Newsletter RTR.Telekom.Post

Spätestens seit der (temporären) Untersagung von ChatGPT, einem auf Künstlicher Intelligenz (KI) basierenden Programm, durch die italienische Datenschutz-Aufsichtsbehörde wird verbreitet das Verhältnis zwischen Datenschutz und KI diskutiert.

Es sei gleich an dieser Stelle betont, dass die europäischen Vorschriften zum Schutz personenbezogener Daten, vor allem die Datenschutz-Grundverordnung (DSGVO, Verordnung (EU) 2016/679) kein Hemmschuh für technischen Fortschritt sind und somit auch Entwicklungen im Bereich der KI durch die DSGVO weder verhindert noch verunmöglicht werden. 

Die DSGVO verfolgt einen technologie­neutralen und risikobasierten Ansatz. Sie unterscheidet vom Grundsatz her nicht, ob ein Datenverarbeitungs­system lediglich darin besteht, Bilddaten anzufertigen und diese für eine bestimmte Zeit zu speichern (Videoüberwachung) oder ob ein Datensystem sich selbst weiterentwickelt und dabei auch personen­bezogene Daten verarbeitet. 

Ausschlaggebendes Kriterium für die DSGVO ist, ob personenbezogene Daten (die in Art. 4 Z 1 DSGVO legal definiert werden) teilweise oder gänzlich automationsunterstützt verarbeitet (siehe dazu die Legaldefinition in Art. 4 Z 2 DSGVO) werden oder ob eine nicht-automationsunterstützte Verarbeitung in einem Dateisystem (Art. 4 Z 6 DSGVO) erfolgt. 

Daran anknüpfend unterscheidet die DSGVO vor allem, ob sensible Daten (im Sinne des Art. 9 Abs. 1 DSGVO) oder nicht-sensible Daten verarbeitet werden (sollen) und welches Risiko mit der Datenverarbeitung (voraussichtlich) verbunden ist (risikobasierter Ansatz). Dieser Unterscheidung folgend, werden dem Verantwortlichen (Art. 4 Z 7 DSGVO) verschiedene Pflichten auferlegt, z.B. adäquate Datensicherheitsmaßnahmen (Art. 32 DSGVO) zu treffen oder eine Datenschutz-Folgenabschätzung (Art. 35 DSGVO) durchzuführen.

Art. 6 Abs. 1 und Art. 9 Abs. 2 DSGVO gestatten jedenfalls Eingriffe in das Recht auf Datenschutz und bieten somit Raum für technologische Neuerungen, wobei fallweise der Gesetzgeber tätig werden muss, um eine Rechtsgrundlage für die Datenverarbeitung zu schaffen. Die DSGVO zementiert somit nicht den technologischen Stand aus dem Jahr 2018 (dem Jahr des Ingeltungtretens) ein.¹

Dass es Überschneidungen zwischen KI und Datenschutz gibt, wurde auch von der Europäischen Kommission erkannt, die den Entwurf eines "Gesetzes über künstliche Intelligenz" (KI Gesetz oder AI Act)² vorlegte, der nunmehr von den Ko-Gesetzgebern Europäisches Parlament und Rat behandelt wird. 

Gleich zu Beginn des Vorschlages wird darauf hingewiesen, dass sich dieser Vorschlag sowie die DSGVO ergänzen (und sich somit nicht wechselseitig ausschließen oder behindern). Noch deutlicher kommt dies bei der Referenz auf die kompetenzrechtliche Grundlage des Entwurfes zum Ausdruck: Neben Art. 114 AEUV (Funktionieren des Binnenmarktes) wird ausdrücklich Art. 16 AEUV genannt, der den Schutz personenbezogener Daten regelt.

Die enge Verzahnung zwischen dem Entwurf für ein KI Gesetz und der DSGVO wird ebenso in der gemeinsamen Stellungnahme³  des Europäischen Datenschutzbeauftragten (EDSB) und des Europäischen Datenschutzausschusses (EDSA) angesprochen.

Zusammenfassend kann somit gesagt werden, dass KI und Datenschutz einander nicht ausschließen, sondern vielmehr ergänzen und folglich dafür Sorge getragen wird, dass KI im Einklang mit den Grundrechten der EU (hier: das Grundrecht auf Datenschutz gemäß Art. 8 EU-GRC) steht. Wenn dies nicht der Fall sein sollte, müssen die unabhängigen Datenschutz-Aufsichtsbehörden – wie im Fall ChatGPT – einschreiten und von ihren Befugnissen Gebrauch machen, um einen rechtskonformen Zustand herzustellen.