Mit diesem Beitrag führen wir unsere Beitragsreihe „Navigating the Future“ und den Artikel zu Trainingsdaten und DSGVO (Teil 1) fort. Diesmal steht vor allem die Zweckbindung der ursprünglich erhobenen Trainingsdaten im Fokus.
Unternehmen verarbeiten zahlreiche Daten ihrer Kunden. Diese sind etwa Vertragsdaten, Daten aus Serviceanfragen oder aus Marketingaktionen. Mit dem Aufkommen leistungsfähiger Künstlicher Intelligenz (KI), die immer mehr einem breiten Markt zur Verfügung steht, besteht die Möglichkeit, solche Daten weiter zu nutzen. Es kann dabei um Erkenntnisse gehen, z.B. zur Verbesserung der eigenen Produkte oder auch um Prozesse, z.B. im Service- oder Supportbereich zu optimieren. Die Nutzung vorhandener Daten ist an sich nicht neu, nur stehen mit den aktuellen KI-Systemen erheblich mehr Möglichkeiten zur Verfügung, das volle Potential dieser Daten zu nutzen.
Nutzung personenbezogener Daten
Um hier nicht in die Haftungsfalle zu laufen, sollten sich Unternehmen mit den rechtlichen Anforderungen in diesem Kontext auseinandersetzen. Werden hierbei bereits vorliegende Kundendaten, die personenbezogen im Sinne der Datenschutzgrundverordnung (DSGVO) sind, zum Beispiel zum Training des hinter einem KI-Systems stehenden KI-Modells verwendet, sind die Regeln des Datenschutzes zu beachten.
Beispielsweise könnte ein Unternehmen aus dem Bereich E-Commerce vorhandene Kundenanfragen und deren Beantwortung durch den Support nutzen, um eine KI entsprechend zu trainieren. Vereinfacht gesprochen, soll das Modell an diesen Trainingsdaten „lernen“, wie es die entsprechenden Probleme, in unserem Beispiel die Beantwortung bzw. Lösung künftiger Supportanfragen, lösen kann. Ein solcher Anwendungsfall könnte hier den Support des Unternehmens zum einen verbessern und die Beschäftigten in einem bestimmten Maße entlasten.
Zweckbindung und Löschpflichten
Enthalten die Trainingsdaten personenbezogene Daten der Kunden, ist zunächst aus datenschutzrechtlicher Perspektive der Grundsatz der Zweckbindung (Art. 5 Abs. 1 Buchst. b) DSGVO) zu beachten. Personenbezogene Daten dürfen demnach nur zu dem bei der Erhebung festgelegten Zweck verarbeitet werden. Ist der Zweck der Datenverarbeitung erfüllt, sind zudem die betroffenen personenbezogenen Daten zu löschen, sofern keine gesetzliche Aufbewahrungsfrist gegeben ist. In unserem Bespiel des Kundensupports werden die personenbezogenen Daten, wie z.B. Name, Kundennummer und Gegenstand der Anfragen, zunächst nur für den Zweck der Beantwortung im Rahmen der Anfrage verarbeitet. Dies steht eindeutig im Zusammenhang mit dem zugrundeliegenden Vertragsverhältnis zwischen Unternehmen und Kunden.
Würden diese Daten jetzt zum Zweck des Trainings eines KI-Modells genutzt werden, würde ein Zweckänderung im Sinne der DSGVO vorliegen.
Kompatibilitätstest
Eine zweckändernde Weiterverarbeitung der Daten für die Erstellung von spezifischen KI-Systemen ist nach der Rechtsprechung des Europäischen Gerichtshofs (EuGH Rechtssache C‑77/21 Digi Távközlési és Szolgáltató Kft.) nur dann möglich, wenn ein Kompatibilitätstest nach Art. 6 Abs. 4 DSGVO erfolgreich durchgeführt worden ist. Entscheidend sind dabei mehrere Kriterien.
Erforderlich ist zunächst ein Zusammenhang zwischen der initialen Verarbeitung und der beabsichtigten Weiterverarbeitung. So würde die Verbesserung eines bestehenden Kundensupports mittels KI näher am ursprünglichen Zweck liegen als eine Nutzung dieser Daten zu Marketingzwecken. Entscheidend ist, ob dieser neue Zweck (Verbesserung des Kundensupports) mit dem ursprünglichen Zweck kompatibel ist. Dabei kommt es auch auf die Erwartungen der Betroffenen an, deren Daten z. B. im Rahmen eines Vertrages erhoben wurden und damit auch diese Verarbeitung prägend ist.
Weiterhin ist im Rahmen des Kompatibilitätstests notwendig vorab zu klären, ob durch die Zweckänderung künftig Nachteile oder Risiken für die Betroffenen zu befürchten sind.
Letzteres ist deswegen besonders relevant, weil zum einen personenbezogene Daten nach der DSGVO immer richtig sein müssen, daneben müssen auch die betroffenen Personen die Möglichkeit haben, ihre Rechte, wie etwa Berichtigung oder Datenlöschung geltend zu machen. Würde also die Weiterverarbeitung personenbezogener Daten in KI-Systemen Betroffenenrechte aushebeln, würde dies wiederum zu Datenschutzverstößen führen.
Dies ist kein theoretisches Problem. So ließ der österreichische Datenschutzaktivist Max Schems überprüfen, welche Informationen ChatGPT über ihn verarbeitet. Heraus kam ein falsches Geburtsdatum. Als Max Schrems die Berichtigung bzw. Löschung dieses falschen Datums verlangte, zeigte sich die technischen Grenzen von OpenAI. Das US-Unternehmen erklärte sinngemäß, man sei nicht in der Lage, eine konkrete Information (wie hier das Geburtsdatum) im KI-Modell zu korrigieren oder zu entfernen.
Anonymisierung als Lösung?
Eine Lösung könnte in der Anonymisierung der initial erhobenen Daten vor der Weiterverarbeitung im Zusammenhang mit dem Trainieren des KI-Modells liegen. Anonymisierte Daten sind nicht personenbezogen und zunächst vom Anwendungsbereich der DSGVO ausgeschlossen (vgl. Erw. 26 DSGVO) . Die Weiterverarbeitung der Daten im KI-Modell wären dann aus Gesichtspunkten des Datenschutzes möglich. Allerdings stellt die Anonymisierung der Daten selbst eine Datenverarbeitung dar und würde eine Zweckänderung der ursprünglichen Verarbeitung darstellen, so dass auch hier die Kompatibilitätsprüfung durchzuführen wäre. Grundsätzlich wäre dies jedoch aus der Sicht der Betroffenen weniger eingriffsintensiv im Verhältnis zur unmittelbaren Nutzung der Daten im KI-System. Hier wird es aus Unternehmenssicht maßgeblich darauf ankommen, wie aufwendig dies ist und ob ein Training des Modells ohne den Personenbezug möglich ist.
Fazit
Insgesamt sind die Herausforderungen der KI-gestützten Datenverarbeitung für den Datenschutz konzeptionell lösbar, erfordern aber einen genauen juristischen Blick und ein Verständnis der technischen Gegebenheiten.
Nur durch ein interdisziplinäres Zusammenspiel – etwa indem Datenschutzexperten, Innovationsberater und KI-Entwickler gemeinsam Kompatibilitätstest durchführen – kann die Innovationskraft der KI im Unternehmenskontext rechtskonform und verantwortungsvoll genutzt werden. So bleibt die Balance zwischen technologischem Fortschritt und dem hohen Gut des Datenschutzes der Betroffenen gewahrt.
Bildnachweis: KI generiert
AUTORIN
Sarah Tavcer ist Volljuristin und als externe Datenschutzbeauftragte sowie Datenschutzberaterin bei der RMPrivacy GmbH für Unternehmen und öffentliche Stellen tätig. Darüber hinaus ist sie als Dozentin an der Hochschule Worms für die Vorlesung „Einführung ins IT-Recht“.