KI und die DSGVO

Mit der Vorstellung von GPTs hat Open AI (das Unternehmen hinter ChatGPT) die Entwicklung eigener Large Language Models (LLMs) auf der Grundlage von ChatGPT auch ohne Programmierkenntnisse extrem zugänglich gemacht, sodass die datenschutzrechtlichen Fragen noch weiter an Relevanz gewonnen haben. Im Folgenden geben wir daher einen Überblick darüber, welche datenschutzrechtlichen Aspekte bei dem Einsatz von KI und LLMs berücksichtigt werden sollen. Hierbei werden wir praxisnahe Probleme und ihre Lösungen vorstellen.

Eröffnung der DSGVO

KI ist der DSGVO als Begriff fremd. Bereits Erwägungsgrund 15 stellt jedoch klar, dass der Schutz „technologieneutral“ bestehen soll, also auch neuartige Technologien erfassen soll. Dies greift auch in den Wortlaut der Artikel der DSGVO durch. In Art. 22 DSGVO lässt sich KI als System für automatische Entscheidungen hineinlesen. Auch Art. 35 Abs. 1 S. 1 DSGVO spricht von der „Verwendung neuer Technologien“.

Ausschlaggebend ist, ob mit der entsprechenden Technologie personenbezogene Daten verarbeitet werden. Art. 4 Nr. 1 DSGVO definiert personenbezogene Daten als „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen“. Es ist von einem weiten Verständnis auszugehen. Daten die aufgrund ihres Inhalts, Zwecks oder Auswirkung mit einer bestimmten Person verknüpfbar sind solche, die eine Person identifizierbar machen. Diese Informationen reichen somit von einem Klarnamen über einen Künstlernamen bis hin zu Angaben über die Zahlungsfähigkeit von Individuen. Auch sog. pseudonyme Daten, wie eine Kundennummer, sind unter Hinzuziehung zusätzlicher Informationen ebenfalls mit individuellen Personen verknüpfbar und fallen damit ebenfalls unter den Anwendungsbereich der DSGVO.

Fehlt ein Personenbezug der Daten wird der Anwendungsbereich der DSGVO nicht eröffnet, Art. 2 Abs. 1 DSGVO.

Art und Umfang der personenbezogenen Daten

KI kann in verschiedene Formen zum Einsatz kommen. Die derzeit wohl am weitesten verbreitete Form generativer KI ist der Chatbot, der interaktiv auf die Eingaben von Nutzer:innen reagiert und so kontextbezogene Antworten und Konversationen ermöglicht. Daher werden wir im Folgenden am Beispiel des Chatbots aufzeigen, was für personenbezogene Daten durch die KI wie verarbeitet werden können.

Bevor ein eigens entwickelter Chatbot zur interaktiven Korrespondenz eingesetzt werden kann, muss er unter Einsatz extrem großer Datensätze trainiert werden, um Zusammenhänge erkennen und Prognosen erstellen zu können. Bei den Daten handelt es sich regelmäßig um Audio, Video, Bild oder Textdaten. Dass hier auch Personenbezüge vorliegen können, liegt in der Natur der Sache.

Es stellt sich somit die Frage, woher Entwickler die notwendigen Trainingsdaten entnehmen. Denkbar sind u.a. folgende Quellen:

• Eigene Datensätze
• Daten aus frei zugänglichen Quellen
• Externe Anbieter von Trainingsdatensätzen

Nach dem Training ist die KI bereit für den Einsatz. Im Falle eines Chatbots bedeutet das, dass Nutzer:innen in einem Dialogfeld Informationen zu einem konkreten Sachverhalt eingeben können.

Ein Beispiel:

„Kann man bei euch einen Mobilfunkvertrag abschließen, wenn man minderjährig ist?“

Der Sachverhalt kann auch pseudonyme oder unmittelbar personenbezogene Daten enthalten:

„Meine Vertragsnummer lautet 1234, ich möchte meine Anschrift von Hauptstraße 1 zu Nebenstraße 2 ändern zum 01.01.2024 und meinen Nachnamen im Kundenkonto von Meyer zu Müller ändern.“

Der Algorithmus hinter dem Chatbot ordnet diese Informationen zu, verarbeitet sie weiter und veranlasst ggf. unter Hinzuziehung weiterer Programme die Veränderung bereits bestehender Daten. Im Anschluss trifft die KI eine Entscheidung bezüglich der Reaktion auf den Input und generiert als Output eine kontextbezogene Antwort:

„Für den Abschluss eines Mobilfunkvertrags bei uns musst du das 18. Lebensjahr vollendet haben und somit volljährig sein.“

 

„Hallo Frau Müller, ich habe Ihren Namen geändert und eine Vormerkung für eine automatische Änderung der Anschrift auf Nebenstraße 2 zum 01.01.2024 aufgenommen.“

Der Chatbot kann zudem so trainiert oder vorprogrammiert werden, dass er Belange der Nutzer:innen auf Grund ihrer Eingaben und ihres Profils präventiv erkennt. Der Chatbot kann dann antizipieren, dass die Person im Chatfenster vielleicht neben der Änderung ihrer Anschrift auch ihren Energiebedarf neu berechnen lassen möchte, oder, da die neue Anschrift in einem Gebiet mit vielen E-Autos liegt, dass die Unterbreitung eines maßgeschneiderten Angebots diesbezüglich möglich ist.

Besondere Vorsicht ist in den Fällen geboten, in denen sog. besondere Kategorien personenbezogener Daten (auch „sensible Daten“) verarbeitet werden sollen. Dabei handelt es sich u.a. um Informationen, wie sexuelle Orientierung, ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, vgl. Art. 9 Abs. 1 DSGVO.

Rechtsgrundlagen für die Datenverarbeitung

Die Verarbeitung der personenbezogenen Daten bedarf stets einer Rechtsgrundlage. In Betracht kommt bei personenbezogenen Daten hier Art. 6 DSGVO, bei besonderen Kategorien personenbezogener Daten kommt es auf die Erlaubnistatbestände des Art. 9 Abs. 2 DSGVO an.

Am relevantesten wird die Einwilligung durch die Betroffenen nach Art. 6 Abs. 1 lit. a DSGVO (bzw. bei besonderen Kategorien personenbezogener Daten Art. 9 Abs. 2 lit a DSGVO) und das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DSGVO. Bei einem vertraglichen Verhältnis zu Betroffenen der Datenverarbeitung mit KI kommt zudem Art. 6 Abs. 1 lit. b DSGVO in Betracht.

Neben der DSGVO kommen weitere in nationalen Datenschutzgesetzen – wie beispielsweise das BDSG – geregelte Rechtsgrundlagen in Betracht. Dies gilt insbesondere für die Verarbeitung personenbezogener Daten im Rahmen der öffentlichen Verwaltung und der Justiz (z.B. B2G), für Beschäftigtendaten sowie für die Forschung.

Nachfolgend schlüsseln wir die relevanten Rechtsgrundlagen anhand der jeweiligen Zwecke der Verarbeitung im Rahmen der Verwendung von KI auf. Im Wesentlichen ist dabei zwischen Trainingsdaten, und der Verwendung der KI durch Eingaben der Nutzer:innen zu unterscheiden.

Trainingsdaten

Die Rechtsgrundlage für die Verarbeitung von Trainingsdaten mit Personenbezug hängt insbesondere von der Herkunft der Daten ab.

Trainingsdaten können als solche erhoben werden. Diese Konstellation wird in der Praxis eher unüblich sein. Als Rechtsgrundlage kommt hier bei freiwilliger Teilnahme der betroffenen Personen zum einen Art. 6 Abs. 1 lit. f DSGVO in Betracht. Zum anderen kann die Datenverarbeitung auch auf eine Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO gestützt werden.

Spannender sind die Fälle, bei denen Bestandsdaten oder durch Scraping gesammelte Daten weiterverarbeitet werden sollen.

Problem: Zweckänderung bei Bestandsdaten

Bei der Weiterverarbeitung von Bestandsdaten stellt sich die Frage der sog. Zweckänderung. Wollen Unternehmen eine eigene generative KI trainieren, müssen sie folgendes Problem beachten:

Bestandsdaten wurden ursprünglich zu einem anderen Zweck erhoben als dem Training der KI. Nach dem Zweckbindungsgrundsatz aus Art. 5 Abs. 1 Nr. 2 DSGVO dürfen Daten jedoch nur zu dem Zweck verarbeitet werden, zu dem sie auch erhoben wurden. Soll eine Verarbeitung zu einem anderen Zweck erfolgen, so ist diese an den Maßstäben des Art. 6 Abs. 4 DSGVO zu messen. Der neue Zweck muss also mit dem ursprünglichen Zweck vereinbar sein. Eine derartige Annahme für die Verwendung von personenbezogenen Daten zum Trainieren einer KI wäre, wenn überhaupt, schwer zu begründen.

Problem: Durch Scraping gewonnene Daten

Bei der Verarbeitung von Daten aus anderen Quellen stellt sich die Frage, ob diese primär rechtmäßig erhoben worden sind und/oder auf welcher Grundlage sie nun für das Training der KI weiterverarbeitet werden. Der Verarbeiter der Daten kennt die Betroffenen mit an Sicherheit grenzender Wahrscheinlichkeit nicht, da es sich um unvorstellbar viele Daten handelt. Dies bedeutet, dass datenschutzrechtlich in der Regel keine Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO eingeholt werden kann. Damit kommt als Rechtsgrundlage lediglich das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DSGVO in Betracht. Hier muss eine Abwägung vorgenommen werden, die insbesondere auch den Zweck der geplanten Verarbeitung der Daten berücksichtigen muss. Ebenfalls berücksichtigt werden muss die Frage, ob die Person, deren Daten für das Training verwendet werden, mit geringem Aufwand re-identifiziert werden kann.

Problem: Sensible Daten?

Trainingsdaten können auch sensible Informationen nach Art. 9 DSGVO enthalten. Dies kann schon bei Bildern von Brillenträger:innen beginnen und ist natürlich insbesondere bei dem Training von KI für den medizinischen Sektor brisant, wo KI anhand von Bilderkennung zur Frühdiagnose einer Vielzahl von Krankheiten eingesetzt werden kann. Neben der Einwilligung sieht Art. 9 Abs. 2 DSGVO noch weitere Rechtsgrundlagen vor, in Einzelfällen kann die Datenverarbeitung zum Zwecke der Forschung auch privilegiert sein (vgl. Ausführungen in Leitlinie der EDSA zur Verarbeitung von Gesundheitsdaten für wissenschaftliche Forschungszwecke von 2020, hier ab Rn. 23). Die sog. Petersberger Erklärung der DSK befasst sich unter anderem ebenfalls mit dieser Grundsatzfrage.

Lösung: Anonymisierte oder aggregierte Daten?

Als mögliche Lösung dieser genannten Probleme kommt die Verwendung von anonymisierten Daten oder aggregierten Daten in Betracht.

Die Daten sind anonymisiert, wenn der Bezug zu einer konkreten natürlichen Person nicht mehr oder nur mit einem unverhältnismäßigen Aufwand wiederhergestellt werden kann. Da es sich bei diesen Daten mit guten Argumenten nicht mehr um personenbezogene Daten im Sinne des Art. 4 Abs. 1 DSGVO handelt, ist in diesem Fall der Anwendungsbereich der DSGVO nicht eröffnet. Die anonymisierten Daten können daher verarbeitet werden.

Für das Training können auch aggregierte Daten verwendet werden. Bei der Aggregation von Daten werden Fallgruppen im aktiven Datensatz zu einzelnen Fällen kombiniert, die dann als separate aggregierte Datei abgespeichert werden. In diesem Fall kann der Personenbezug fehlen, wenn sich die aggregierten Daten nicht auf eine bestimmte natürliche Person, sondern auf eine Personengruppe beziehen. Die Verwendung dieser Art aggregierter Daten eröffnet den Anwendungsbereich der DSGVO wie die Verwendung anonymisierter Daten nicht.

Sowohl die Anonymisierung von Daten als auch die Erstellung aggregierter Datensätze stellt nach wohl herrschender Meinung eine Verarbeitung personenbezogener Daten dar, sodass eine Rechtsgrundlage hierfür notwendig ist. In Betracht kommt das berechtigte Interesse – wobei in der Feststellung dessen die Abwägung eine entscheidende Rolle spielt.

Eingaben von Nutzer:innen (Dialogfeld)

Wird es Nutzer:innen ermöglicht, mit der KI zu interagieren z.B. durch ein Chat-Feld oder bei einer Bild-KI durch das Hochladen von Fotos, kann die Verarbeitung personenbezogene Daten nicht ausgeschlossen werden. Sofern dies vorgesehen ist, wie z.B. im Fall eines Kundensupport-Chats, kommt als Rechtsgrundlage der Vertrag zwischen den Parteien in Betracht nach Art. 6 Abs. 1 lit. b DSGVO. Sollten hier sensible Informationen geteilt werden, greift ggf. Art. 9 DSGVO und damit die Notwendigkeit einer Einwilligung.

Problem: Aufgedrängte Informationen

Problematisch wird es, wenn die Eingabe (bestimmter) personenbezogener Daten nicht vorgesehen ist. Selbst wenn mit einem Hinweis die Eingabe personenbezogener Daten oder besonders sensibler Daten, oder vertragsfremder Daten, untersagt werden sollte, kann es dennoch vorkommen, dass Nutzer:innen solche „zweckfremden“ Daten eingeben. Diese Fälle sogenannter „aufgedrängter Verantwortlichkeit“ führen nicht zu einer Stellung der Anbieter der generativen KI als Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO. Denn faktisch werden diese Daten mit der Eingabe verarbeitet. Bei aufgedrängten Daten kommt als Rechtsgrundlage das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DSGVO in Betracht. Im Rahmen der Abwägung kann hier argumentiert werden, dass die Informationen – trotz Kontext – freiwillig eingegeben und somit „aufgedrängt“ worden sind. Dies funktioniert jedoch nicht bei Gesundheitsdaten. Deren Verarbeitung müsste beendet werden, die aufgedrängten Informationen müssten gelöscht werden.

Problem: Weiterverarbeitung von (aufgedrängten) Informationen

Hinzu kommt die Situation, dass die KI mit den erhaltenen Informationen über das Dialogfenster weiter lernt. Diese Weiterverarbeitung bedarf einer Rechtsgrundlage – es kommt hier natürlich die Einwilligung in Betracht, auch zu diesen Zwecken, nach Art. 6 Abs. 1 lit. a DSGVO. Daneben ist gegebenenfalls ein berechtigtes Interesse diskutabel, obschon bei der hier zu erfolgenden Abwägung die oben genannten Aspekte nicht außer Acht gelassen werden dürfen.

Lösung: Umfassende Vorabinformation und Einwilligungen

Bis sich hierzu Behörden oder Gerichte äußern, wird mit hoher Wahrscheinlichkeit noch einige Zeit ins Land gehen. Bis dahin erscheint es praxisorientiert, vor dem Einsatz der KI auf eine umfassende Information der Betroffenen zu achten und Einwilligungen einzuholen. Je Einsatzzweck und Art der KI scheint auch das berechtigte Interesse als gut vertretbar zu sein. Eine endgültige Einordnung bedarf jedoch einer umfassenden Prüfung im Einzelfall.

Betroffenenrechte und ihre Durchsetzbarkeit, Datensicherheit

Werden personenbezogene Daten über eine Person verarbeitet, so stehen dieser betroffenen Person gegenüber dem für die Verarbeitung Verantwortlichen sog. Betroffenenrechte zu.

Bereits für konventionell aufgestellte Unternehmen stellt die Umsetzung der Betroffenenrechte eine Herausforderung dar. Umso komplizierter wird es, wenn das Trainieren oder der Einsatz von KI in Erwägung gezogen oder bereits praktiziert wird.

Zu den wesentlichen Pflichten des Verantwortlichen zählen u.a.:

• die Pflicht zur Auskunftserteilung über die Datenverarbeitung und die beim Unternehmen gespeicherten personenbezogenen Daten (Art. 15 DSGVO),
• die Pflicht gespeicherte personenbezogene Daten
  • zu berichtigen (Art. 16 DSGVO),
  • zu löschen (Art. 17 DSGVO) und
  • die Verarbeitung einzuschränken (Art. 18 DSGVO).

Regelmäßig fällt die Datenverarbeitung auch unter sog. Profiling nach Art. 4 Nr. 4 DSGVO. Dies wirkt sich insbesondere auf z.B.den Auskunftsgesuch (Art. 15 Abs. 1 lit. h DSGVO) aus.

Problem: Individualisierung der Betroffenen bei Big Data

Ein besonderes Problem stellen die Durchsetzbarkeit und die Erfüllung von Betroffenenrechten im Kontext von Big Data dar. Hier ist es auf Grund der Masse an verarbeiteten Daten nicht immer möglich nachzuvollziehen, welche personenbezogenen Daten verarbeitet werden. So kann es vorkommen, dass Betroffene nicht effektiv identifiziert werden können und so ihren Löschgesuchen nicht nachgekommen werden kann. Eine individualistische Behandlung der Datensätze in einer trainierten KI widerspricht der Natur der Sache der KI jedoch auch ein wenig. Dieses Problemfeld gab es bereits vor der KI-Diskussion bei großen Datenbanken und anderen Varianten von Big Data.

Problem: Black Box

Ein dem Gebiet von KI inhärentes Problem ergibt sich aus dem Umstand, dass der Entscheidungsprozess von KI auf Grund der hohen technischen Komplexität nicht komplett nachvollzogen und daher nicht verständlich erklärt werden kann (sogenannte Black-Box). Dies betrifft nicht nur Laien, sondern auch sachkundige Personen.

Mit Blick auf die Betroffenenrechte bedeutet dies, dass:

• Auskunftsansprüche mangels Einsicht in die neuralen Netze nicht in vollem Umfang erfüllt werden können;
• Löschverpflichtungen bei etwaigen gespeicherten Daten nicht gezielt erfüllt werden können.

Problem: Datensicherheit

Personenbezogene Daten, die für das Trainieren oder durch den Einsatz von KI verarbeitet werden sind besonderen Risiken ausgesetzt. Es muss daher ein Augenmerk auf die Datensicherheit gelegt werden. Mittels bestimmter Verfahren wurde bereits mehrfach nachgewiesen, dass generative KI-Modelle die verwendeten Trainingsdaten ungewollt speichern und zudem mittels bestimmter Angriffe (z.B: Inversionsangriffe) diese Daten auch kopiert und/oder ausgelesen werden können (so zuletzt auch in dem computerwissenschaftlichen Aufsatz aus dem arXiv von der Cornell University „Scalable Extraction of Training Data from (Production) Language Models“).

Lösung: Möglichst anonym und sicher, ggf. keine Pflicht der Identifikation

Die Risiken und Durchsetzungsschwierigkeiten lassen sich aufgrund der Natur der Sache nicht völlig eliminieren. Praktisch gesehen lassen sie sich jedoch minimieren:

Es ist ratsam, von Beginn an auf eine umfassende Dokumentation zu achten und sich vor KI-spezifischen Angriffen zu rüsten.

Mit Blick auf eingehende Betroffenengesuche ist auf die Möglichkeiten der Erfüllung zu achten, Ist unklar, ob personenbezogene Daten verarbeitet werden, hilft die DSGVO sogar ab:

Art. 11 DSGVO befasst sich mit Situationen, in denen die Identität des Betroffenen nicht klar ist (z.B. bei pseudonymen Daten). Der Verantwortliche hat hiernach ausdrücklich keine Pflicht, weitere Informationen einzuholen um die Identität gesondert festzustellen. Wenn er nicht in der Lage ist, die Person zu identifizieren, kann er ihr dies nach Art. 11 Abs. 2 DSGVO mitteilen. Liefert die betroffene Person keine weiteren Daten, die eine Identifikation mit einfachen Mitteln ermöglichen, stehen ihr die Betroffenenrechte nach Art. 15 bis 20 DSGVO nicht zu.

Die Informationspflichten des Verantwortlichen

Schließlich gibt es die Informationspflichten aus Art. 13, 14 DSGVO.

Ein Problem stellen mit Blick auf Art. 14 DSGVO insbesondere Fälle dar, bei denen die verarbeiteten Daten nicht unmittelbar bei der betroffenen Person erhoben wurden. Bei Scraping (s.o. Trainingsdaten) kann es sein, dass es sich um Big Data und damit um viel zu viele Betroffene handelt. Der Verantwortliche hat schier keine Möglichkeit, alle zu kontaktieren, um seinen Pflichten ordnungsgemäß nachzugehen. Abhilfe schafft Art. 14 Abs. 5 lit. b DSGVO i.V.m. Erwägungsgrund 62: Wenn der Aufwand unverhältnismäßig sei, kann von dieser Pflicht abgesehen werden.

Bei Unkenntnis der Identität von Betroffenen, sind Ausnahmen von der Informationspflicht möglich, vgl. Erwägungsgrund 62 der DSGVO.

Regelungen zum Drittstaatentransfer

Der Vollständigkeit halber ist auch auf den Drittstaatentransfer zu achten. Werden Trainingsdaten bspw. von Dienstleistern mit Sitz außerhalb der EU/des EWR verarbeitet, müssen die Regelungen der Art. 44 ff. DSGVO beachtet werden.

Die Verwender von KI müssen darauf achten, ob es sich bei den Drittstaaten um sichere Drittstaaten, wie die seit neuestem auch die USA, handelt oder nicht. Bei nicht sicheren Drittstaaten müssen sodann im Fall einer Auftragsverarbeitung sog. Transfer Impact Assessments (TIA) durchgeführt und Standardvertragsklauseln (SCC) abgeschlossen werden.

Sonstige Pflichten

Da es sich bei KI um sog. neue Technologien im Sinne des Art. 35 Abs. 1 S. 1 DSGVO handelt, ist eine Datenschutz-Folgenabschätzung (DFA) durchzuführen. Der Einsatz von KI muss sich in dem Verarbeitungsverzeichnis (VV) nach Art. 30 DSGVO wiederfinden. Die Technisch Organisatorischen Maßnahmen (TOMs) müssen angepasst werden nach Art. 32 DSGVO. Zudem kann bei KI auch ein sog. Algorithmic Impact Assessment erstellt werden, welches über die DFA hinaus auch wirtschaftliche und ethische Aspekte des Einsatzes berücksichtigt (vgl. „Algorithmic Impact Assessment Tool“ der kanadischen Regierung). Beim Einsatz eines Dienstleisters muss mit diesem in der Regel ein sog. Auftragsverarbeitungsvertrag (AVV, engl. DPA) erstellt werden.

Fazit & Compliance-Maßnahmen

Die Verwendung von generativer KI in eigenen Produkten oder die Erstellung eigener LLMs wirft im Hinblick auf die DSGVO bedeutende datenschutzrechtliche Fragen auf. Die Verarbeitung personenbezogener Daten sollte auf einer klaren Rechtsgrundlage gestützt werden. Erfolgt ein Transfer in einem Drittstaat gilt es die konkreten Besonderheiten zu beachten.

Soll ein eigenes KI-Modell trainiert werden, stellt die Anonymisierung der Trainingsdaten ein adäquates Mittel zum datenschutzkonformen Training dar. Ohne eine Anonymisierung ergeben sich besondere Probleme bei den Betroffenenrechten.

Trotz der Innovationskraft von KI ist es daher unerlässlich, sowohl technische als auch rechtliche Maßnahmen zu ergreifen, um Datenschutzbestimmungen zu erfüllen und den sensiblen Umgang mit personenbezogenen Daten zu gewährleisten.

Um die Verarbeitung personenbezogener Daten zum Einsatz generativer KI so datenschutzrechtskonform wie möglich zu gestalten, sollten u.a. folgende Compliance-Maßnahmen ergriffen werden:

• Das Verarbeitungsverzeichnis muss entsprechend angepasst werden.
• Die Datenschutzinformationen müssen angepasst werden.
• Einwilligungserklärungen müssen eingeholt werden.
• Das Anfertigen einer Datenschutzfolgenabschätzung (DFA) für den KI-Einsatz und/oder sogar einer sog. Algorithm Impact Assessment (AIA), die darüber hinaus geht.
• Das Ergreifen von notwendigen technischen und organisatorischen Maßnahmen, um die Sicherheit der Daten zu gewährleisten (TOMs).
• Im Falle des Einsatzes fremder KI oder der Unterstützung durch einen Dienstleister beim Einsatz von KI kann der Abschluss eines Auftragsverarbeitungsvertrags (AVV) erforderlich sein.

Schließlich lohnt sich stets ein Blick zu den Behörden und Gerichten. So gehen die internationalen Datenschutzbehörden in verschiedener Strenge (bspw. das ad hoc Verbot und die Rücknahme des Verbotes der Verwendung von Chat GPT durch die italienischen Behörden 2023) mit den neuen Technologien um. Auf die entsprechenden Tendenzen und Auslegungen der Vorgaben sollte bei der KI-Compliance auch geachtet werden.

Dabei unterstützen wir Sie sehr gern.