Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat eine detaillierte Checkliste zu den zentralen datenschutzrechtlichen Anforderungen an die Entwicklung und den Einsatz von KI-Modellen veröffentlicht (Stand: 24.01.2024).
Da das Datenschutzrecht den Begriff der Künstlichen Intelligenz (KI) nicht kennt, wird zunächst in einer Einordnung anschaulich erläutert, welche KI-Anwendungen („KI-Modelle“) von der Checkliste erfasst werden (S. 2 – 3). Eine Definition des „KI-Systems“ enthält Art. 3 Abs. 1 Nr. 1 Artificial Intelligence Act (KI-Verordnung) – finaler Entwurf, der am 02.02.2024 von den EU-Mitgliedstaaten gebilligt wurde. Der Text wurde noch nicht veröffentlicht.
Die Checkliste des BayLDA enthält drei Abschnitte:
- Training von KI-Modellen: 27 Prüfungspunkte (S. 4 – 6)
- Bewertung von Risiken bei KI: Erstellen eines Risikomodells (S. 7 – 8)
- Einsatz einer KI-Anwendung: 23 Prüfungspunkte (S. 9 – 11)
Das Prüfschema folgt einem ‚Good-Practice‘-Ansatz. Die Liste der Prüfungspunkte ist nicht abschließend, denn – so das BayLDA:
„Aufgrund der stetig fortschreitenden Entwicklungen im Bereich KI können Anpassungen zu dieser Checkliste – insbesondere zur Harmonisierung mit deutschen und europäischen Datenschutzpositionen zu KI – erforderlich werden“ (S.1). Da es sich um eine dynamische Prüfliste handelt, ist es ratsam, ihre Fortschreibung aktiv zu beobachten. Über den privaten Sektor hinaus, setzt die Checkliste des BayLDA auch Maßstäbe für die öffentlichen Stellen. Die Liste ist nicht nur als Orientierung für Verantwortliche sowie für Datenschutzbeauftragte im Rahmen ihrer Beratungs- und Kontrolltätigkeit bedeutsam. Zur Pflichtlektüre kann sie allen empfohlen werden, die sich in ihrer beruflichen Praxis mit datenschutzrechtlichen Fragen von KI-Modellen befasst.“
Im Gegensatz zur Checkliste zielt der vom BayLDA veröffentlichte Flyer ‚Next-Level-Bausteine für KI‘ darauf ab, bei einem breiteren Publikum das allgemeine Bewusstsein für die datenschutzrechtlichen Anforderungen an KI-Modelle zu fördern.
Prägnant werden 8 zentrale Punkte im Bereich Datenschutz und KI adressiert:
- KI rechtskonform einsetzen: Grundlagen kennen & meistern
- Datenschutzfolgenabschätzung: Hochrisiko-KI in Schach halten
- KI-as-a-Service: Datenschutz nicht automatisch inbegriffen
- Besonderer Fokus Datenschutz: KI-Schutzziele kennen
- Halluzinationen: Der künstliche Geist bricht manchmal aus
- KI und Mensch: Mitarbeiter für den Einsatz von KI schulen
- Betroffenenrechte bei KI: Auskunft und Co. vorbereiten
- Zukunft der KI: Optimismus statt Sorge vor der Superintelligenz
Wie das BayLDA ankündigt, sollen die Inhalte des Flyers noch erweitert werden. Die Publikation ist insbesondere zur Ergänzung von Schulungsmaterialien gut geeignet.
Insidas berät Sie umfassend zum Themenbereich Datenschutz und Datensicherheit bei Künstlicher Intelligenz und unterstützt Sie bei der ordnungsgemäßen Umsetzung der rechtlichen Vorgaben.
Weiterführende Hinweise:
- Positionspapier der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) zu empfohlenen technischen und organisatorischen Maßnahmen bei der Entwicklung und dem Betrieb von KI-Systemen (Stand: 06.11.2019).
- Bewertungsleitfaden für Systeme der Künstlichen Intelligenz („Self-assessment guide for artificial intelligence [AI]“) der französischen Datenschutzaufsichtsbehörde CNIL (letzter Abruf: 08.02.2024).
- Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg: Rechtsgrundlagen im Datenschutz beim Einsatz von Künstlicher Intelligenz. Wann und wie dürfen personenbezogene Daten für das Training und die Anwendung von Künstli-cher Intelligenz verarbeitet werden? (Diskussionspapier. Vers. 1.0 vom 07.11.2023).
