Die Österreichische Datenschutzbehörde (DSB) nimmt erstmals zu den grundlegenden datenschutzrechtlichen Fragen beim Einsatz von Künstlicher Intelligenz (KI) und dem Verhältnis zum AI Act Stellung. Damit zeigt die Behörde in der nationalen KI-Behördenlandschaft Flagge und zieht nach. In vielen Mitgliedsstaaten, wie etwa Frankreich, Spanien, Deutschland und den Niederlanden, bestehen nämlich bereits seit geraumer Zeit ähnliche FAQ und Leitlinien.
Zu den Key Facts der DSB FAQ:
- KI als Querschnittsmaterie: Die DSB betont richtigerweise, dass beim Einsatz von KI verschiedene Rechtsakte zu beachten sind, wie etwa der AI Act als Kern der KI-Regulierung (hier geht es zum WalkThrough), die Produkthaftung, das Urheberrecht und eben Datenschutz.
- DSB-Kompetenz im Anwendungsbereich des AI Act: Der AI Act sieht eine oder mehrere Aufsichtsbehörden für die Überwachung der AI Act-Compliance vor. Wer die KI-Behörde in Österreich sein wird, ist noch nicht fixiert. Bei der RTR GmbH ist in Vorbereitung für die Umsetzung des AI Act, die KI-Servicestelle angesiedelt. Die DSB weist in ihren FAQ darauf hin, dass ihr die alleinige Kompetenz zur Marktüberwachung für einen Teilanwendungsbereich von Hochrisiko-KI-Systemen nach dem AI Act zukommt. Konkret betrifft das:
- Biometrische KI-Systeme nach Z 1 Anhang III AI Act, sofern diese für Strafverfolgungszwecke, Grenzmanagement, Justiz und Demokratie eingesetzt werden;
- Hochrisiko-KI-Systeme in den Bereichen Strafverfolgung, Migration, Asyl und Grenzkontrolle, Rechtspflege und demokratische Prozesse nach Z 6 bis 8 Anhang III AI Act.
- AI Act lässt DSGVO unberührt: Stellenweise referenziert der AI Act auf Definitionen, Rechte und Pflichten der DSGVO. Die DSGVO bleibt bei einem Personenbezug von Daten dabei parallel anwendbar. Demnach steht Betroffenen auch weiterhin die Beschwerdemöglichkeit bei der DSB offen.
- Datenschutzrechtliche Pflichten beim KI-Einsatz: Anhand von Beispielen geht die DSB kurz auf die DSGVO-Grundsätze, die wesentlichen Pflichten und die Betroffenenrechte bei Nutzung von KI ein.
- Rechtmäßigkeit und Rechtsgrundlage: Die Datenverarbeitung durch die KI muss nach Art 6 bzw bei sensiblen Daten zusätzlich nach Art 9 DSGVO gerechtfertigt sein. Dabei eignet sich – wie wir auch in unserer langjährigen Beratungspraxis empfehlen – die Beurteilung nach den verschiedenen Phasen. Bei Large Language Modellen sind etwa die Sammlung von Trainingsdaten (einschließlich Web-Scraping) vom Training und dem Betrieb zu unterscheiden. Spannend ist der innovationsfreundliche Hinweis der DSB, dass derartige Verarbeitungen auch auf Basis berechtigter Interessen gerechtfertigt sein können. Ob das im Einzelfall greift, ist jeweils gesondert zu prüfen.
- Verarbeitung nach Treu und Glauben/Transparenz: Die DSB hebt hervor, dass die Datenverarbeitung nicht ungerechtfertigt nachteilig, diskriminierend, unerwartet oder irreführend für den Betroffenen sein darf. Damit spricht sie das Kernproblem bei KI an: Die oftmals fehlende Erklärbarkeit und den Bias. Der Transparenzgrundsatz hänge auch stark mit den Informationspflichten zusammen. Beim Betrieb eines Chatbots empfiehlt die DSB, Nutzer transparent über die Verarbeitung zu informieren. Aus unserer Sicht kann sich das nur auf die Informationspflichten nach Art 12 ff iVm Art 22 DSGVO und das Auskunftsrecht nach Art 15 DSGVO beziehen. Weitergehende Pflichten sieht die DSGVO schließlich nicht vor. Die Interaktion mit dem Chatbot dürfe weiters keine unvorhergesehenen oder nachteiligen Folgen haben. Was darunter zu verstehen ist, wird nicht erörtert. Es kann sich dabei uE nur um nachteilige Folgen auf die Datenverarbeitung (zB ungerechtfertigte automatisierte Entscheidungsfindung), nicht jedoch sonstige Schäden (zB finanzielle Schäden) handeln.
- Zweckbindung, Datenminimierung und Speicherbegrenzung: Weiters betont die DSB die Erforderlichkeit der Datenverarbeitung für den jeweiligen Zweck.
- Richtigkeit: Dies DSB unterstreicht, dass die Richtigkeit der Daten bei den aktuellen (text)generierenden Systemen regelmäßig mit Herausforderungen verbunden ist. Der Output ist üblicherweise aus statistischer Sicht am wahrscheinlichsten, jedoch nicht notwendigerweise sachlich richtig. Damit spricht die DSB das Halluzinieren von KI-Systemen an. Unter Berücksichtigung dieser Technologie empfiehlt die DSB einen besonderen Fokus auf die Information der Betroffenen zu legen, dass die vom System erzeugten Ergebnisse irreführend und falsch sein können.
- Integrität und Vertraulichkeit: Es ist sicherzustellen, dass verwendete Tools über angemessene Sicherheitsstandards verfügen und verarbeitete Daten nicht unrechtmäßig Dritten offengelegt werden. Als negatives Beispiel werden Übersetzungstools genannt, über die Nutzer eigene Inhalte hochladen und Dritte mangels Sicherheitsvorkehrungen Zugriff auf die gespeicherten Dokumente erlangen können.
- Betroffenenrechte: Die Betroffenenrechte sind auch bei Datenverarbeitungen über KI-Systeme zu beachten.
- Automatisierte Entscheidungsfindung: Eine besondere Bedeutung im KI-Kontext nimmt die automatisierte Entscheidungsfindung (ADM) ein. Sofern ein Betroffener einer ADM unterliegt, muss er darüber inklusive der zugrundeliegenden Logik und der angestrebten Auswirkung auf die Entscheidung informiert werden. Er hat zudem ein Recht auf menschliche Überprüfung.
Fazit
Die FAQ der DSB sind sehr zu begrüßen. Es ist ein wichtiger Schritt, auch im KI-Kontext Guideance zu bieten, die Herausforderungen sowie allfällige risikomitigierende Maßnahmen zu thematisieren. Wir gehen davon aus, dass auch die anderen zuständigen Behörden einen ähnlichen offensiven Informations- und Beratungsansatz wählen. Wichtig wird sein, dass alle Beteiligten auch auf einen laufenden Austausch mit der Praxis und Wirtschaft zur angemessenen Berücksichtigung wirtschaftlicher Aspekte und Branchenentwicklungen setzen, um die KI Regulierung lebbar zu gestalten.