In den letzten Jahren hat sich im Datenschutz viel getan, aber der Fortschritt von Technik und Digitalisierung erfordert eine regelmäßige Überprüfung der Datenschutz-Compliance. Ein besonders relevantes Thema ist die Einführung von Produkten, die künstliche Intelligenz (KI) nutzen. Neben den Anforderungen der KI-Verordnung und der IT-Sicherheit müssen auch datenschutzrechtliche Anforderungen beachtet und Schutzmaßnahmen umgesetzt werden.
Was ist eine DSFA und warum ist sie wichtig?
Art. 35 DSGVO verpflichtet Verantwortliche, bei risikobehafteten Datenverarbeitungsprozessen eine DSFA durchzuführen. Das bedeutet, dass Datenverarbeitungsvorgänge, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten Betroffener mit sich bringen, vorab auf ihre Folgen für den Privatsphärenschutz geprüft werden müssen. Die DSFA ist vom Verantwortlichen durchzuführen, wobei der Datenschutzbeauftragte beratend zur Seite steht. Die Durchführung und das Ergebnis der DSFA sind zu dokumentieren und Teil der Datenschutz-Compliance.
Wann ist eine DSFA erforderlich?
Eine DSFA ist erforderlich, wenn eine Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Gemäß Art. 35 Abs. 3 DSGVO ist eine DSFA stets durchzuführen in folgenden Fällen:
- Systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen durch automatisierte Verarbeitung einschließlich Profiling, die als Grundlage für Entscheidungen dient, die Rechtswirkung entfalten oder die Betroffenen erheblich beeinträchtigen.
- Umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Art. 9 Abs. 1 DSGVO oder von Daten über strafrechtliche Verurteilungen gemäß Art. 10 DSGVO.
- Systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche.
Die Datenschutzkonferenz (DSK) hat eine „Muss-Liste“ mit 17 Fällen erstellt, in denen eine DSFA erforderlich ist. Fall Nr. 11 betrifft den Einsatz von KI zur Verarbeitung personenbezogener Daten, um die Interaktion mit Betroffenen zu steuern oder persönliche Aspekte zu bewerten. Die DSK betont, dass in den meisten Fällen eine Datenverarbeitung mittels KI voraussichtlich ein hohes Risiko darstellt und eine DSFA erforderlich ist.
Besondere Risiken beim Einsatz von KI
KI birgt Risiken wie:
- Beeinflussung von Inhalten und Manipulation des Kaufverhaltens durch Profiling und automatisierte Entscheidungsfindung.
- Diskriminierung aufgrund von Geschlecht oder Herkunft.
- Fehlerhafte Ergebnisse aufgrund unzureichender oder verzerrter Datengrundlagen.
- Verstoß gegen den Grundsatz der Datenrichtigkeit, wenn die KI „halluziniert“.
- Verstoß gegen den Grundsatz der Datenminimierung, da KI große Datenmengen benötigt.
- Undurchsichtige Entscheidungsfindungsprozesse .
Wie wird eine DSFA durchgeführt?
Die Durchführung einer DSFA lässt sich in mehrere Schritte unterteilen :
- Schritt 1: Vorbereitung
- Bestandsaufnahme: Was soll eingesetzt werden?
- Einbindung in bestehende Prozesse und Systeme
- Wer soll die Anwendung nutzen?
- Welche Daten sollen (nicht) verarbeitet werden?
- Schritt 2: Konkrete Sachverhaltserfassung
- Operative Ebene: Geplante Datenverarbeitungsprozesse
- Vertragliche Ebene: Prüfung und Verhandlung von Verträgen
- Technische Ebene: Eingliederung in interne und regulatorische Anforderungen
- Schritt 3: Risikoanalyse
- Verhältnismäßigkeitsprüfung
- Erfassung und Bewertung der Risiken
- Maßnahmen zur Risikominimierung
- Schritt 4: Einbeziehung der Datenschutzbehörde
Fazit
Die Anforderungen an den Datenschutz nehmen nicht ab. Eine gute Vorbereitung und die Zusammensetzung eines Projektteams sind entscheidend für die datenschutzrechtlich einwandfreie Umsetzung beim Einsatz von KI
