KI und Datenschutz: Leitfaden der Datenschutzbehörde DSB

Datenschutz ist ein sehr heikles Thema und im digitalen Bereich durch eine Vielzahl von Bestimmungen und Regeln reguliert. Seit dem Mai 2018 müssen die Speicherung, Nutzung und der Transfer digitaler Daten die Bestimmungen der Datenschutzgrundverordnung DSGVO erfüllen. Unter anderem zur Kontrolle der Einhaltung dieser Bestimmungen wurde die Datenschutzbehörde der Republik Österreich, DSB, ins Leben gerufen.

Die Entwicklungen im Bereich der Künstlichen Intelligenz (KI) haben dem Thema Datenschutz eine neue Dimension gegeben. Der im März 2024 beschlossene EU-AI-Act stellt auch aus datenschutzrechtlicher Sicht den weltweit ersten Rahmen für den Einsatz von KI-Technologien dar. Rund um den Einsatz von KI-Technologien gibt es jedoch noch weiterreichende Fragen, etwa hinsichtlich des Urheberrechts.

Erstmals hat die DSB hat nun einen Leitfaden in Form eines FAQ erstellt, in dessen Rahmen die Position der Datenschutzbehörde für den Einsatz von KI-Technologien festgehalten wird. Nachfolgend finden Sie die Bestimmungen im Überblick.

Als "KI-Systeme" werden vereinfacht gesagt Computersysteme verstanden, die Aufgaben ausführen können, die normalerweise menschliche Intelligenz erfordern. Dabei lösen diese Systeme nicht nur Rechenaufgaben bzw. Probleme lösen, sondern lernen auch, Entscheidungen treffen und mit ihrer Umgebung zu interagieren.

Ein „KI-System“ bezeichnet nach Art. 3 Z 1 der KI-VO ein maschinengestütztes System, das für einen in unterschiedlichem Grade autonomen Betrieb ausgelegt ist und das nach seiner Betriebsaufnahme anpassungsfähig sein kann und das aus den erhaltenen Eingaben für explizite oder implizite Ziele ableitet, wie Ausgaben wie etwa Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen erstellt werden, die physische oder virtuelle Umgebungen beeinflussen können.

Bei generativer KI ("erzeugende KI) handelt es sich um KI-Systeme, die selbstständig neue digitale Inhalte wie Texte, Audio-Dateien, Bilder oder Videos erstellen können. Bekannte generative KI-Systeme sind etwa ChatGPT oder Dall-E.

Damit eine generative KI eine solche Aufgabe erfüllen kann, muss sie zuvor mit einem entsprechenden Datenmaterial befüttert und trainiert werden. Um die KI zu der Aufgabe anzustoßen muss eine eine entsprechende Abfrage oder Eingabe, der sogenannten „Prompt“ gestartet werden.

Den grundsätzlichen Rechtsrahmen für den Einsatz und die Nutzung von KI-Systemen und generativen KI-Lösungen von gibt der EU AI-Act, Deutsch: EU-Verordnung über Künstliche Intelligenz (KI-VO) vor. Das KI-Gesetz ist Teil eines umfassenderen Pakets politischer Maßnahmen zur Unterstützung der Entwicklung vertrauenswürdiger KI, zu dem auch das KI-Innovationspaket und der koordinierte KI-Plan gehören.

Die KI-Verordnung ist noch nicht in Kraft, sie wird zwei Jahre nach der finalen Verabschiedung in Kraft treten. Es gibt aber politischen Konsens über ihren Inhalt. Das Europäische AI-Büro, das im Februar 2024 in der Kommission eingerichtet wurde, überwacht die Durchsetzung und Umsetzung des KI-Gesetzes mit den Mitgliedstaaten.

Die EU-Verordnung über Künstliche Intelligenz (KI-VO) sieht nationale Marktüberwachungsbehörden vor, die sichern sollen, die KI-Systeme den Vorgaben Verordnung entsprechen. Es ist noch nicht fixiert, wer diese Aufgabe in Österreich übernehmen wird.

In einem ersten Schritt wurde bei der Rundfunk- und Telekommunikations-Regulierungsbehörde RTR eine KI-Servicestelle eingerichtet. Sie übernimmt die Rolle als Ansprechpartnerin und Informationshub zum Thema KI.

Nachdem KI-Systeme auch immer personenbezogene Daten verarbeitet werden müssen dabei auch die Bestimmungen der DSGVO und des Datenschutzgesetzes DSG eingehalten werden.

In Österreich ist die Datenschutzbehörde DSB dafür zuständig.

Wenn jemand Ansicht ist, dass durch ein KI-System ein Verstoß gegen die Bestimmungen der DSGVO oder des DSG vorliegt, kann eine Beschwerde bei der Datenschutzbehörde eingebracht werden. Das Online-Formular zum Einbringen einer Beschwerde finden Sie hier.

In der KI-VO selbst ist gemäß Art. 74 Abs. 8 KI-VO (nach aktueller Rechtslage) zudem eine alleinige Zuständigkeit der Datenschutzbehörde als Marktüberwachungsbehörde für KI-Systeme mit hohem Risiko u.a. im Bereich der Strafverfolgung, der Grenzverwaltung, der Justiz und der Demokratie vorgesehen.

Grundsätzlich ist die DSGVO technologieneutral zu verstehen. Es ist daher irrelevant, ob personenbezogene Daten mithilfe einer KI verarbeitet werden oder nicht. In der KI-VO wird daher auch regelmäßig auf die DSGVO verwiesen, zum Beispiel für die Definition der Begriffe „personenbezogene Daten“, „biometrische Daten“ oder „Profiling“.

Darüber hinausgehend werden einige datenschutzrechtliche Verpflichtungen abgeändert bzw. erweitert. Laut KI-VO gibt es etwa die Möglichkeit, dass „sensible“ Daten iSd Art. 9 DSGVO unter gewissen Umständen verarbeitet werden dürfen, um sogenannte „Biases“, also Verfälschungen bzw. Verzerrungen, in einem KI-System zu entdecken.

Dafür erforderliche Daten, müssen mit einer entsprechenden Begründung im Verzeichnis für Verarbeitungstätigkeiten nach Art. 30 DSGVO aufgenommen werden (Art. 10 Abs. 5 KI-VO).

Bei vielen KI-Systemen ist die Verarbeitung von personenbezogenen Daten ein zentrales Element. Sowohl in der Lernphase als auch beim Generieren von Inhalten werden häufig personenbezogene Daten verarbeitet. Dabei müssen mehrere Grundsätze beachtet werden. Ihre Einhaltung muss den DSGVO-Bestimmungen zufolge auch nachgewiesen werden (Art. 5 Abs. 1 und 2 DSGVO).

• Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz

• Zweckbindung

• Datenminimierung

• Richtigkeit

• Speicherbegrenzung

• Integrität und Vertraulichkeit

Für jede Verarbeitung personenbezogener Daten muss eine Rechtsgrundlage nach zumindest einem der sechs Erlaubnistatbestände des Art. 6 Abs. 1 DSGVO, vorliegen:

1. Einwilligung

2. Erfüllung eines Vertrags

3. Erfüllng einer rechtlichen Verpflichtung

4. Wahrung lebenswichtiger Interessen

5. Erfüllung eines Auftrags im öffentlichen Interesse

6. Verfolgung eines berechtigten Interesses

Wenn sogenannte „sensible Daten“ (Daten besonderer Kategorie im Sinne des Art. 9 Abs. 1 DSGVO) verarbeitet werden, so muss zusätzlich eine Ausnahme des Verbots von Art. 9 Abs. 2 DSGVO vorliegen.

„Sensible“ Daten sind:

• personenbezogene Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen einer Person hervorgehen

• Gewerkschaftszugehörigkeit

• genetische Daten, biometrische Daten, die ausschließlich zur eindeutigen Identifizierung einer natürlichen Person verarbeitet werden

• Gesundheitsdaten

• Daten zum Sexualleben oder zur sexuellen Orientierung einer Person

Bei der Verarbeitung nach Treu und Glauben handelt es sich um einen übergreifenden Grundsatz. Personenbezogene Daten dürfen demnach nicht in einer Weise verarbeitet werden, die für die betroffene Person ungerechtfertigt nachteilig, diskriminierend, unerwartet oder irreführend ist.

Es darf auch nicht zu einer Übertragung des Risikos vom Verantwortlichen auf die betroffene Person – etwa durch einen Hinweis in den AGB – kommen.

Der Grundsatz der Transparenz steht damit stark in Verbindung und verlangt, die betroffene Person entsprechend über die Verarbeitung ihrer personenbezogenen Daten zu informieren (siehe dazu auch den Punkt „Betroffenenrechte“).

Die Verarbeitung personenbezogener Daten muss einen klar definierten Zweck aufweisen. Die verarbeiteten Daten müssen dafür auch erforderlich und relevant sein und dürfen nur so lange verarbeitet und gespeichert werden, wie für den bestimmten Zwecks notwendig ist.

Daten müssen sachlich richtig und falls möglichst auf dem neuesten Stand sein. Falsche Angaben zur Person müssen unverzüglich gelöscht oder berichtigt werden.

Besonders bei generativen Text-KI-Systemen wie ChatGPT ist die Einhaltung der "Richtigkeit" eine Herausforderung. ChatGPT & Co. generieren nämlich auf einen Prompt folgend Texte, die wahrscheinlich, aber nicht notwendigerweise sachlich richtig sind. Die erzeugten Ergebnisse können daher irreführend und falsch sein. Was im Grunde genommen wieder einen entsprechenden Hinweis erfordert.

Bei der Verarbeitung von personenbezogenen Daten mit Hilfe von KI-Systemen muss wie bei jeder herkömmlichen Datenverarbeitung auch eine angemessene Sicherheit gewährleistet sein. Dazu gehört der Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust.

Beim Einsatz von KI-Lösungen muss daher sichergestellt werden, dass diese auch die entsprechenden Sicherheitsstandards erfüllen und verarbeitete Daten nicht unrechtmäßig Dritten offengelegt werden.

Die Rechte betroffener Personen müssen grundsätzlich wie bei jeder anderen Verarbeitung personenbezogener Daten gewährleisten sein.

Nähere Informationen zu den Betroffenenrechten bietet die Datenschutzbehörde DSB unter diesem Link.

Personen haben das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt (Art. 22 DSGVO).

Das wäre zum Beispiel auch der Fall, wenn in einem Unternehmen im HR-Management KI-Lösungen eingesetzt werden, die Bewerbungen nach personenbezogenen Kriterien vorselektieren.

Dies gilt nur in drei Fällen nicht:

• Die Entscheidung ist für den Abschluss oder die Erfüllung eines Vertrags zwischen der Person und dem Verantwortlichen unbedingt erforderlich,

• es gibt eine gesetzliche Grundlage und diese enthält angemessene Maßnahmen zur Wahrung der Rechte und Freiheiten und der berechtigten Interessen der betroffenen Person oder

• die Person hat ihre ausdrückliche Einwilligung erteilt.

In allen müssen betroffene Personen informiert werden, dass vollautomatisierte Entscheidungen über sie getroffen werden, inklusive der zugrundeliegenden Logik und der angestrebten Auswirkungen der Entscheidung.

Betroffene Personen haben außerdem das Recht, die automatisierte Entscheidung anzufechten, ihren Standpunkt darzulegen und eine menschliche Überprüfung der Entscheidung zu verlangen.

Die knappe Antwort der Datenschutzbehörde auf diese Frage ist "Ja."

Die etwas ausführlichere Antwort: "Sobald eine natürliche oder juristische Person über die Zwecke und Mittel einer Datenverarbeitung entscheidet, ist sie als datenschutzrechtliche Verantwortliche zu qualifizieren und zur Einhaltung der DSGVO verpflichtet. Auch wenn die technischen Vorgaben möglicherweise vom Anbieter oder Betreiber stammen, ändert dies in der Regel nichts daran, dass die Stelle, die das KI-System einsetzt, als datenschutzrechtlich Verantwortliche zu sehen ist."