Zum Inhalt springen
Home » Datenschutz-News » Datenschutz-Folgenabschätzungen bei KI-Tools: Notwendigkeit, Herausforderungen und Best Practices

Datenschutz-Folgenabschätzungen bei KI-Tools: Notwendigkeit, Herausforderungen und Best Practices

Was müssen Unternehmen tun, um die Chancen von KI zu nutzen, aber gleichzeitig auch rechtskonform zu sein? Eine Vorgabe dazu ergibt sich aus der Datenschutz-Grundverordnung (DSGVO). Hiernach ist eine sogenannte Datenschutz-Folgenabschätzung (DSFA) erforderlich, wenn eine Technologie ein hohes Risiko für die Rechte und Freiheiten betroffener Personen darstellt. Gerade KI-gestützte Systeme, die personenbezogene Daten verarbeiten, müssen besonders sorgfältig geprüft werden.

Warum ist eine Datenschutz-Folgenabschätzung bei KI-Tools notwendig?

KI-Tools analysieren und verarbeiten oft riesige Mengen an Daten, die auch personenbezogen sein können. Die algorithmische Verarbeitung kann zu Entscheidungen führen, die erhebliche Auswirkungen auf Einzelpersonen haben, beispielsweise in den Bereichen Kreditvergabe, Bewerbungsprozesse oder personalisierte Werbung.

Eine DSFA hilft dabei, Risiken zu identifizieren, geeignete Schutzmaßnahmen zu entwickeln und die Einhaltung der DSGVO zu gewährleisten. Der Europäische Datenschutzausschuss (EDPB) hebt hierbei hervor, dass die DSFA ein wichtiges Element der datenschutzrechtlichen Rechenschaftspflicht darstellt. Dies ist insbesondere dann der Fall, wenn KI-Modelle personenbezogene Daten in risikoreicher Weise verarbeiten.

Die DSGVO schreibt vor, dass eine DSFA insbesondere dann durchgeführt werden muss, wenn:

  • eine systematische und umfassende Bewertung personenbezogener Aspekte auf Basis automatisierter Verarbeitung erfolgt (z. B. Profiling);
  • besonders sensible Daten (z. B. Gesundheitsdaten) verarbeitet werden;
  • eine systematische Überwachung öffentlich zugänglicher Bereiche erfolgt.

Die deutschen Datenschutzaufsichtsbehörden – zusammengefasst in der Datenschutzkonferenz (DSK) unter Beteiligung des BfDI –  stellen hierbei klar, dass beim Einsatz von KI-Anwendungen vielfach ein hohes Risiko vorliegt und daher eine DSFA durchzuführen ist. In Frankreich nennt die CNIL konkrete Szenarien: Bereits die Erstellung eines umfangreichen Trainingsdatensatzes für ein KI-System kann ein hohes Risiko darstellen, womit eine DSFA verpflichtend wird. Diese Einschätzungen zeigen den Konsens der Aufsichtsbehörden, dass KI-gestützte Verarbeitungen häufig unter die DSFA-Pflicht fallen. Entsprechend finden sich KI-bezogene Vorgänge (z.B. automatisierte Profiling-Verfahren) auf den behördlichen Positivlisten der Verarbeitungstätigkeiten, für die stets eine DSFA durchzuführen ist.

Herausforderungen bei der Datenschutz-Folgenabschätzung für KI

Die Durchführung einer DSFA für KI-gestützte Systeme bringt einige besondere Herausforderungen mit sich:

  1. Komplexität der KI-Modelle: KI-Modelle sind oft schwer nachvollziehbar (Stichwort „Black Box“), was die Transparenz erschwert.
  2. Datenquellen und -verarbeitung: KI-Modelle nutzen oft Daten aus verschiedenen Quellen, die unterschiedliche Datenschutzbestimmungen haben können und zu unterschiedlichen Zwecken ursprünglich erhoben wurden.
  3. Automatisierte Entscheidungsfindung: Entscheidungen von KI-Systemen können diskriminierende Auswirkungen haben, was im Rahmen der DSFA besonders geprüft werden muss.
  4. Dynamische Anpassung von Modellen: Machine-Learning-Modelle können sich ständig weiterentwickeln, was eine einmalige DSFA unzureichend macht.

Best Practices für eine erfolgreiche DSFA bei KI-Tools

Zahlreiche Aufsichtsbehörden stellen Hilfsmittel und Leitfäden bereit, um Best Practices bei DSFAs für KI zu fördern. Die französiche Aufsichtsbehörde bietet z. B. ein Selbstbewertungs-Tool und konkrete Empfehlungskataloge an, die unter anderem die Durchführung einer DSFA als festen Bestandteil eines datenschutzkonformen KI-Projekts vorsehen. Solche behördlichen Best Practices helfen, Transparenz, Sicherheit und Rechtmäßigkeit KI-gestützter Systeme nachweislich zu verbessern, während gleichzeitig die Rechte der Betroffenen gewahrt werden.

Um den Herausforderungen gerecht zu werden, sollten Organisationen bei der DSFA zumindest folgende Best Practices beachten:

  1. Frühzeitige Integration des Datenschutzes: Datenschutz-Aspekte sollten bereits in der Entwicklungsphase eines KI-Tools berücksichtigt werden (Privacy by Design & Privacy by Default).
  2. Interdisziplinäre Zusammenarbeit: Datenschutzexperten, Entwickler, Ethik-Experten und Juristen sollten gemeinsam an der DSFA arbeiten.
  3. Einsatz von Erklärbarkeitstools: Transparenz-Tools wie Explainable AI (XAI) können helfen, Entscheidungswege von KI-Modellen nachvollziehbar zu machen.
  4. Regelmäßige Überprüfung und Updates: Da KI-Modelle sich verändern, ist die Überprüfung und Aktualisierung der DSFA regelmäßig notwendig.
  5. Dokumentation und Kommunikation: Die Ergebnisse der DSFA sollten klar dokumentiert und relevante Stakeholder über Risiken und Maßnahmen informiert werden.

Zusammenhang zwischen DSFA und dem Erfordernis der Bestellung eines Datenschutzbeauftragten

Eine DSFA wird nur dann erforderlich, wenn eine Verarbeitung ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen darstellt (Art. 35 DSGVO). Da in solchen Fällen oft automatisierte Entscheidungsfindung, umfangreiche Datenverarbeitung oder sensible Daten betroffen sind, fallen viele dieser Fälle auch unter die Bestellpflicht für einen Datenschutzbeauftragten. Es kann also sein, dass die Nutzung eins KI-Tools zur Bestellpflicht eines Datenschutzbeauftragten führen kann.

Dies bietet allerdings auch Vorteile für das Unternehmen. So kann ein Datenschutzbeauftragter zwar nicht die Verantwortung für die DSFA übernehmen, aber bei der Risikoanalyse und der Identifikation von Maßnahmen beratend unterstützen.

Fazit

Eine Datenschutz-Folgenabschätzung ist für KI-gestützte Systeme nicht nur eine regulatorische Anforderung, sondern auch ein wichtiger Schritt zur Risikominimierung und Vertrauensbildung. Unternehmen sollten eine DSFA nicht als bürokratische Hürde betrachten, sondern als Chance, KI-Technologien verantwortungsbewusst und datenschutzkonform einzusetzen. Wer Best Practices beachtet, kann Datenschutz und Innovation erfolgreich miteinander verbinden.

Wenn Sie Hilfe bei der Umsetzung dieser Vorgaben benötigen, beraten wir Sie gerne!

Bildnachweis: KI generiert

AUTOREN

Matthias Rosa ist als externer Datenschutzbeauftragter und Datenschutzberater bei der RMPrivacy GmbH für Unternehmen und Konzerne tätig. Darüber hinaus ist er Rechtsanwalt und Fachanwalt für IT-Recht bei der Kanzlei Bette Westenberger & Brink in Mainz sowie Dozent zu datenschutzrechtlichen Themen beim Mainzer Medieninstitut im Rahmen des Masterstudiengangs Medienrecht.