraggeber muss überprüfen, ob der Lieferant die KI-Verordnung einhält.
Transparenz und Nutzerinformation
Die DSGVO verlangt, dass betroffene Personen klar darüber informiert werden, wie ihre Daten verwendet werden, einschließlich ob sie für automatisierte Entscheidungen genutzt werden. Die Datenschutzhinweise vieler Unternehmen sind in dieser Hinsicht nach wie vor unzureichend. Die Information muss die angewandte Logik, die Bedeutung der Verarbeitung und die vorgesehenen Konsequenzen für die betroffene Person umfassen. Erwägungsgrund 71 DSGVO gibt interpretative Hinweise zum erforderlichen Detaillierungsgrad.
Sanktionen und Aufsicht
Schwerwiegende DSGVO-Verstöße — einschließlich solcher im Zusammenhang mit KI-Systemen — können Bußgelder von bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes nach sich ziehen. Die KI-Verordnung fügt ein eigenes Sanktionsregime mit Bußgeldern von bis zu 30 Millionen Euro oder 6% des weltweiten Umsatzes für die schwersten Verstöße hinzu (Einsatz verbotener KI-Systeme). Die spanische AEPD agiert als nationale Aufsichtsbehörde für beide Regulierungsrahmen in Bezug auf Datenschutzangelegenheiten.
Praktische Schritte für Unternehmen, die KI Einsetzen
Für Unternehmen, die KI-Systeme bereits nutzen oder planen, empfiehlt sich folgender Compliance-Fahrplan: Erstens, Inventarisierung aller eingesetzten KI-Tools (einschließlich SaaS-Drittlösungen mit KI-Funktionen) und Klassifizierung nach Risikoniveau gemäß der KI-Verordnung; zweitens, Überprüfung aller Auftragsverarbeitungsverträge mit KI-Anbietern zur Sicherstellung der Art.-28-DSGVO-Klauseln und KI-Konformitätspflichten; drittens, Aktualisierung interner Datenschutzhinweise zur Beschreibung automatisierter Entscheidungsfindung; und viertens, Durchführung einer DSFA für jede im Mapping-Prozess identifizierte hochriskante Verarbeitungsaktivität.
Dieser Prozess muss nicht aufwendig sein, wenn er systematisch angegangen wird. Viele Organisationen stellen fest, dass bestehende DSGVO-Compliance-Infrastruktur — Verarbeitungsverzeichnisse, DSFAs für bestehende Systeme, Lieferantenmanagementsysteme — eine solide Grundlage bietet, die mit gezielten Ergänzungen auf KI-spezifische Anforderungen ausgeweitet werden kann, anstatt einen vollständigen Neuaufbau zu erfordern.
Bei BMC beraten wir zu Datenschutz und künstlicher Intelligenz. Unsere Datenschutzdienstleistungen ansehen.
