KI trifft Datenschutz – vom Sachverhalt zur Dokumentation und Bewertung

Wie Unternehmen DS-GVO und KI-Verordnung praxisnah zusammenführen können

Der Einsatz von Künstlicher Intelligenz bringt Chancen, wirft aber zugleich komplexe datenschutzrechtliche Fragen auf. Datenschutzrechtliche Anforderungen stehen mitunter in einem Spannungsverhältnis zu Anforderungen der europäischen KI-Verordnung. Für Unternehmen bietet sich die Chance, eine KI-Governance zu implementieren, welche Synergien bestehender Management-Systeme nutzt. Der Vortrag zeigt praxisnah anhand eines Beispielfalls auf, wie ein Sachverhalt aus datenschutzrechtlicher Sicht und aus Perspektive der KI-VO dokumentiert und bewertet werden kann. Dabei wird u.a. darauf eingegangen, welche bestehenden Compliance-Systeme genutzt werden können, um Synergien zu schaffen. Dies wird am Beispiel bestehender Strukturen im Datenschutz anhand des bei der CARIAD SE eingesetzten Tools Vias Pro veranschaulicht.

1. Sachverhaltsdokumentation – der Ausgangspunkt jeder Bewertung

Bevor eine rechtliche Analyse und daran anschließende Beratung der Fachbereiche erfolgen kann, ist eine strukturierte Erfassung des Sachverhalts notwendig. Dieser ist ebenfalls Voraussetzung für ein Verzeichnis der Verarbeitungstätigkeiten.

Neben der DS-GVO und der KI-VO existieren zahlreiche weitere Digitalrechtsakte, die berücksichtigt werden müssen. Im Unternehmen bietet es sich daher an, für die datenschutzrechtliche Bewertung und die Pflege des Verzeichnisses der Verarbeitungstätigkeiten der Sachverhaltsermittlung besondere Aufmerksamkeit zu schenken. Dabei sollten bestehende Strukturen genutzt und um besondere Anforderungen an KI-Systeme ergänzt werden.

Im Hinblick auf die Operationalisierung der Beratung bietet es sich an, für die Beratung zu KI-Systemen hinsichtlich der Anforderungen der KI-VO auf bestehende Datenschutzmanagementsysteme zurückzugreifen und diese derart anzupassen, sodass neben den Anforderungen der DS-GVO auch diejenigen der KI-VO berücksichtigt werden.

Bei KI-Systemen bedeutet dies u.a.:

Welche Daten werden verarbeitet?
Welche Algorithmen oder Modelle kommen zum Einsatz?
Welche Zwecke werden verfolgt?
Welche Akteure (Entwickler, Anbieter, Nutzer) sind beteiligt?

Ohne eine vollständige Dokumentation relevanter Prozesse kann weder eine DSGVO-konforme Bewertung noch eine Beratung hinsichtlich der Anforderungen nach der KI-VO erfolgen. In der Praxis empfiehlt sich daher die toolbasierte Beratung der Fachbereiche sowie ein Business Partnering Ansatz, der die Fachbereiche mit einbezieht.

2. Datenschutzrechtliche Bewertung – Prüfung am Maßstab der DSGVO

Auf Basis der Dokumentation schließt sich die datenschutzrechtliche Bewertung an. Hier stehen insbesondere folgende Fragen im Vordergrund:

Rechtsgrundlage: Auf welcher Basis erfolgt die Verarbeitung personenbezogener Daten? (Art. 6 DSGVO)
Datenminimierung und Zweckbindung: Werden nur die Daten erhoben, die tatsächlich benötigt werden, und ausschließlich für definierte Zwecke genutzt?
Transparenz: Werden Betroffene ausreichend informiert, z. B. über den Einsatz von KI bei Entscheidungen?
Rechte der Betroffenen: Können Auskunfts-, Lösch- oder Widerspruchsrechte effektiv gewährt werden?
Datenschutz-Folgenabschätzung (DSFA): Bei hohem Risiko – etwa automatisierten Einzelentscheidungen – ist eine DSFA verpflichtend.

Die datenschutzrechtliche Beratung wird dabei um besondere Anforderungen hinsichtlich des Einsatzes von KI-Systemen ergänzt. So wird bei der Entwicklung von Funktionen und Diensten sichergestellt, dass die Datenverarbeitung den Anforderungen der DSGVO entspricht.

3. Anforderungen der KI-VO – neue Dimensionen durch Produktsicherheitsrecht

Durch die europäische KI-Verordnung existieren erstmals Anforderungen im Produktsicherheitsrecht für KI-Systeme. Die KI-Verordnung fügt sich dabei in den New Legislative Framework (NLF) ein, sodass tradiertes Produktsicherheitsrecht auf KI-Systeme und in vielen Fällen Datenverarbeitungen trifft. Die KI-Verordnung verfolgt einen risikobasierten Ansatz und unterscheidet zwischen verschiedenen Arten von KI-Systemen. Für Hochrisiko-KI-Systeme wie bspw. solche, die im Personalrecruiting zum Einsatz kommen, gelten strenge Anforderungen:

Risikomanagementsystem: Kontinuierliche Identifikation, Bewertung und Minimierung von Risiken.
Technische Dokumentation: Vollständige Nachvollziehbarkeit von Trainingsdaten, Algorithmen und Systemverhalten.
Transparenzpflichten: Nutzer:innen müssen erkennen können, dass sie mit einer KI interagieren.
Human Oversight: Menschen müssen in der Lage sein, das System zu überwachen und im Zweifel einzugreifen.

Durch die Zusammenarbeit mit dem Fachbereich liegen bereits die erforderlichen Sachverhaltsinformationen vor, die eine datenschutzrechtliche Bewertung ermöglichen. Neben datenschutzrechtlichen Anforderungen bei KI-Systemen sollten zudem Spannungsverhältnisse zur KI-VO berücksichtigt und pragmatisch aufgelöst werden.

4. Nutzung von Synergien – auf bestehende Compliance-Strukturen zurückgreifen

Viele Unternehmen verfügen bereits über funktionierende Compliance-Managementsysteme. Im Datenschutz existieren operationalisierte Datenschutz-Managementsysteme. Insbesondere eine toolbasierte Herangehensweise bietet die Möglichkeit, die Anforderungen aus der KI-VO im bestehenden Prozess zu ergänzen und nach der Sachverhaltsermittlung neben der datenschutzrechtlichen Bewertung auch die Anforderungen der KI-VO zu ermitteln. Dabei können verschiedene Stakeholder in Unternehmen eingebunden werden, sodass der Prozess möglichst effektiv und ressourcenschonend ist.

5. Bewertung eines KI-Systems – Risikoanalyse in der Praxis

Schlussendlich folgt die konkrete rechtliche Bewertung des KI-Systems, wobei daraus wiederum Anforderungen resultieren können, welche datenschutzrechtliche Relevanz haben, etwa die Notwendigkeit, sensible personenbezogene Daten zu verarbeiten.

Fazit – Schlanke Prozesse im Unternehmen durch Rückgriff auf bestehende Compliance-Managementsysteme

Der Einsatz von KI-Systemen ist mit Chancen, aber auch mit erheblichen rechtlichen und ethischen Herausforderungen verbunden. Eine gründliche Sachverhaltsdokumentation ist die Basis, um sowohl die Anforderungen der DS-GVO als auch der KI-VO zu ermitteln und umzusetzen. Unternehmen, die bestehende Datenschutzstrukturen gezielt erweitern, profitieren gleich doppelt: Sie reduzieren den Aufwand durch Synergieeffekte und auch die Fachbereiche werden schneller und unkomplizierter beraten, denn durch die toolbasierte Unterstützung lassen sich Ressourcen einsparen und Prozesse verschlanken.

Der Vortrag von Dr. Dr. Hans Steege verdeutlicht, dass die datenschutzrechtliche Beratung im Unternehmen davon profitiert, wenn Silos zwischen den Abteilungen aufgebrochen werden und bestehende Governance-Strukturen genutzt werden, um die neuen Anforderungen der KI-VO umzusetzen. Dabei kann insbesondere auf bestehende Strukturen im Datenschutz zurückgegriffen werden. Dadurch können Synergieeffekte genutzt werden. Sowohl für die zu beratenden Fachbereiche als auch mit Blick auf die Governance-Strukturen sowie hinsichtlich der Aufsichtsbehörden führt dies zu positiven Effekten.

IDACON Tag 1 | 16:00 - 17:00 Uhr

Forum 1: KI trifft Datenschutz – vom Sachverhalt zur Dokumentation und Bewertung

Der Vortrag zeigt praxisnah anhand eines Beispielfalls auf, wie ein Sachverhalt aus datenschutzrechtlicher Sicht und aus Perspektive der KI-VO dokumentiert und bewertet werden kann. Dabei wird u.a. darauf eingegangen, welche bestehenden Compliance-Systeme genutzt werden können, um Synergien zu schaffen. Dies wird am Beispiel bestehender Strukturen im Datenschutz veranschaulicht.