Im Rahmen unserer Website werden ausschließlich zwei technisch notwendige Cookies gesetzt, um die grundlegende Funktionalität der Website - in technischer Hinsicht - zu gewährleisten. Datenschutzerklärung

FAQ zum Thema KI und Datenschutz

Stand: 25. April 2024

Die folgenden Informationen stellen eine erste Einordnung zum Thema „Künstliche Intelligenz und Datenschutz“ dar und werden laufend erweitert.

  1.  Was ist unter Künstlicher Intelligenz (KI) bzw. KI-Systemen zu verstehen?
  2.  Was ist der rechtliche Rahmen für den Einsatz von KI-Systemen?
  3.  Was ist das Verhältnis zwischen DSGVO und KI-VO?
  4.  Wer ist zuständig?
  5.  Kann ich eine Beschwerde bei der Datenschutzbehörde wegen KI-Systemen einbringen?
  6.  Welche datenschutzrechtlichen Besonderheiten gibt es in der KI-VO?
  7.  Welche datenschutzrechtlichen Verpflichtungen sind beim Einsatz von KI-Systemen zu beachten?
  8.  Ich habe das KI-System nicht entwickelt. Muss ich die DSGVO trotzdem einhalten?
  9.  Was muss ich beachten, wenn ich KI-Systeme von Drittanbietern verwende?
  10.  Wo gibt es weiterführende Informationen?

1. Was ist unter Künstlicher Intelligenz (KI) bzw. KI-Systemen zu verstehen?

KI ist ein schwierig zu definierender Begriff, da es bereits an einer allgemein gültigen Definition von „Intelligenz“ mangelt.

Aus rechtlicher Sicht kann jedoch auf die Definition aus der aktuellen Fassung der KI-VO abgestellt werden (siehe Frage 2):
Ein „KI-System“ bezeichnet nach Art. 3 Z 1 der KI-VO ein maschinengestütztes System, das für einen in unterschiedlichem Grade autonomen Betrieb ausgelegt ist und das nach seiner Betriebsaufnahme anpassungsfähig sein kann und das aus den erhaltenen Eingaben für explizite oder implizite Ziele ableitet, wie Ausgaben wie etwa Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen erstellt werden, die physische oder virtuelle Umgebungen beeinflussen können;

Vereinfacht gesagt handelt es sich um Computersysteme, die Aufgaben ausführen können, die normalerweise menschliche Intelligenz erfordern. Das bedeutet, dass diese Systeme Probleme lösen, lernen, Entscheidungen treffen und mit ihrer Umgebung interagieren können, ähnlich wie Menschen es tun.

Bei generativer KI handelt es sich um KI-Systeme, die es ermöglichen, einen neuen Output an Informationen, wie etwa Text, Audio, Bilder oder Videos, zu erzeugen. Das geschieht in der Regel durch sogenannte „Prompts“, also durch Eingaben bzw. Aufträge durch den:die Nutzer:in selbst.

2. Was ist der rechtliche Rahmen für den Einsatz von KI-Systemen?

Beim Einsatz von KI sind verschiedene Rechtsakte zu beachten, die darauf abzielen, die regulatorischen Rahmenbedingungen für KI zu schaffen.

Den Kern bildet die EU-Verordnung über Künstliche Intelligenz (KI-VO). Diese Verordnung wurde vorgeschlagen, um einen umfassenden Rechtsrahmen für Inverkehrbringen, Bereitstellung und Inbetriebnahme von KI-Systemen in der EU zu schaffen. Diese Verordnung ist nach Stand dieses Dokuments noch nicht final verabschiedet und gilt daher auch noch nicht. Es gibt aber politischen Konsens über ihren Inhalt.

Zu beachten sind aber auch Bestimmungen zur Produkthaftung oder dem Urheberrecht.

Beim Nutzen von KI kommt es regelmäßig auch zur Verarbeitung von personenbezogenen Daten. Das sind alle Informationen, die sich auf identifizierte oder identifizierbare natürliche Personen beziehen. Werden personenbezogene Daten verarbeitet, sind die DSGVO und das DSG anwendbar.

3. Was ist das Verhältnis zwischen DSGVO und KI-VO?

In der KI-VO ist festgehalten, dass die DSGVO, die Arbeit der Datenschutzbehörde und die Pflichten von Anbietern und Betreibern von KI-Systemen in ihrer Rolle als Verantwortliche oder Auftragsverarbeiter durch die KI-VO unberührt bleiben. Die DSGVO bleibt (parallel) anwendbar, wenn es zur Verarbeitung personenbezogener Daten kommt.

Für datenschutzrechtliche Fragestellungen im Zusammenhang mit KI-Systemen ist die Datenschutzbehörde daher zuständig.

4. Wer ist zuständig?

Die KI-VO sieht eine oder mehrere Marktüberwachungsbehörden vor, welche die Marktüberwachung durchführen. Durch die Marktüberwachung soll gewährleistet werden, dass Hochrisiko-KI-Systeme den Vorgaben der KI-VO entsprechen. Es ist noch nicht fixiert, wer dies in Österreich sein wird. Auch für die EU-Kommission sind einige Rechtsdurchsetzungskompetenzen vorgesehen.

Als Vorbereitung für die Umsetzung der KI-VO gibt es eine KI-Servicestelle, welche in der RTR GmbH eingerichtet ist und als Ansprechpartnerin und Informationshub zum Thema KI dient.

Für datenschutzrechtliche Fragestellungen im Zusammenhang mit KI-Systemen ist die Datenschutzbehörde zuständig.

In der KI-VO selbst ist gemäß Art. 74 Abs. 8 KI-VO (nach aktueller Rechtslage) zudem eine alleinige Zuständigkeit der Datenschutzbehörde als Marktüberwachungsbehörde für KI-Systeme mit hohem Risiko u.a. im Bereich der Strafverfolgung, der Grenzverwaltung, der Justiz und der Demokratie vorgesehen.

5. Kann ich eine Beschwerde bei der Datenschutzbehörde wegen KI-Systemen einbringen?

Wenn eine betroffene Person der Ansicht ist, dass im Rahmen des Einsatzes eines KI-Systems und die damit verbundene Verarbeitung der sie betreffenden personenbezogenen Daten gegen Vorgaben der DSGVO oder des DSG verstoßen hat, so kann sie eine diesbezügliche Beschwerde bei der Datenschutzbehörde einbringen.

6. Welche datenschutzrechtlichen Besonderheiten gibt es in der KI-VO?

In der KI-VO wird regelmäßig auf die DSGVO verwiesen, zum Beispiel für die Definition der Begriffe „personenbezogene Daten“, „biometrische Daten“ oder „Profiling“.

Zudem werden einige datenschutzrechtliche Verpflichtungen abgeändert bzw. erweitert. So sieht die KI-VO etwa die Möglichkeit vor, dass „sensible“ Daten iSd Art. 9 DSGVO unter gewissen Umständen verarbeitet werden dürfen, um sogenannte „Biases“, also Verfälschungen bzw. Verzerrungen, in einem KI-System zu entdecken. Jene Daten, die dafür unbedingt erforderlich sind und die Begründung, warum dieses Ziel nicht durch die Verarbeitung anderer Daten erreicht werden kann, sind im Verzeichnis für Verarbeitungstätigkeiten nach Art. 30 DSGVO aufzunehmen (Art. 10 Abs. 5 KI-VO).

7. Welche datenschutzrechtlichen Verpflichtungen sind beim Einsatz von KI-Systemen zu beachten?

Grundsätzlich verfolgt die DSGVO einen technologieneutralen Ansatz und unterscheidet sich daher der Einsatz von KI-Systemen aus datenschutzrechtlicher Sicht nicht von jeder anderen Verarbeitung personenbezogener Daten.

Aufgrund der Beschaffenheit vieler KI-Systeme spielt die Verarbeitung von personenbezogenen Daten aber eine zentrale Rolle. So werden bei KI-Systemen, insbesondere bei solchen, die auf maschinellem Lernen basieren, sowohl in der Lernphase als auch in der Betriebsphase vielfach personenbezogene Daten verarbeitet.

Grundsätze:

Die DSGVO kennt mehrere Grundsätze, welche alle bei jeder Verarbeitung personenbezogener Daten erfüllt sein müssen und der Verantwortliche die Einhaltung nachweisen muss (Art. 5 Abs. 1 und 2 DSGVO):

  • „Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“;
  • „Zweckbindung“;
  • „Datenminimierung“;
  • „Richtigkeit“;
  • „Speicherbegrenzung“;
  • „Integrität und Vertraulichkeit“;

Diese Grundsätze sind auch beim Einsatz von KI-Systemen und der damit verbundenen Verarbeitung personenbezogener Daten zu beachten.

Rechtmäßigkeit/Rechtsgrundlage:

Für jede Verarbeitung personenbezogener Daten muss eine Rechtsgrundlage, also zumindest einer der sechs Erlaubnistatbestände des Art. 6 Abs. 1 DSGVO, vorliegen: Einwilligung, Erfüllung eines Vertrags, einer rechtlichen Verpflichtung, Wahrung lebenswichtiger Interessen, Erfüllung eines Auftrags im öffentlichen Interesse und Verfolgung eines berechtigten Interesses.

Sollten sogenannte „sensible Daten“ (eigentlich Daten besonderer Kategorie im Sinne des Art. 9 Abs. 1 DSGVO) verarbeitet werden, so muss zusätzlich eine Ausnahme des Verbots von Art. 9 Abs. 2 DSGVO vorliegen, welche etwas enger gefasst sind, als die Erlaubnistatbestände von Art. 6 Abs. 1 DSGVO.

„Sensible“ Daten sind:

  • personenbezogene Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen einer Person hervorgehen;
  • Gewerkschaftszugehörigkeit;
  • genetische Daten, biometrische Daten, die ausschließlich zur eindeutigen Identifizierung einer natürlichen Person verarbeitet werden;
  • Gesundheitsdaten;
  • Daten zum Sexualleben oder zur sexuellen Orientierung einer Person.

Beispiel:
Bei der Beurteilung der Rechtmäßigkeit ist es sinnvoll, die verschiedenen Phasen der Verarbeitung personenbezogener Daten zu unterscheiden. Im Kontext der Entwicklung eines Large Language Models wäre etwa die Sammlung von Trainingsdaten (einschließlich der Verwendung von „Web-Scraping“) vom Training selbst oder von dem Betrieb mit Eingabeaufforderungen zu unterscheiden. Für derartige Verarbeitungen könnte beispielsweise der Tatbestand des berechtigten Interesses in Frage kommen. Ob dies im jeweiligen Fall anwendbar ist und nicht die Interessen der jeweils betroffenen Person (also jener, deren Daten verarbeitet werden) überwiegen, ist im Einzelfall zu prüfen.

Verarbeitung nach Treu und Glauben; Transparenz:

Bei der Verarbeitung nach Treu und Glauben handelt es sich um einen übergreifenden Grundsatz, der verlangt, dass personenbezogene Daten nicht in einer Weise verarbeitet werden dürfen, die für die betroffene Person ungerechtfertigt nachteilig, diskriminierend, unerwartet oder irreführend ist. Insbesondere darf es nicht zu einer Übertragung des Risikos vom Verantwortlichen auf die betroffene Person – etwa durch einen Hinweis in den AGB – kommen.

Der Grundsatz der Transparenz steht damit stark in Verbindung und verlangt, die betroffene Person entsprechend über die Verarbeitung ihrer personenbezogenen Daten zu informieren (siehe dazu auch den Punkt „Betroffenenrechte“).

Beispiel:
Auf einer Versicherungs-Website wird ein „intelligenter Chatbot“ für den Kundenservice verwendet, bei welchem Kund:innen in ihren Anfragen auch regelmäßig personenbezogene Daten preisgeben. Es muss sichergestellt werden, dass die Kund:innen transparent darüber informiert werden, wie genau eingegebene personenbezogene Daten verarbeitet werden. Die Interaktion mit dem Chatbot hat für die betroffene Person zudem keine unvorhergesehenen oder nachteiligen Folgen.

Zweckbindung, Datenminimierung und Speicherbegrenzung:

Eine Verarbeitung personenbezogener Daten, auch im Rahmen von KI-Systemen, muss jeweils einen klar definierten Zweck aufweisen. Die verarbeiteten Daten müssen für diesen Zweck auch wirklich erforderlich und relevant sein und dürfen auch nur so lange verarbeitet und gespeichert werden, wie für die Erreichung des Zwecks notwendig.

Beispiel:
Es soll ein KI-System bei einem medizinischen Forschungsprojekt verwendet werden. Dabei kommt es auch zur Verarbeitung personenbezogener Daten von Probanden Die gesammelten Daten werden ausschließlich für diesen spezifischen Zweck und nicht für andere Zwecke, wie etwa Werbung oder Weiterverkauf an Dritte, verwendet.
Es werden dabei nur die für das Forschungsprojekt notwendigen Daten verarbeitet, unwichtige Informationen werden entfernt oder pseudonymisiert.
Die gesammelten Daten werden für einen begrenzten Zeitraum gespeichert, um die Produktempfehlungen zu ermöglichen. Nach einer bestimmten Zeit, wenn die Daten nicht mehr relevant sind oder keine Rechtsgrundlage mehr vorhanden ist, werden sie anonymisiert oder gelöscht.

Richtigkeit:

Der Grundsatz der Datenrichtigkeit besagt, dass Daten sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein müssen und dabei alle angemessenen Maßnahmen zu treffen sind, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden.

Dies ist gerade bei (text-)generierenden Systemen regelmäßig mit Herausforderungen verbunden, da bei aktuell vorhandenen Systemen üblicherweise ein Output generiert wird, der aus statistischer Sicht am wahrscheinlichsten, jedoch nicht notwendigerweise sachlich richtig ist.

In Anbetracht dessen fällt ein besonderer Fokus auf die Information der betroffenen Personen, dass die von derartigen Systemen erzeugten Ergebnisse irreführend und falsch sein können.

Integrität und Vertraulichkeit (Sicherheit):

Auch bei der Verarbeitung mit Hilfe von KI-Systemen muss eine angemessene Sicherheit gewährleistet sein. Dies beinhaltet auch den Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust.

Es ist also sicherzustellen, dass das verwendete Tool über entsprechende Sicherheitsstandards verfügt und dass verarbeitete Daten nicht unrechtmäßig Dritten offengelegt werden.

Beispiel:
Es wird ein KI-unterstütztes Übersetzungs-Tool eines Drittanbieters verwendet, um verschiedenste Dokumente (Schriftsätze, Urkunden etc.) übersetzen zu lassen. Die eingespielten Dokumente werden auf Servern des Anbieters gespeichert, deren Sicherheitsvorkehrungen nicht den aktuellen Standards entsprechen. Dadurch erlangen Dritte Zugriff auf die gespeicherten Dokumente und die darin enthaltenen Informationen bzw. personenbezogenen Daten.

Betroffenenrechte:

Die Rechte der betroffenen Person sind grundsätzlich wie bei jeder anderen Verarbeitung personenbezogener Daten zu gewährleisten.

Nähere Informationen zu den Betroffenenrechten finden Sie hier: https://www.dsb.gv.at/download-links/fragen-und-antworten.html#Uebersicht_Betroffenenrechte.

Ein Recht ist jedoch bei Verarbeitungen im Zusammenhang mit KI-Systemen besonders einschlägig:

Automatisierte Entscheidungen:

Personen haben das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt (Art. 22 DSGVO).

Dies gilt nur in drei Fällen nicht:

  • Die Entscheidung ist für den Abschluss oder die Erfüllung eines Vertrags zwischen der Person und dem Verantwortlichen unbedingt erforderlich,
  • es gibt eine gesetzliche Grundlage und diese enthält angemessene Maßnahmen zur Wahrung der Rechte und Freiheiten und der berechtigten Interessen der betroffenen Person oder
  • die Person hat ihre ausdrückliche Einwilligung erteilt.

Auch in diesen Fällen muss die betroffene Person darüber informiert werden, dass eine vollautomatisierte Entscheidung über sie getroffen wird, inklusive der zugrundeliegenden Logik und der angestrebten Auswirkungen der Entscheidung.

Die betroffene Person hat – außer es liegt eine gesetzliche Grundlage vor – zudem das Recht, die Entscheidung anzufechten und ihren Standpunkt darzulegen sowie eine menschliche Intervention zur Überprüfung der Entscheidung zu verlangen.

Beispiel:
Für die Bearbeitung von Bewerbungen wird ein KI-System verwendet, mit dem einige Bewerbungen bei Vorliegen bestimmter Kriterien automatisch aussortiert werden. Da eine automatische Nichtberücksichtigung im Bewerbungsprozess eine rechtliche Wirkung entfaltet bzw. erhebliche Beeinträchtigung darstellen kann, wären die Vorgaben des Art. 22 DSGVO zu prüfen.

8. Ich habe das KI-System nicht entwickelt. Muss ich die DSGVO trotzdem einhalten?

Ja.

Sobald eine natürliche oder juristische Person über die Zwecke und Mittel einer Datenverarbeitung entscheidet, ist sie als datenschutzrechtliche Verantwortliche zu qualifizieren und zur Einhaltung der DSGVO verpflichtet. Auch wenn die technischen Vorgaben möglicherweise vom Anbieter oder Betreiber stammen, ändert dies in der Regel nichts daran, dass die Stelle, die das KI-System einsetzt, als datenschutzrechtlich Verantwortliche zu sehen ist.

9. Was muss ich beachten, wenn ich KI-Systeme von Drittanbietern verwende?

Wie aus Punkt 8. hervorgeht, ist in der Regel die natürliche oder juristische Person, welche ein KI-System einsetzt, auch Verantwortliche.

Bei der Verwendung fremder Systeme ist insbesondere auch darauf zu achten, ob die Verwendung eines solchen Systems dazu führt, dass personenbezogene Daten auch an den Hersteller des Systems (oder andere Dritte) übermittelt werden. Dies könnte zu unrechtmäßigen Datenoffenlegungen oder auch zur Preisgabe von Geschäftsgeheimnissen führen.

Es empfiehlt sich daher, diesen Umstand zu prüfen und interne Regeln aufzustellen, welche Daten mit dem System verarbeitet werden dürfen. Im Zweifel sollte der jeweilige Drittanbieter im Vorfeld konsultiert werden. Gegebenenfalls bieten viele Anbieter auch eine „on-premise“ Lösung (also mit Hosting auf eigenen Servern) an.

Informationen zu Übermittlungen in Drittländer (nicht EWR) finden Sie hier:

https://www.dsb.gv.at/download-links/fragen-und-antworten.html#Datenuebermittlung&Standardvertragsklauseln

10. Wo gibt es weiterführende Informationen?

Die KI-Servicestelle, welche in der RTR GmbH eingerichtet ist, dient als Ansprechpartnerin und Informationshub zum Thema KI.

Der Europäische Datenschutzausschuss arbeitet zudem derzeit an Leitlinien in Bezug auf KI und Datenschutz. Diese werden nach Veröffentlichung hier ergänzt.