KI-Verordnung: Das Verhältnis zur DSGVO

Verhältnis von KI-VO und DSGVO: Datenschutzrechtliche Rahmenbedingungen für KI-Systeme

Der Einsatz Künstlicher Intelligenz (KI) bringt eine Vielzahl an rechtlichen Fragestellungen mit sich – eine zentrale Frage ist das Verhältnis zwischen der europäischen Verordnung zur Regulierung von KI (KI-VO) und der Datenschutz-Grundverordnung (DSGVO). Gerade im Zusammenhang mit dem Training von KI-Systemen, bei dem häufig personenbezogene Daten im Sinne von Art. 4 Abs. 1 DSGVO verarbeitet werden, ist die Abgrenzung der beiden Regelwerke entscheidend.

Die KI-VO und die DSGVO: Zwei parallele Regelungen

Art. 2 Abs. 7 der KI-VO stellt klar, dass die Regelungen der KI-VO die DSGVO nicht berühren sollen. Das bedeutet, dass die Anforderungen und Verpflichtungen der DSGVO weiterhin in vollem Umfang gelten. Erwägungsgrund 10 der KI-VO hebt explizit hervor, dass Anbieter und Betreiber von KI-Systemen ihre datenschutzrechtlichen Verpflichtungen als Verantwortliche oder Auftragsverarbeiter auch dann wahren müssen, wenn die KI-Verordnung zur Anwendung kommt.

Datenverarbeitung im KI-Training: Erhebung und Organisation personenbezogener Daten

Das Training von KI-Systemen erfordert in vielen Fällen die Verarbeitung personenbezogener Daten, die beispielsweise aus öffentlichen Quellen stammen können. Hierbei werden Daten gesammelt, strukturiert, ausgelesen, abgefragt und miteinander verknüpft – alles Verarbeitungsprozesse, die unter die DSGVO fallen. Da KI-Training somit die Verarbeitung personenbezogener Daten nach Art. 4 Abs. 2 DSGVO umfasst, sind die Datenschutzgrundsätze auch im Kontext von KI-Systemen anzuwenden.

Rechtliche Grundlage zur Datenverarbeitung: Interessenabwägung und berechtigtes Interesse

Die KI-VO bietet keine eigenständige Rechtsgrundlage für die Verarbeitung personenbezogener Daten. Daher ist für die Verarbeitung im KI-Kontext meist das berechtigte Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO heranzuziehen. Die Verantwortlichen müssen dabei eine Interessenabwägung durchführen und prüfen, ob das berechtigte Interesse an der Nutzung der personenbezogenen Daten das Schutzinteresse der betroffenen Personen überwiegt. Dies kann insbesondere dann gut argumentiert werden, wenn die Daten aus öffentlichen Quellen stammen und anschließend anonymisiert werden, um den Schutz der Privatsphäre zu gewährleisten.

Verantwortlichkeiten in der Datenverarbeitung: Anbieter und Betreiber in gemeinsamer Verantwortung?

Ein weiterer zentraler Aspekt im Zusammenspiel von KI-VO und DSGVO ist die Verteilung der datenschutzrechtlichen Rollen. Die DSGVO unterscheidet zwischen dem Verantwortlichen und dem Auftragsverarbeiter. Bei der Nutzung von KI-Systemen kann es jedoch häufig vorkommen, dass sowohl der Anbieter als auch der Betreiber Interesse an den verarbeiteten personenbezogenen Daten haben. In diesen Fällen könnte eine gemeinsame Verantwortlichkeit im Sinne des Art. 26 DSGVO bestehen, ein sogenanntes „Joint Controllership“-Verhältnis. Hierbei spielt die Entscheidungsmacht über die Datenverarbeitung eine wichtige Rolle – je nach Einfluss und Entscheidungskompetenz über die Datenverarbeitungsprozesse kann die Verantwortung unterschiedlich ausfallen.

Fazit

Das Verhältnis zwischen der KI-VO und der DSGVO bleibt komplex. Während die KI-VO spezifische Vorgaben zur Nutzung von KI-Systemen regelt, hebt sie die Anforderungen der DSGVO an den Datenschutz nicht auf. Für die Verarbeitung personenbezogener Daten im KI-Kontext gelten nach wie vor die Datenschutzgrundsätze der DSGVO, und eine rechtliche Grundlage wie das berechtigte Interesse ist erforderlich. Die Klärung von Verantwortlichkeiten zwischen Anbietern und Betreibern wird dabei eine bedeutende Rolle spielen, um den rechtlichen Anforderungen gerecht zu werden.

‍