Abo

Aufsatz : Künstliche Intelligenz im Unternehmen und der Datenschutz: Kommentierte Checkliste für die betriebliche Praxis : aus der RDV 5/2023 Seite 281 bis 296

Sascha KREMERAufsätzeKI
Lesezeit 7 Min.

Bis heute gibt es keine verbindliche Definition, was Artifizielle Intelligenz (AI) oder Künstliche Intelligenz (KI) ist; selbst die EU ringt in den Verhandlungen noch darum, was Regelungsgegenstand des AI Act und des zukünftigen, europäischen KI-Rechts sein soll[1] Im deutschen Recht ist in § 80 Abs. 3 S. 2 BetrVG immerhin schon geregelt, dass für den Betriebsrat bei einer Beurteilung der „Einführung oder Anwendung von Künstlicher Intelligenz […] die Hinzuziehung eines Sachverständigen“ als „erforderlich [gilt]“; nur was Künstliche Intelligenz ist, lässt der nationale Gesetzgeber lieber offen. Diese Lücke könnte nun laut einem unveröffentlichten Positionspapier von BMAS und BMI vom April 2023 durch Festlegungen im neuen Beschäftigtendatenschutz gestopft werden, nachdem der EuGH zu Recht die bisherigen deutschen Regelungen dazu in der Luft zerpflückt hat.

Ungeachtet dessen ist die betriebliche Praxis vorweggelaufen und nutzt KI (oder was auch immer dafür gehalten wird) im Unternehmen auf den verschiedensten Ebenen, etwa für den Dialog mit Interessenten, Kunden und Beschäftigten mittels KI-basierter Chatbots, die Erstellung und das Testen von Code in der App- und Programmentwicklung, das automatisierte Protokollieren von Besprechungen oder das Zusammenfassen und Bewerten von (Fach-)Veröffentlichungen. Dabei kommen angesichts der Benutzerfreundlichkeit und breiten Verfügbarkeit häufig browserbasierte oder über eine Schnittstelle (API) nutzbare Large Language Models (LLM) wie ChatGPT zum Einsatz – „KI as a Service“ statt „Software as a Service“.[2] Zunehmend verbreiten sich aber auch selbsterstellte und trainierte Expertensysteme, bei denen – etwa durch das Bilden von Kohorten aus lokal laufenden KI-Anwendungen – gleichwohl eine hohe Qualität der Arbeitsergebnisse erreicht werden kann, trotz einer im Verhältnis geringen Datenbasis als Ausgangspunkt.

Umso erschreckender ist es, dass die KI-Nutzung vielfach ungeregelt oder in den dafür nicht gedachten Grenzen allgemeiner IT-, Datenschutz-, Informationssicherheit- oder Mitarbeiterrichtlinien stattfindet. Damit werden Beschäftigte nicht für die besonderen Herausforderungen der Nutzung von KI sensibilisiert, mögliche Herausforderungen bleiben unsichtbar und das Unternehmen läuft – neben der Missachtung anderer Pflichten aus dem Urheberrecht oder dem Know-how-Schutz – Gefahr, mit Blick auf Artt. 58 Abs. 2, 83 DS-GVO sanktionsbewehrt gegen die Grundsätze der Verarbeitung aus Art. 5 Abs. 1 DS-GVO und die Accountability aus Art. 5 Abs. 2 DS-GVO zu verstoßen, sich gegenüber betroffenen Personen nach Art. 82 DS-GVO schadensersatzpflichtig zu machen und nebenbei möglicherweise noch seinen Ruf in der Öffentlichkeit zu ruinieren.

I. Kommentierte Checkliste für die betriebliche Praxis

Art. 24 Abs. 1 S. 1 DS-GVO verlangt, dass der Verantwortliche „geeignete technische und organisatorische Maßnahmen“ einsetzt, um eine DS-GVO-konforme Verarbeitung sicherzustellen und den Nachweis darüber zu erbringen. Weitere Details ergeben sich sodann aus den übrigen in der DS-GVO normierten Pflichten des Verantwortlichen. Dabei ist zu berücksichtigen, dass der EuGH die Accountability, also die Pflicht zum Nachweis der DS-GVO-konformen Verarbeitung aus Art. 5 Abs. 2 DS-GVO, sehr weit im Sinne einer Beweislastumkehr zum Nachteil des Verantwortlichen versteht, ungeachtet der Frage, ob das etwa mit dem Amtsermittlungsgrundsatz im Verwaltungsrecht und zivilprozessualen Beweislastregeln überhaupt in Einklang zu bringen ist.[3]

  1. Erforderlichkeit der Checkliste

Verantwortliche sind gut beraten, die Nutzung von KI im Unternehmen nicht nur durch eine geeignete Richtlinie zu steuern, sondern auch in jedem einzelnen Fall deren DS-GVOKonformität „sicherzustellen“ und „den Nachweis dafür erbringen zu können“. Dem dient die im Folgenden vorgestellte kommentierte Checkliste zur Nutzung von KI für die betriebliche Praxis. Die Checkliste adressiert die bei der Nutzung von KI zu beachtenden Prüfpunkte und erläutert diese in der gebotenen Kürze. Am Ende der Checkliste ist die Bewertung möglich, ob die Nutzung der KI im konkreten Anwendungsfall DS-GVO-konform möglich ist oder nicht. Zugleich kann die Checkliste als Anregung für die Erarbeitung einer KI-Richtlinie im Unternehmen genutzt werden, in dem die Leitplanken für die vom Unternehmen gewollte oder zumindest geduldete Nutzung von KI festgehalten werden, die durchaus auch strenger als die Anforderungen der DS-GVO sein können.

Nur in wenigen Sonderfällen dürfte jedenfalls mittel- bis langfristig ein vollständiges Verbot von KI als Lösung in Betracht kommen: Zum einen ist KI ähnlich disruptiv wie das World Wide Web (WWW) vor mehr als drei Jahrzehnten. KI wird nicht nur ganze Berufsgruppen überflüssig machen, sondern auch branchenübergreifend etablierte Prozesse verschlanken oder entmenschlichen. Zum anderen wäre es mit der Anordnung eines Verbots nicht getan, was das Beispiel „private Nutzung betrieblicher E-Mail-Adressen“ seit vielen Jahren belegt. Denn ein Verbot bedarf der Anordnung, der Überwachung und der Durchsetzung, damit es als wirksam gelten und sich das Unternehmen darauf berufen kann. Aber welches Unternehmen will derart innovationsfeindlich wirken und dazu auch noch Beschäftigte überwachen und bei Zuwiderhandlungen arbeitsrechtlich sanktionieren?

  1. Gegenstand der Checkliste

Die Checkliste geht systematisch nach Themenkomplexen orientiert die sich aus der DS-GVO ergebenden, wesentlichen Anforderungen an die Nutzung von KI durch und prüft so den jeweiligen Anwendungsfall gegen die DS-GVO ab. Sie bildet dabei typische Fragestellungen aus der Unternehmenspraxis ab.[4] Nicht Gegenstand der Checkliste sind andere Rechtsgebiete wie

  • das Urheberrecht (etwa bezogen auf die urheberrechtskonforme Nutzung von Arbeitsergebnissen der KI durch deren Anwender),[5]
  • der Schutz von Geschäftsgeheimnissen (etwa mit Blick auf die weitere Nutzung der Eingaben im sog. Prompt durch den Anbieter der jeweiligen KI), ▪ das Arbeitsrecht (etwa wegen Informationspflichten des Arbeitgebers gegenüber dem Betriebsrat oder der Mitbestimmung bei Einführung und Anwendung von KI gemäß § 87 Abs. 1 Nr. 6 BetrVG)[6] und
  • allgemeine vertragliche oder zivilrechtliche Fragen (etwa nach der Produktsicherheit, der Haftung für die Nutzung von Arbeitsergebnissen der KI oder die mit dem Anbieter der KI jeweils abzuschließenden zivilrechtlichen Verträge).

Die Checkliste erhebt keinen Anspruch auf Vollständigkeit, sondern ist eine subjektive Momentaufnahme aus Sicht eines externen Rechtsberaters. Sie sollte regelmäßig fortgeschrieben und an aktuelle Entwicklungen angepasst werden. Das gilt auch für die etwaige Beachtung von Verlautbarungen oder Beschlüssen der für den jeweiligen Verantwortlichen oder Auftragsverarbeiter zuständigen Aufsichtsbehörde sowie gerichtliche Entscheidungen insbesondere des EuGH.[7]

  1. Aufbau der Checkliste

Die Checkliste folgt einem einheitlichen Aufbau: ▪ In Spalte 1 („Thema“) wird der Themenkomplex der Prüfung bezeichnet.

  • In Spalte 2 („Relevanz“) wird angegeben, ob das Thema für die Entwicklung,[8] das Training und/oder die Anwendung einer KI relevant ist. Zudem wird angegeben, ob das Thema für (allein oder gemeinsam) Verantwortliche und/oder Auftragsverarbeiter relevant ist. Mehrfachselektionen kommen häufig vor.
  • In Spalte 3 („Kontrollfrage“) wird der jeweilige Prüfpunkt benannt.
  • In Spalte 4 („Erläuterung“) sind Erläuterungen zur jeweiligen Kontrollfrage enthalten.
  • In Spalte 5 („Bewertung“) kann der Prüfpunkt bewertet werden. Das Ergebnis ist zu begründen.

In der Checkliste werden personenbezogene Daten mit „pbD“ abgekürzt, betroffene Personen mit „bP“ und Verarbeitungstätigkeiten mit „VT“.

II. Fazit

Künstliche Intelligenz auf Grundlage großer Sprachmodelle kann zuweilen halluzinieren oder für den Anwender nicht erkennbar falsche Antworten liefern. An ihrer disruptiven Wirkung auf Unternehmen und deren Prozesse ändert sich dadurch jedoch nichts. Mit Hilfe der Checkliste ist sichergestellt, dass vor der Nutzung von KI im Datenschutz die richtigen Fragen gestellt, Risikopotenziale erkannt und so die Gefahren der KI angemessen behandelt werden. Die Alternative wäre ein schlichtes Verbot – was aber bereits mangels Durchsetzbarkeit in der Praxis kaum wirksam sein dürfte. 

Sascha Kremer ist Rechtsanwalt und Fachanwalt für ITRecht. Ebenso ist er externer Datenschutzbeauftragter (TÜV Rheinland zertifiziert) sowie Lehrbeauftragter für IT- und Datenschutzrecht an der Heinrich-Heine-Universität Düsseldorf (seit 2004) und Hochschule Bonn Rhein Sieg (seit 2014).

[1] Zum Stand der Gesetzgebung beim „Artificial Intelligence Act“ (AI Act) siehe Zenner RDV 2023, 340; Bronner, jurisPR-ITR 15/2023 Anm. 2; Spindler, CR 2021, 361; Darstellung der Gemeinsamkeiten zwischen DS-GVO und AI Act bei von Westernhagen/Sánchez Cordero Canela, PinG 2023, 112 ff.; zu Regelungsvorhaben der EU betreffend die Haftung für KI siehe Spindler, CR 2022, 689, 693 und CR 2022, 689, 699 ff.; Bomhard/Siglmüller, RDi 2022, 506, 507 ff.

[2] Erläuterungen zum hinter ChatGPT stehenden „Foundation Model“ und den Herausforderungen in der Regulierung bei Zenner, RDV 2023, 204; weitere Betrachtungen bei Werkmeister/Laux, PinG 2023, 103 f.; spezifisch zu ChatGPT siehe Hansen/Keber/Rixen/Schwartmann, RDV 2023, 160

[3] EuGH, Urt. v. 24.02.2022 – C-175/20, Rn. 77, 81; EuGH, Urt. v. 04.05.2023 – C-60/22, Rn. 53.

[4] Verschiedene der hier relevanten Fragestellungen werden diskutiert von Schwartmann/Keber/Kremer in Folge 42 des DataAgenda Podcasts „Kollege ChatGPT – Anforderungen an den Einsatz generativer Künstlicher Intelligenz an den betrieblichen Datenschutz“ vom 24.07.2023, abrufbar unter https://dataagenda.de/folge42-kollege-chatgpt-anforderungen-an-den-einsatz-generativer-kuenstlicher-intelligenz-an-den-betrieblichen-datens/.

[5] Zum Urheberrecht bei KI siehe von Welser, GRUR-Prax 2023, 57 ff.; Maamar, ZUM 2023, 481, 482 ff.

[6] Zum Arbeitsrecht bei KI siehe Kullmann, EuZA 2023, 243, 249 ff.

[7] Die rechtlichen Hinweise in den Erläuterungen folgen aus der stark von der Rechtsprechung des EuGH geprägten Auslegung der DS-GVO und stimmen nicht stets mit den Verlautbarungen und Beschlüssen europäischer Aufsichtsbehörden oder gerichtlichen Entscheidungen unterer Instanzen (etwa Amtsgerichte, Landgerichte) überein. Dies kann eine kommentierte Checkliste in dem hier zur Verfügung stehenden Rahmen nicht leisten.

[8] Verarbeitet der Entwickler einer KI selbst keine pbD, bewegt er sich vollständig außerhalb des Anwendungsbereichs der DS-GVO. Anders ist dies nur, wenn der Entwickler „seine“ KI auch als Service anbietet, etwa aus der Cloud mittels einer Benutzeroberfläche zur Eingabe von Prompts im Browser oder eine technische Schnittstelle („API“) zur Integration in Applikationen des Anwenders. Wenn in der Checkliste „Entwicklung“ angekreuzt ist, sind damit keine unmittelbaren Pflichten aus der DS-GVO gemeint, sondern Gesichtspunkte, die der Entwickler mit Blick auf die zivilrechtliche Ausgestaltung des Vertrags über die Bereitstellung oder Überlassung „seiner“ KI berücksichtigen sollte, um eine eigene zivilrechtliche Haftung für datenschutzrechtliche Mängel der KI gegenüber dem Anwender zu vermeiden.