Gutes Datenschutzmanagement hilft bei KI Compliance

In der aktuellen Diskussion über KI, KI Kompetenz und Verpflichtungen, die Unternehmen aus dem A.I. Act (KI VO) treffen, sollte auch ein Augenmerk darauf gelegt werden, in welchen Bereichen Synergien mit bereits bestehenden Governance Strukturen bestehen.
Für Unternehmen, die KI anwenden und einsetzen, lohnt sich ein Blick darauf, welche Verpflichtungen aus der KI Verordnung in bestehende Datenschutzmanagementstrukturen integriert werden können. Diese Integration kann Zeit und Aufwand reduzieren und auch sicherstellen, dass bei Einsatz von KI Systemen die datenschutzrechtlichen Grundsätze ausreichend beachtet werden.
Im Folgenden soll anhand einiger konkreter Beispiele das Synergiepotenzial aufgezeigt werden:

1.    Dokumentation und Transparenz in Datenschutz und KI

Bestandteil eines guten Datenschutzmanagements ist die Dokumentation. Zahlreiche Vorschriften der DSGVO erfordern eine umfangreiche Dokumentation der Datenverarbeitungen. Zu nennen ist hier an erster Stelle die Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO, die eine umfangreiche Dokumentation und Nachweisbarkeit der Einhaltung aller datenschutzrechtlichen Grundsätze vorschreibt. Daneben natürlich Art. 30 DSGVO, der die Pflicht zur Führung von Verarbeitungsverzeichnissen statuiert, verbunden mit Art. 32 DSGVO für die technischen und organisatorischen Maßnahmen.
Den Transparenzerfordernissen wird mit den Informationspflichten aus Art. 12 – 14 DSGVO und den Betroffenenrechten Artt. 15 ff DSGVO Rechnung getragen.
Pflichten zur Dokumentation aus der KI Verordnung ergeben sich aus Art. 13 KI VO, der technische Dokumentationen für Hochrisiko KI vorschreibt und aus Art. 52 KI VO, der Kennzeichnungspflichten für KI generierte Inhalte regelt.
Aus den weitergehenden Verpflichtungen zu Dokumentation und Risikomanagement bei Hochrisiko KI folgt denknotwendig aber auch eine allgemeine Verpflichtung zur Inventarisierung, Dokumentation und Einstufung aller eingesetzten KI Systeme, um zuverlässig zu beurteilen, welche ggf. weitergehenden Verpflichtungen eingehalten werden müssen. Diese Dokumentation und Einstufung (Klassifizierung von KI) kann sinnvollerweise mit der datenschutzrechtlichen Dokumentation der Verarbeitungstätigkeiten erfolgen.
Dokumentation und Information von und über KI Systeme kann somit in vielen Bereichen in die bereits im Rahmen eines Datenschutzmanagements erfolgten Datenschutzdokumentationen und Informationen der betroffenen Personen über Datenverarbeitungen integriert werden.

2.    Risikomanagement / Datenschutzfolgenabschätzung / Grundrechte-Folgenabschätzung

Art. 35 DSGVO regelt das Erfordernis zur Durchführung einer Datenschutzfolgenabschätzung, wenn mit der Verarbeitung von personenbezogenen Daten ein voraussichtlich hohes Risiko für die betroffenen einhergeht. Aktuell gehen zahlreiche Datenschutzaufsichtsbehörden und auch der europäische Datenschutzausschuss (EDSA) davon aus, dass mit der Verarbeitung von personenbezogenen Daten in KI Systemen ein derart hohes Risiko einhergeht.
Die somit bereits nach der DSGVO erforderliche Risikoabwägung überschneidet sich in vielen Punkten mit den durch die KI VO geforderten Risikoerwägungen beim Einsatz von KI. Eine sowieso durchzuführende DSFA kann somit um Punkte der Risikoerwägungen beim Einsatz von KI erweitert werden, um bereits beide Bereiche zu berücksichtigen. Auch mit einer gem. KI Verordnung für Hochrisikosysteme geforderte Grundrechte-Folgenabschätzung und der DSFA bestehen große Schnittmengen.

3.    KI Beauftragter

Wie bereits in unserem Artikel zur Notwendigkeit der Benennung eines KI Beauftragten dargelegt, gibt es keine gesetzliche Verpflichtung aus der KI VO, einen KI beauftragten zu benennen. Andererseits gehen aber auch die datenschutzrechtlichen Aufsichtsbehörden (z.B. BayLDA) davon aus, dass es abhängig von der Unternehmensgröße und dem geplanten Einsatz von KI Systemen für Unternehmen fast alternativlos ist, einen KI beauftragten zu benennen. Insbesondere das BayLDA sieht die Möglichkeit, die Rolle des KI beauftragten auf den Datenschutzbeauftragten zu übertragen. Voraussetzung hierfür ist aber ein tiefgehendes Know-how des Datenschutzbeauftragten in der technischen Funktionsweise von KI Systemen und den für KI Systeme geltenden rechtlichen Rahmenbedingungen.

4.    Schulungen

Die Durchführung von regelmäßigen Datenschutzschulungen ist eine Verpflichtung eines jeden Unternehmens, deren Einhaltung durch den Datenschutzbeauftragten überwacht werden muss.
Auch in der KI VO sind zahlreiche Schulungsverpflichtungen verankert. Art. 4 KI VO erfordert bereits jetzt von allen Unternehmen, KI Kompetenz aufzubauen. Ein wichtiger Bestandteil hiervon sind umfangreiche Schulungen der Beschäftigten. Nähere Infos hierzu finden Sie auch in unseren Blog-Beitrag „KI-Kompetenz im Unternehmen aufbauen“

Fazit:

Ein gut strukturiertes Datenschutzmanagement mit Einhaltung der Dokumentations- und Transparenzverpflichtungen und umfassenden Datenschutzfolgenabschätzungen in den erforderlichen Bereichen kann auf KI dergestalt erweitert werden, dass wichtige Verpflichtungen der KI Verordnung gerade im Bereich außerhalb der Hochrisiko-KI mit erfüllt werden können.
Es gibt somit deutliche Synergieeffekte. Aber auch das beste Datenschutzmanagement macht die Einzelbefassung mit der KI VO nicht obsolet.
Gerne helfen wir Ihnen beim Aufbau eines Managementsystems, das sowohl die datenschutzrechtlichen Anforderungen erfüllt, als auch KI Compliance sicherstellt.

Sprechen Sie uns an!