KI und Datenschutz
Datenschutztag Hessen & Rheinland-Pfalz mit Schwerpunkt KI.
Künstliche Intelligenz (KI) wird zum Dauerthema: in der Gesellschaft und damit auch im Datenschutz. Was die neue KI-Verordnung und ihr Zusammenspiel mit der Datenschutz-Grundverordnung (DSVO) bedeutet stand im Mittelpunkt des Datenschutztages Hessen & Rheinland-Pfalz am 25. Juni in Frankfurt am Main. Das Motto der mittlerweile dritten Veranstaltung: „Datenschutzbeauftragte auf Zukunftskurs.“ Insgesamt sieben Vorträge und Keynotes widmeten sich in Frankfurt dem Thema KI. Die Vorträge waren so begehrt, dass bei einigen der Vortragssaal überfüllt war und einige Zuhörende auf dem Boden saßen. Vor allem die Themen Auskunftsersuchen bei Large Language Models (LLM) wie ChatGPT, KI in der Verwaltung und der Vortrag über die Herausforderungen beim Einsatz von KI in der Arbeitswelt stießen auf große Nachfrage.
„Datenschutz fördert Diskriminierungsfreiheit“
Schon zum Auftakt der eintägigen Konferenz, die mit rund 200 Datenschutzbeauftragen aus Behörden und der Wirtschaft restlos ausgebucht war, sprach Co-Gastgeber Prof. Dr. Dieter Kugelmann die Herausforderungen von KI an. Er betonte, dass Datenschutzbeauftragte (DSB) vor allem in der Verwaltung beim Thema KI eine zentrale Rolle zukomme. Die in der DSGVO festgelegten Aufgaben der DSB, die Risiken nach dem aktuellen Stand der Technik zu bewerten, sei „eine gewisse Chance“, sagte der LfDI Rheinland-Pfalz. Denn dadurch würden DSB zu Ansprechpartnern für KI.
Als Beispiel nannte Kugelmann die Vorauswahl von Job-Bewerbern per KI. Da dafür eine Einwilligung der Bewerber zur Verarbeitung ihrer personenbezogenen Daten vorliegen müsse, könne der DSB für diskriminierungsfreie Kriterien sorgen. „Datenschutz befördert Diskriminierungsfreiheit“, sagte Kugelmann. Gleichzeitig warnte er davor, die Kernaufgabe der DSB durch zusätzliche Aufgaben und Rollen zu verwässern. Gerade in Behörden und Kommunen seien viele Mitarbeitende mit einem sehr geringen Anteil ihrer Arbeitszeit für Datenschutz zuständig. „Das entspricht nicht dem, was aus unserer Sicht angemessen wäre“, sagte Kugelmann.
„Große Sprachmodelle sind keine Black Box“
In ihrem Vortrag zu Auskunftsbegehren bei generativer KI erläuterten Dr. Philipp Richter von der Rheinland-Pfälzischen Aufsichtsbehörde und sein Kollege Volker Zimmer vom Hessischen Beauftragte für Datenschutz und Informationsfreiheit zunächst die Funktionsweise von LLM und die Art und Weise, wie sie automatisierte Entscheidungen treffen. Denn in dem Moment, in dem ein Algorithmus oder eine KI ohne menschliches Zutun eine automatische Entscheidung etwa für ein Profiling trifft, müssen die Verantwortlichen die schutzwürdigen Interessen der Betroffenen wahren und unter anderem eine Korrektur der verarbeiteten Daten ermöglichen.
Dies bedeutet im Umkehrschluss – wie Zimmer und Richter ausführten – dass Verantwortliche von KI-Systemen sehr wohl auskunftspflichtig sind – auch nach Art 13 Abs. 2 lit. f, Art. 14 Abs. 2 lit. g und Art 15 Abs. 1 lit. h DSGVO. Dies habe zudem das sogenannte Schufa-Urteil des Europäischen Gerichtshofs (EuGH) vom Januar 2024 klargestellt. Im Sinne dieser Transparenzvorgabe müssten die Verantwortlichen darlegen, welche Entscheidungsregeln der KI oder dem Algorithmus zugrunde liegen.
LLMs wie ChatGPT basieren auf dem sogenannten Transformer-Modell, das durch Encoding und Decoding Anfragen und Prompts zunächst in Zahlencodes umwandelt, die Antwort in Zahlencodes berechnet und diese schließlich wieder in Text oder Sprache zurückübersetzt. Personenbezogene Daten können laut Richter also auch in Wortbestandteilen enthalten sein. Er empfiehlt bei Anfragen zur Verarbeitung personenbezogener Daten in KI-Systemen die Liste das Vokabulars nach Namen von Betroffenen oder Wortbestandteilen zu durchsuchen. „Große Sprachmodelle sind keine Black Box“, sagte Zimmer. Vielmehr könne die Datenbasis sehr genau untersucht werden. „Lassen Sie sich nicht abschrecken“, sagte Zimmer, „schauen Sie genau hin.“
„Grundsatz der Datenminimierung auch bei KI“
Über die Pflichten, die sich für die Verantwortlichen aus der Nutzung von KI-Systemen im Personalbereich ergeben informierten Dr. Jens Bruhn vom Hessischen Beauftragten für Datenschutz und Informationsfreiheit und sein Amtskollege Kevin Boldt vom Rheinland-Pfälzischen Landesdatenschutzbeauftragten. Sie erläuterten die Regelungen des AI Acts im Bewerbungsverfahren, im Beschäftigtenverhältnis sowie bei dessen Beendigung.
Sie betonten den Grundsatz der Datenminimierung auch für KI-Systeme und wiesen auf die Gefahr der Diskriminierung durch falsche Vorgaben hin.
„Verlassen Sie sich auf Ihr erlerntes Rüstzeug“
Dass die DSGVO als Basis für datenschutzrechtliche Entscheidungen zu LLMs und andere KI und Algorithmen dient, hoben auch Dr. Daniela Franke von der Aufsichtsbehörden Rheinland-Pfalz und Katja Horlbeck vom Hessischen Datenschutzbeauftragten. „Verlassen Sie sich auf ihr erlerntes Rüstzeug und prüfen Sie die Voraussetzungen der DSGVO“, sagte Horlbeck.
Franke und Horlbeck gaben Empfehlungen, wie DSB am besten vorgehen, um KI datenschutzkonform zu bewerten. Unter anderem rieten sie:
- Identifizierung der Verwaltungsbereiche, in denen KI bereits zum Einsatz kommt oder kommen soll
- Beschreibung des Einsatzszenarios
- Sorgfältige Prüfung, ob und wie das KI-System personenbezogene Daten verarbeitet
- Awareness schaffen bei Beschäftigten auch dafür, dass Sprachmodelle halluzinieren können und dass es keine Eingabe von personenbezogenen Daten als Prompts geben darf
Außerdem sollten berufliche Funktions-Accounts eingerichtet und die Eingabe von eigenen Daten zu Trainingszwecken unterbunden werden.
„Gegebenenfalls einen Proxy-Server dazwischenschalten“
Der Medienpädagoge Friedhelm Lorig vom Landesdatenschutzbeauftragten Rheinland-Pfalz machte auf die Herausforderungen beim Einsatz von KI an Schulen aufmerksam. Einerseits gehöre es zum Auftrag der Schulen, Medienkompetenz und damit auch den Umgang mit neuen Technologien zu vermitteln. Gleichzeitig müssten die Lehrkräfte und Schulen darauf achten, dass keine personenbezogenen Daten von Schülern in kommerziellen Anwendungen verwertet werden.
Seine Empfehlung an die Schulen: Kommerzielle Anwendungen vertraglich ausschließen, verhindern, dass die Systeme über den Lernzweck hinaus Profile von Schülerinnen und Schülern erstellen und eine Transparenz über die Entscheidungsgrundlagen der Systeme herstellen. Im Zweifelsfall empfiehlt er die Zwischenschaltung eines intermediären Proxy-Servers.
„Ohne fachkundige DSB bleiben die Verantwortlichen allein.“
Gerade vor dem Hintergrund der rasanten Entwicklung bei KI hatte BvD-Vorstandsvorsitzender Thomas Spaeing bereits zu Beginn des Datenschutztags in seiner Keynote Bestrebungen in der Politik kritisiert, im Zuge der anstehenden BDSG-Novelle die DSB-Benennungspflicht weiter einzuschränken oder ganz abzuschaffen. „Ohne fachkundige DSB bleiben die Verantwortlichen allein mit der gesetzeskonformen Einbindung von KI oder Algorithmen“, warnte er.
Den Ball griffen die Mit-Gastgeber – Prof. Dr. Alexander Roßnagel, Hessischer Beauftragter für Datenschutz und Informationsfreiheit und sein Rheinland-Pfälzischer Amtskollege Prof. Dr. Dieter Kugelmann – auf. Sie haben schon mehrfach deutlich gemacht, wie wichtig die DSB in der Zusammenarbeit von Behörden und Unternehmen mit den Aufsichtsbehörden seien. Deshalb seien sie gegen eine weitere Abschmelzung der Benennungspflicht, sagte Kugelmann.
In ihrer Schluss-Keynote sprach sich die Hessische Digitalministerin Prof. Dr. Kristina Sinemus (CDU) für eine Novelle der DSGVO aus. Insbesondere vor dem Hintergrund der KI-Verordnung und deren Umsetzung „brauchen wir eine DSGVO-Novellierung, um die KI-Verordnung zu integrieren“, sagte Sinemus.
Der 4. Datenschutztag findet am 02.07.2025 statt.
