Datenschutzrechtliche Pflichten beim KI-Training – Teil 2: Berechtigtes Interesse als Verarbeitungsgrundlage

Das Training eines KI-Systems geht regelmäßig mit der Verarbeitung personenbezogener Daten einher. Datenschutzrechtlich verantwortlich für diese Verarbeitung ist der KI-Entwickler. In Teil 1 haben wir bereits untersucht, welche Ausnahmen von der Informationspflicht beim Training von KI-Systemen greifen können.

KI-Anbieter müssen sich für die Datenverarbeitung beim Training von KI-Systemen aber auch auf eine geeignete Verarbeitungsgrundlage berufen können. Dass das „berechtige Interesse“ nach Art. 6 Abs. 1 lit. f) DS-GVO dafür tragen kann, wird in diesem Beitrag dargestellt.

Erfordernis einer Rechtsgrundlage

Wer personenbezogene Daten verarbeiten möchte, braucht eine geeignete Rechtsgrundlage, andernfalls ist die Datenverarbeitung rechtswidrig. Das ergibt sich aus Art. 5 Abs. 1 lit. a) i.V.m. Art. 6 DS-GVO  (sog. präventives Verbot mit Erlaubnisvorbehalt). Rechtsgrundlagen können beispielsweise die Erfüllung rechtlicher Verpflichtungen, der Schutz lebenswichtiger Interessen, das öffentliche Interesse, die Einwilligung des Betroffenen oder das berechtigte Interesse sein (Art. 6 Abs. 1 DS-GVO).

Warum die Einwilligung oft keine belastbare Datenverarbeitungsgrundlage ist

Hat der KI-Entwickler die Daten direkt vom Betroffenen erhalten, kann es sein, dass er seine Verarbeitung auf die Einwilligung stützen kann. Verwendet der KI-Entwickler aber veröffentlichte personenbezogenen Daten aus dem Internet, wird das oft nicht der Fall sein. Denn die datenschutzrechtlichen Anforderungen an eine Einwilligung sind hoch. Das bloße Veröffentlichen personenbezogener Daten im Internet reicht noch nicht als Einwilligung aus. Prinzipiell ist es zwar möglich, durch schlüssiges Verhalten, d.h. konkludent, in eine Verarbeitung einzuwilligen. Allerdings kann eine Einwilligung wirksam nur „in informierter Weise“ abgegeben werden (Art. 4 Nr. 11 DS-GVO). Dies erfordert unter anderem, dass der Betroffene weiß, wer seine personenbezogenen wie und wofür verarbeitet. Veröffentlicht ein Betroffener aber seine Daten heute im Internet und überlegt sich ein KI-Entwickler morgen, dass er die Daten des Betroffenen nutzen möchte, kann der Betroffene heute noch gar nicht wissen, was mit seinen Daten passiert.

Das „berechtigte Interesse“ als Verarbeitungsgrundlage

In der Praxis werden KI-Entwickler sich zur Verarbeitung veröffentlichter personenbezogener Daten deshalb regelmäßig auf ihr berechtigtes Interesse berufen. Das berechtigte Interesse bietet sich als Verarbeitungsgrundlage an, wenn die Verarbeitung zur Wahrung von Interessen der Verantwortlichen erforderlich ist und die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, nicht überwiegen (Art. 6 Abs. 1 lit. f) DS-GVO).

Berechtigte Interessen können praktisch alle rechtlichen, wirtschaftlichen oder ideellen Interessen sein. Beim der Entwicklung eines KI-Systems steht oft die von Art. 16 GRCh geschützte unternehmerische Freiheit im Fokus.

In vielen Fällen können KI-Systeme sinnvoll nur unter Verwendung von personenbezogenen Daten trainiert werden. Ausnahmsweise wird dies nur dann nicht der Fall sein, wenn der Datensatz erfolgreich anonymisiert werden und das Training auch mit dem anonymisierten Datensatz erfolgen kann – dies sollte vor Verarbeitungsbeginn sorgfältig geprüft werden.

Abwägung mit den Betroffenenrechten und -interessen

Das berechtigte Interesse der Verantwortlichen kann nur als Verarbeitungsgrundlage dienen, wenn es nicht von den Interessen oder Grundrechten und Grundfreiheiten des Betroffenen übertroffen wird. Dafür hat der KI-Entwickler eine auf die jeweilige Verarbeitung bezogene Abwägung anzustellen. Zu berücksichtigen sind dabei alle Umstände der Verarbeitung.

Im Kontext des Trainings von KI-Systemen sollte dabei aus der Praxisperspektive berücksichtigt werden:

• Die vernünftigen Erwartungen des Betroffenen (Erwägungsgrund 47 zur DS-GVO): Nicht jeder, der personenbezogene Daten im Internet veröffentlicht, geht davon aus, dass diese von Dritten verarbeitet werden. Die DS-GVO berücksichtigt aber nicht nur die tatsächlichen Erwartungen. Entscheidend dürfte sein, ob die Verarbeitung aus der Perspektive eines objektiven Dritten als erwartbar angesehen werden kann. Aufgrund der wiederholten Presseberichterstattung der letzten Jahre über die Datenverarbeitung im Internet veröffentlichter Daten lässt sich mit guten Argumenten vertreten, dass mit der Verarbeitung veröffentlichter personenbezogener Daten aus der Perspektive eines objektiven Dritten mittlerweile durchaus zu rechnen ist. Zudem kommt durch den Betroffenen öffentlich gemachte Daten ohnehin ein geringerer Schutz zu.
• Die Größe des Datensatzes: Die Größe des Datensatzes und das Zusammenführen von Daten aus verschiedenen Quellen stellt eine Herausforderung in der Interessenabwägung da, da hiermit eine besondere Eingriffstiefe einhergehen kann. Zugunsten des KI-Entwicklers ist zu berücksichtigen, dass die Verarbeitung großer und aus verschiedenen Quellen stammender Datensätze nur „Mittel zum Zweck“ für das KI-Training ist und nicht, wie z.B. im Profiling-Kontext, Ziel der Verarbeitung ist. Dadurch ist die Eingriffstiefe deutlich geringer als beim Profiling. Da aber selbst Profiling unter bestimmten Umständen auf das berechtigte Interesse gestützt werden kann, muss das für das Training von KI-Systemen erst recht gelten.
• Besonders schützenswerte Daten: Bei der Erstellung der Datensätze durch Webcrawling und Webscraping (Einzelheiten hierzu in unserem Beitrag Wie KI-Systeme rechtmäßig mit frei verfügbaren Daten trainiert werden) können auch Daten Minderjähriger in den Trainingsdatensätzen enthalten sein. Da Minderjährige besonders geschützt werden müssen, sollte besonders sorgsam geprüft werden, ob die Rechte und Interessen Minderjähriger bei der Verarbeitung ausreichend geschützt sind. Dasselbe gilt bei der Verarbeitung besonderer Kategorien personenbezogener Daten wie politische Meinungen, Gesundheitsdaten, weltanschauliche Überzeugungen oder Daten zur sexuellen Orientierung (Art. 9 Abs. 1 DS-GVO). Per se verboten ist die Verarbeitung Daten Minderjähriger oder besonderer Kategorien personenbezogener Daten deshalb nicht – es sind aber geeignete Schutzmaßnahmen zu ergreifen.
• Ergriffene Schutzmaßnahmen: Um ein Überwiegen des berechtigten Interesses zu begründen sollte die Datenverarbeitung so gestaltet werden, dass mit ihr keine oder nur möglichst geringe Gefahren für den Betroffenen einhergehen. Dafür hat der Verantwortliche geeignete technische und organisatorische Schutzmaßnahmen zu ergreifen. Dies könnten beispielsweise Pseudonymisierung, hohe Transparenz, die einfache Ermöglichung der Ausübung des Widerspruchrechts und der sonstigen Betroffenenrechte sein. Welche Maßnahmen effektiv sind und wie die Verarbeitungsvorgänge möglichst risikoarm gestaltet werden können, kann im Rahmen einer Datenschutzfolgenabschätzung (siehe Teil 1) erarbeitet werden.

Handlungsempfehlung

Kommt die Interessenabwägung zum Ergebnis, dass das berechtigte Interesse des Verantwortlichen überwiegt, kommt Art. 6 Abs. 1 lit. f) DS-GVO als Verarbeitungsgrundlage in Betracht. Betroffenen können der Verarbeitung aber unter bestimmten Umständen widersprechen (Art. 21 DS-GVO). Der KI-Entwickler sollte deshalb einen Mechanismus etablieren, mit welchem er auf Widersprüche reagiert. Unbedingt erforderlich ist dafür zudem, die Interessenabwägung sauber zu dokumentieren und regelmäßig zu überprüfen. KI-Entwickler, die Betroffenen über die Verarbeitung nicht vor Verarbeitungsbeginn informieren müssen (Einzelheiten hierzu in Teil 1 dieses Beitrags), sind gut beraten, die Interessenabwägung beispielsweise auch in verständlicher Sprache auf der Homepage zu veröffentlichen.

Haben Sie Fragen zur Verarbeitungsgrundlage oder zur Interessenabwägung beim KI-Training? Aitava ist eine innovative Boutique Law Firm für Künstliche Intelligenz und IT-Recht. Wir beraten agil, interdisziplinär und effizient. AI & Data Strategy und AI & Data Compliance gehören zu unserer DNA. Sprechen Sie uns gerne an. Wir sind bereit.