Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat eine neue Orientierungshilfe zu KI-Systemen veröffentlicht, in welcher insb. praktische Handlungsempfehlungen für Entwickler bzw. Hersteller von KI-Systemen in Bezug auf die Einhaltung datenschutzrechtlicher Vorgaben erläutert werden. Der DSK betont dabei, dass datenschutzkonforme Prozesse in allen Phasen des KI-Lebenszyklus sichergestellt werden müssen. Ziel sei es, ein angemessenes Schutzniveau für personenbezogene Daten zu gewährleisten und den besonderen Risiken, die der Einsatz von KI-Systemen mit sich bringen kann, von Anfang an wirksam zu begegnen.
Die Orientierungshilfe des DSK richtet sich in erster Linie an Entwickler und Hersteller von KI-Systemen, die für die datenschutzkonforme Entwicklung und Gestaltung von KI-Systemen verantwortlich sind. Nachrangig ist sie aber auch für Institutionen und Unternehmen relevant, die KI-Systeme einsetzen möchten bzw. dies planen.
Der DSK äußert sich insb. zu den folgenden vier zentralen Phasen des KI-Lebenszyklus:
1. Designphase (z. B. Auswahl der Daten, Datensammlung)
In dieser Phase werden die Anforderungen an das KI-System definiert und die Grundlagen für die spätere Entwicklung gelegt. Hierzu gehören die Auswahl und Beschaffung der (Trainings-)Daten sowie die Planung technischer und organisatorischer Maßnahmen. In der Regel sind die Hersteller bzw. Entwickler in dieser Phase die datenschutzrechtlich Verantwortlichen, da sie über Zweck und Mittel der Datenverarbeitung entscheiden. Bereits hier ist z. B. das Prinzip „Privacy by Design“ zu berücksichtigen, insbesondere durch Datenminimierung und Transparenz.
2. Entwicklungsphase (Datenaufbereitung, Training und Validierung)
In der Entwicklungsphase werden KI-Algorithmen implementiert, KI-Modelle trainiert und schließlich validiert. Auch hier liegt die datenschutzrechtliche Verantwortung in der Regel bei den Herstellern bzw. Entwicklern, da sie die Daten z. B. zu Trainingszwecken verarbeiten und die Modelle gestalten.
3. Einführungsphase (Softwareverteilung inkl. Updates)
In dieser Phase wird das fertige KI-System in die Produktivumgebung überführt und für Anwender bereitgestellt. Die datenschutzrechtliche Verantwortung betreffend die Produktivumgebung kann hier bereits auf die Betreiber übergehen, die das jeweilige System einsetzen. Es ist z. B. sicherzustellen, dass datenschutzfreundliche Voreinstellungen („Privacy by Default“) gewählt werden.
4. Betriebs- und Monitoringphase
Nach der Einführung erfolgt der eigentliche Betrieb des KI-Systems. Für die damit einhergehende Datenverarbeitung ist die Institution, welche das System einsetzt, in der Regel die datenschutzrechtliche Verantwortliche. In dieser Phase müssen z. B. Prozesse und Maßnahmen etabliert sein, um Betroffenenrechte (z. B. Auskunft, Berichtigung, Löschung) effizient umzusetzen. Zudem sind ein laufendes Monitoring, Qualitätsbewertungen und regelmäßige Aktualisierungen des Systems erforderlich, um auf neue Risiken oder geänderte Rechtsvorschriften reagieren zu können.
Der DSK gibt in seiner Orientierungshilfe zu jedem der vorgenannten vier Phasen recht umfassende Hinweise dazu, wie der datenschutzrechtlich Verantwortliche zentrale Datenschutzprinzipien (z. B. Datenminimierung, Verfügbarkeit, Vertraulichkeit, Integrität, Transparenz) berücksichtigen kann bzw. sollte. Gerade angesichts der meist sehr großen Datenmengen, die sowohl für die Entwicklung als auch für das laufende Training und die Aktualisierung von KI-Systemen erforderlich sind, ist es unerlässlich, von Anfang an die Vorgaben des Datenschutzrechts konsequent zu beachten und „mitzudenken“. Nur so lassen sich die Rechte und Freiheiten betroffener Personen wirksam schützen und haftungsrechtliche Risiken verringern. Die Ausführungen des DSK können dabei eine wertvolle Orientierung bieten und sollten z. B. bei der Planung und Entwicklung von KI-Systemen berücksichtigt werden.
