Bekanntmachungen der Datenschutzbehörde
Informationen der Datenschutzbehörde zum Verhältnis zwischen der DSGVO und der Verordnung (EU) über künstliche Intelligenz (KI-VO) für Verantwortliche des privaten Bereichs
Da die Entwicklung und der Einsatz von Systemen künstlicher Intelligenz (KI) durch Unternehmen eine immer größere Rolle spielen, nimmt die Datenschutzbehörde dies zum Anlass, auf Folgendes hinzuweisen:
Die „Verordnung des europäischen Parlaments und des Rates zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz und zur Änderung der Verordnungen (EG) Nr. 300/2008, (EU) Nr. 167/2013, (EU) Nr. 168/2013, (EU) 2018/858, (EU) 2018/1139 und (EU) 2019/2144 sowie der Richtlinien 2014/90/EU, (EU) 2016/797 und (EU) 2020/1828 (Verordnung über künstliche Intelligenz)“ wurde am 21. Mai 2024 formal angenommen.
Nach der Veröffentlichung im Amtsblatt der Europäischen Union werden die Vorgaben der KI-VO (innerhalb der nächsten Monate und Jahre) schrittweise unmittelbar anwendbar sein.
Die Datenschutzbehörde nimmt dies zum Anlass, aus Sicht ihres Zuständigkeitsbereichs auf Folgendes hinzuweisen:
1) Als Künstliche Intelligenz („KI“) werden verschiedene grundlegende Technologien bezeichnet, die im gesamten Spektrum von Wirtschaft und Gesellschaft zu zahlreichen Vorteilen beitragen können.
Gemäß Art. 2 Abs. 7 KI-VO bleiben die Arbeit der Datenschutzbehörde und die Pflichten von Anbieter:innen und Betreiber:innen von KI-Systemen in ihrer Rolle als Verantwortliche oder Auftragsverarbeiter:innen nach der DSGVO unberührt.
Das Datenschutzrecht – insbesondere die Datenschutz-Grundverordnung (DSGVO) – bleibt daher (parallel) anwendbar, wenn es zur Verarbeitung personenbezogener Daten kommt.
2) Soweit personenbezogene Daten bei der (Weiter-)Entwicklung und dem Einsatz von „KI-Systemen“ im Sinne von Art. 3 Z 1 KI-VO verarbeitet werden, muss insbesondere zumindest ein Rechtfertigungstatbestand von Art. 6 Abs. 1 DSGVO für die Datenverarbeitung vorliegen.
Soweit besondere Kategorien personenbezogener Daten („sensible Daten“) gemäß Art. 9 Abs. 1 DSGVO verarbeitet werden, müssen zusätzlich die in Art. 9 Abs. 2 DSGVO normierten Voraussetzungen eingehalten werden.
Bei der Entwicklung bzw. Auswahl des KI-Systems müssen daher auch datenschutzrechtliche Aspekte berücksichtigt werden.
Die Datenschutzbehörde hält fest, dass die DSGVO der Entwicklung neuer Technologien (insbesondere der KI) nicht entgegensteht, da Art. 6 Abs. 1 sowie Art. 5 DSGVO ausreichend Möglichkeit bieten, neue Technologien in Übereinstimmung mit der DSGVO zu entwickeln und zu betreiben.
3) Liegt allerdings kein tauglicher Rechtfertigungstatbestand vor, kann dies zur Unzulässigkeit der Datenverarbeitung (und somit zum unzulässigen Einsatz des jeweiligen KI-Systems) führen. Nach Judikatur des EuGH liegt die Beweislast für die Einhaltung des Datenschutzrechts beim jeweiligen Verantwortlichen (vgl. EuGH 14.03.2024, C-46/23, Rz 32).
Als Beispiel ist auf die Judikatur des Verwaltungsgerichtshofs (VwGH) zum Arbeitsmarktchancen-Assistenzsystem (besser bekannt als „AMS-Algorithmus“) zu verweisen:
Dieser hat dem Bundesverwaltungsgericht (BVwG) aufgetragen, weitere Ermittlungsschritte hinsichtlich der Anwendbarkeit der Vorgaben von Art. 22 DSGVO (automatisierte Entscheidungen im Einzelfall einschließlich Profiling) zu setzen. Laut VwGH ist für den Fall der Anwendbarkeit von Art. 22 DSGVO im AMSG jedoch kein Rechtfertigungstatbestand für die Datenverarbeitung ersichtlich (vgl. VwGH 21.12.2023, Ro 2021/04/0010-11).
4) Der Einhaltung der Vorgaben des bereits erwähnten Art. 22 DSGVO kommt im Kontext von KI eine besondere Bedeutung zu:
Die Vorgaben von Art. 22 DSGVO gelten für automatisierte Entscheidungen, die gegenüber betroffenen Personen rechtliche Wirkung entfallen oder sie in ähnlicher Weise erheblich beeinträchtigen. Zu denken ist etwa an die automatische Vergabe eines Online-Kredits oder ein Online-Einstellungsverfahren ohne jegliches menschliche Eingreifen.
Nach Judikatur des EuGH wird der Anwendungsbereich von Art. 22 DSGVO tendenziell weit ausgelegt (vgl. EuGH 7.12.2023, C‑634/21 Rz 73).
Soweit KI-Systeme für solche automatisierte Entscheidungen eingesetzt werden, sind die Vorgaben von Art. 22 Abs. 2, Abs. 3 und gegebenenfalls Abs. 4 DSGVO einzuhalten.
Die Leitlinien der ehemaligen Art. 29-Working Party zu automatisierten Entscheidungen im Einzelfall einschließlich Profiling für die Zwecke der Verordnung 2016/679, 17/DE, WP251rev.01 (abrufbar unter https://ec.europa.eu/newsroom/article29/items/612053), können als Interpretationshilfe herangezogen werden.
5) Weitere Informationen zum Thema KI und Datenschutz finden Sie unter dem Reiter "Künstliche Intelligenz" auf unserer Website.
Ein breites Informationsangebot zum Thema KI, auch zur KI-VO und regulatorischen Rahmenbedingungen, stellt die RTR als KI-Servicestelle zur Verfügung. Es ist abrufbar unter: https://ki.rtr.at
6) Abschließend ist auf die Strategie des Europäischen Datenschutzausschusses (EDSA) für den Zeitraum 2024-2027 hinzuweisen, abrufbar unter:
https://www.edpb.europa.eu/system/files/2024-04/edpb_strategy_2024-2027_en.pdf
Demzufolge kommt der Erstellung von Leitlinien zum Verhältnis zwischen DSGVO und KI-VO eine hohe Priorität zu. Als Mitglied des EDSA wird die Datenschutzbehörde proaktiv zur Erstellung dieser Leitlinien beitragen.
Zusammenfassend hält die Datenschutzbehörde somit fest:
a) Die DSGVO bleibt auch nach In-Geltung-Treten der KI-VO beachtlich, wenn personenbezogene Daten verarbeitet werden.
b) Kommt es im Rahmen des Einsatzes von KI-Systemen zur Verarbeitung personenbezogener Daten, ist dies nur dann zulässig, wenn die Datenschutzgrundsätze nach Art. 5 DSGVO eingehalten werden. Insbesondere muss ein Rechtfertigungstatbestand gemäß Art. 6 Abs. 1 (und gegebenenfalls Art. 9 Abs. 2) DSGVO vorliegen.
c) Liegt ein Anwendungsfall des Art. 22 DSGVO (automatisierte Entscheidungen im Einzelfall einschließlich Profiling) vor, sind die Vorgaben dieser Bestimmung maßgeblich.
d) Gemäß Art. 5 Abs. 2 DSGVO trifft den Verantwortlichen die Beweislast dafür, dass die Verarbeitung rechtmäßig erfolgt.
Abschließend weist die Datenschutzbehörde darauf hin, dass sie, sollte sie im Rahmen eines Verfahrens zur Ansicht gelangen, dass das betreffende KI-System nicht im Einklang mit der DSGVO steht, sie unionsrechtlich verpflichtet ist, von einer Abhilfebefugnis nach Art. 58 Abs. 2 DSGVO Gebrauch zu machen. Dies kann auch die Verhängung einer Geldbuße nach Art. 83 DSGVO zur Folge haben. Ein Ermessen besteht hier nur in der Wahl der passenden Abhilfebefugnis, nicht jedoch in der Frage, ob von einer Abhilfebefugnis überhaupt Gebrauch zu machen ist.
Informationen der Datenschutzbehörde zum Verhältnis zwischen der DSGVO und der Verordnung (EU) über künstliche Intelligenz (KI-VO) für Verantwortliche des privaten Bereichs (PDF, 313 KB)