Aufsatz : Rechtsgrundlagen für das Training von Systemen Künstlicher Intelligenz nach der DS‑GVO : aus der RDV 5/2023 Seite 273 bis 281
Das Datenschutzrecht soll betroffene Personen vor dem Risiko einer beeinträchtigenden Datenverarbeitung schützen.[1] In der DS-GVO sind daher eine Reihe von Grundsätzen vorgesehen, die bei der Verarbeitung personenbezogener Daten einzuhalten sind. So müssen personenbezogene Daten nach Art. 5 Abs. 1 lit. a) DS-GVO insbesondere auf eine rechtmäßige Weise verarbeitet werden, was nach ErwG 40 dann gegeben ist, wenn die Verarbeitung der personenbezogenen Daten entweder auf Grundlage einer Einwilligung der betroffenen Person oder auf einer sonstigen einschlägigen Rechtsgrundlage erfolgt. Diese Grundsätze der DS-GVO gelten auch bei der Verwendung und Entwicklung von Systemen Künstlicher Intelligenz (KI), da vor allem bei maschinellen Lernverfahren regelmäßig große Datenmengen – auch personenbezogene Daten[2] – verarbeitet werden.[3] Damit gelten die Grundsätze in der Regel uneingeschränkt, solange die Daten, die für das Training von KI-Systemen verwendet werden, einen Personenbezug aufweisen und es für das Training von KI-Systemen zugleich keinen besonderen Rechtsrahmen gibt.[4] Die noch nicht final ausverhandelte Verordnung zur Festlegung harmonisierter Vorschriften für Künstliche Intelligenz (KI-Verordnung)[5] lässt die Vorgaben der DS-GVO weitestgehend[6] unberührt. Aus rein datenschutzrechtlicher Perspektive bedeutet das Gesagte, dass es für die Verarbeitung von personenbezogenen Daten im Rahmen von maschinellen Lernverfahren einer einschlägigen Rechtsgrundlage bedarf, auf die sich Verantwortliche stützen müssen. Die Thematik, ob und inwieweit das Training von KI-Modellen als eine privilegierte Weiterverarbeitung nach Art. 5 Abs. 1 lit. b) DS-GVO i.V.m. Art. 89 DS-GVO angesehen werden kann, wird in diesem Beitrag nicht behandelt.
I. Grundlagen der Künstlichen Intelligenz und des maschinellen Lernens
In unserer fortschreitend digitalen Gesellschaft haben Systeme Künstlicher Intelligenz eine besondere Bedeutung, nicht zuletzt auch aufgrund ihrer extrem vielfältigen Anwendungsbereiche.[7] So gibt es inzwischen beispielsweise KI-Anwendungen im Bereich Verkehr und Mobilität in Form von automatisierten Fahrzeugen[8] sowie voll automatisierte Systeme bei Suchmaschinen im Internet.[9] Daneben gibt es auch in der Industrie Bestrebungen mithilfe von KI-Anwendungen diverse Arbeitsprozesse zu optimieren, um dadurch eine intelligente Fabrik (smart factory) zu schaffen.[10] Ein weiterer Bereich von KI-Systemen, die unmittelbar in den gesellschaftlichen Fokus gerückt sind, sind generative Sprachmodelle wie beispielsweise „ChatGPT“ von der US-amerikanischen Firma OpenAI.[11] Dabei handelt es sich um sog. Generative Pre-trained Transformer.[12] Hierunter sind im Wesentlichen mathematische Sprachmodelle zu verstehen, die auf Grundlage von maschinellen Lernverfahren trainiert wurden und mit ihren Nutzern interagieren, indem sie sprachliche Eingaben (sog. Prompts) entgegennehmen und diese auf Grundlage vortrainierter Muster statistisch versuchen zu vervollständigen.[13]
- Künstliche Intelligenz und Trainingsdaten
Bei der Thematik der Künstlichen Intelligenz (KI) handelt es sich um ein Teilgebiet der Informatik[14], in welchem es insbesondere um die Automatisierung von intelligentem Verhalten geht.[15] Auch wenn es hierfür keine klare Begriffsdefinition gibt[16], kann KI jedoch im Allgemeinen als eine Art intelligentes Verhalten von Maschinen verstanden werden.[17] Bevor die KI-Anwendungen jedoch ihrem Zweck entsprechend eingesetzt werden können, muss das intelligente Verhalten v.a. bei der Verwendung von ML-Verfahren zunächst erlernt und damit trainiert werden.[18] Hierfür werden die sog. Trainingsdaten verwendet.[19] Darunter sind Daten zu verstehen, anhand derer die KI-Modelle trainiert werden.[20] Sie dienen folglich als Grundlage, aufgrund derer das Lernen an einem Beispiel durchgeführt wird.[21] Hiervon zu unterscheiden sind die sog. Testdaten, die der nachfolgenden Lernkontrolle dienen.[22]
- Maschinelle Lernverfahren
Einen Teilbereich der KI stellen die maschinellen Lernverfahren dar.[23] Im Wesentlichen geht es bei dieser Art von Lernverfahren darum, Zusammenhänge in den Datensätzen zu erkennen und diese zu klassifizieren, um so z.B. Vorhersagen treffen oder auch auf die Umwelt reagieren zu können.[24] Der Lernvorgang beruht in der Regel auf einer Mustererkennung, für welche die zur Verfügung stehenden Trainingsdaten verwendet werden.[25] Die maschinellen Lernverfahren lassen sich allgemein in das überwachte Lernen (supervised learning), das unüberwachte Lernen (unsupervised learning) und das bestärkende Lernen (reinforcement learning) kategorisieren.[26] Der wesentliche Unterschied zwischen den beiden erstgenannten Lernverfahren ist, dass bei den überwachten Lernverfahren das gewünschte Ergebnis für eine Teilmenge vorgegeben wird.[27] Bei den bestärkenden Lernverfahren besteht die Besonderheit darin, dass das System ein positives oder negatives Feedback – d.h. eine Belohnung oder Strafe – erhält, um zu lernen, wie es sein Verhalten bestmöglich an die Umwelt anpassen kann.[28] Damit die Anwendungen jedoch ihre spätere Aufgabe erfüllen können, werden in der Trainingsphase, vor allem bei maschinellen Lernverfahren, eine Reihe von Datenverarbeitungen vorgenommen, wofür eine große Menge an Trainingsdaten benötigt wird.[29] Die Qualität der KI-Systeme hängt daher auch entscheidend von der Datenqualität und Datenquantität der verwendeten Trainingsdaten ab[30], was sich wiederum auf die Datenrichtigkeit der ausgegebenen Ergebnisse der KI-Anwendung auswirken kann.[31] Denn vor allem generative KI-Modelle wie ChatGPT generieren ihre Ergebnisse, indem sie auf Grundlage der vortrainierten Parameter die wahrscheinlichsten Wörter zu einem Satz zusammenfügen.[32] Das bedeutet eben auch, dass sich Fehlinformationen aus den Trainingsdaten in den Ergebnissen der KI-Anwendung widerspiegeln und zusätzlich neue Fehlinformationen erzeugt werden können.[33]
II. Rechtfertigung der Datenverarbeitung bei maschinellen Lernverfahren
In der DS-GVO gilt der Grundsatz des Verbots mit Erlaubnisvorbehalt, wonach eine Verarbeitung personenbezogener Daten grundsätzlich unzulässig ist, es sei denn, sie ist durch eine entsprechende Rechtsgrundlage gedeckt.[34] Jede Verarbeitung von personenbezogenen Daten bedarf somit einer einschlägigen Rechtsgrundlage.[35] Auch bei Sachverhalten mit KI-Kontext muss daher zwischen verschiedenen Phasen der Datenverarbeitung (z.B. der Trainingsphase und der späteren Anwendungsphase) differenziert werden, die grundsätzlich jeweils eine Rechtsgrundlage erfordern.[36]
- Allgemeiner Überblick
Die Rechtsgrundlagen für die Verarbeitung von personenbezogenen Daten bei maschinellen Lernverfahren ergeben sich dabei insbesondere aus Art. 6 DS-GVO sowie für die Verarbeitung von besonderen Kategorien personenbezogener Daten aus Art. 9 DS-GVO. Weitere Rechtsgrundlagen finden sich neben spezialgesetzlichen Regelungen z.B. in den Landesdatenschutzgesetzen[37] oder dem Bundesdatenschutzgesetz[38].
- Zweckänderung nach Art. 6 Abs. 4 DS‑GVO
Nach dem Grundsatz der Zweckbindung, der in Art. 5 Abs. 1 lit. b) Hs. 1 DS-GVO verankert ist, müssen personenbezogene Daten für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden. Eine Ausnahme für den Fall einer Weiterverarbeitung für bestimmte Zwecke ist in Art. 5 Abs. 1 lit. b) Hs. 2 DS-GVO vorgesehen.[39] Der Zweck der Datenverarbeitung muss dabei bis spätestens zum Zeitpunkt des Beginns der Datenverarbeitung festgelegt sein.[40] Eine spätere Zweckänderung, auch für spätere Nutzer der Daten, ist grundsätzlich nicht zulässig.[41] Bei dem Training von KI-Modellen im Rahmen von maschinellen Lernverfahren werden in der Regel personenbezogene Daten verwendet, die ursprünglich zu einem anderen Zweck erhoben wurden (z.B. Vertragsdaten), sodass die Weiterverarbeitung nicht dem Primärzweck entspricht.[42] In diesem Zusammenhang hat die DSK in ihrer Hambacher Erklärung betont, dass auch bei der Nutzung von personenbezogenen Daten zu Trainingszwecken von KI-Systemen der Grundsatz der Zweckbindung aus Art. 5 Abs. 1 lit. b) DS-GVO einzuhalten und eine Zweckänderung nur in den Grenzen von Art. 6 Abs. 4 DS-GVO zulässig sei.[43] Eine Weiterverarbeitung der Daten zu einem anderen Zweck ist infolgedessen nur unter den Voraussetzungen des Art. 6 Abs. 4 DS-GVO zulässig, wobei der Katalog des Abs. 4 hierbei nicht abschließend ist.[44]
a) Zweckänderung und Kompatibilitätsprüfung
Bei der Prüfung, ob die Weiterverarbeitung der Daten zu einem anderen Zweck in den Grenzen des Art. 6 Abs. 4 zulässig ist, muss zunächst zwischen einer Zweckänderung ohne Kompatibilitätsprüfung und einer Zweckänderung mit Kompatibilitätsprüfung differenziert werden.[45] Denn Art. 6 Abs. 4 DS-GVO stellt insoweit klar, dass eine Kompatibilitätsprüfung nur dann nicht erforderlich ist, wenn eine Einwilligung oder gesetzliche Erlaubnis zur Weiterverarbeitung[46] vorliegt.[47]
Bedarf es bei der Zweckänderung einer Kompatibilitätsprüfung, so wird anhand des Katalogs von Art. 6 Abs. 4 lit. a) bis lit. e)) DS-GVO überprüft, ob der ursprüngliche Zweck mit dem Zweck der Weiterverarbeitung sachlich vereinbar ist.[48] Bei KI-Anwendungen können sich jedoch insbesondere bei der Verbindung der verschiedenen Zwecke (lit. a)), dem Zusammenhang, in dem die Daten erhoben werden (lit. b)) sowie den Folgen einer Weiterverarbeitung (lit. d)), einige Herausforderungen bei der Kompatibilitätsprüfung ergeben.[49] So ist eine Zweckverbindung mit inhaltlichem Zusammenhang bei autonomen Systemen, die selbstständig Datenverarbeitungsprozesse vornehmen, nicht stets gewährleistet.[50] Daneben wird bei einer nachfolgenden kommerziellen Nutzung der Daten ein Sachzusammenhang regelmäßig abzulehnen sein.[51] Auch hinsichtlich der Folgen der beabsichtigten Weiterverarbeitung kann es für die betroffene Person je nach KI-Anwendung Probleme geben.[52] Gerade bei maschinellen Lernverfahren, die für ihre Trainingsprozesse Künstlich Neuronale Netze verwenden, können die Verarbeitungsprozesse schnell intransparent werden, was unter Umständen wiederum Auswirkungen auf die Umsetzung der Betroffenenrechte haben kann.[53]
b) Rechtsnatur von Art. 6 Abs. 4 DS‑GVO
Liegen die Voraussetzungen des Art. 6 Abs. 4 DS-GVO vor, so ist umstritten, ob es zur Rechtfertigung der Datenverarbeitung neben einer positiven Kompatibilitätsprüfung noch einer weiteren Rechtsgrundlage bedarf.[54]
Es wird zum einen die Ansicht vertreten, dass eine positive Kompatibilitätsprüfung nicht ausreichend ist, sondern es noch einer weiteren (zusätzlichen) Rechtsgrundlage für eine Weiterverarbeitung der personenbezogenen Daten bedarf.[55]
Zwar spreche der ErwG 50 S. 2 ausdrücklich davon, dass keine andere gesonderte Rechtsgrundlage erforderlich sei, jedoch sei dieser als redaktioneller Fehler zu verstehen.[56] Auch habe der ErwG 50 S. 2 eine nur klarstellende Funktion, dass für die Weiterverarbeitung keine andere gesonderte Rechtsgrundlage notwendig sei und die Datenverarbeitung auch auf die gleiche Rechtsgrundlage gestützt werden könne.[57] Ferner ergebe sich das Erfordernis einer weiteren Rechtsgrundlage auch aus der Regelungssystematik, da nach Art. 6 Abs. 1 DS-GVO eine Verarbeitung explizit nur dann rechtmäßig sei, wenn eine der nachfolgenden Bedingungen vorliege.[58]
Zum anderen wird die Ansicht vertreten, dass bei einer positiven Kompatibilitätsprüfung nach Art. 6 Abs. 4 keine weitere Rechtsgrundlage erforderlich ist, um die Datenverarbeitung zu rechtfertigen.[59] Hierfür spreche bereits der Wortlaut des ErwG 50 S. 2, nach welchem „keine andere gesonderte Rechtsgrundlage erforderlich [ist] als diejenige für die Erhebung der personenbezogenen Daten“.[60] Die Annahme eines redaktionellen Fehlers habe insoweit zur Folge, dass es einer doppelten Rechtfertigung bedürfe, wodurch der Verantwortliche im Ergebnis schlechter gestellt wäre.[61] Auch die umfassende und intensive Beschäftigung des Verordnungsgebers bei der Schaffung der Regelungen der Zweckbindung spreche gegen einen redaktionellen Fehler.[62]
Insgesamt sprechen die besseren Argumente für die zweite Ansicht und damit dafür, dass es neben einer positiven Kompatibilitätsprüfung für die Weiterverarbeitung keiner weiteren Rechtsgrundlage bedarf. Dies erschließt sich bereits aus dem Wortlaut des Art. 6 Abs. 4 DS-GVO, nach dem eine Kompatibilitätsprüfung nur dann notwendig ist, wenn gerade keine Einwilligung oder andere gesetzliche Erlaubnis vorliegt. Bekräftigt wird dies insbesondere durch ErwG 50 S. 1, auf welchen sich S. 2 aufgrund seiner Formulierung „in diesem Fall“ bezieht. Danach sollte eine Verarbeitung personenbezogener Daten für andere Zwecke als die, für die die Daten ursprünglich erhoben wurden, nur unter der Prämisse der Zweckvereinbarung zulässig sein. Insoweit spricht der ErwG 50 die mögliche Zulässigkeit der Weiterverarbeitung an und bezieht sich damit auf Art. 6 Abs. 4 DS-GVO. Daneben sprechen auch systematische Argumente eher für die Auffassung, dass keine weitere Rechtsgrundlage notwendig ist. So wird in Art. 6 Abs. 1 DS-GVO die datenschutzrechtliche Zulässigkeit für eine „normale“ Verarbeitung von personenbezogenen Daten geregelt, wohingegen in Abs. 4 der speziellere Fall der Weiterverarbeitung geregelt wird. Dieses Argument spricht dagegen, dass eine Verarbeitung ausschließlich bei Vorliegen der Voraussetzungen nach Abs. 1 zulässig sein soll. Für eine zulässige Weiterverarbeitung ohne erneute Rechtsgrundlage spricht auch der Sinn und Zweck der Kompatibilitätsprüfung nach Art. 6 Abs. 4 DS-GVO. Denn durch die vorzunehmende Prüfung soll der Verantwortliche in die Pflicht genommen werden, die veränderten Verarbeitungsprozesse dahingehend zu kontrollieren, ob diese sich noch im ursprünglich zulässigen Rahmen bewegen – er trägt insofern hierfür nach Art. 5 Abs. 1 DS-GVO die Nachweispflicht – und ein hinreichendes Schutzniveau der betroffenen Personen weiterhin gewährleistet wird.
c) Zwischenergebnis
In der Regel wird die Verarbeitung von Trainingsdaten im Rahmen von maschinellen Lernverfahren nicht (mehr) dem ursprünglichen Zweck der Datenverarbeitung entsprechen, sodass eine Kompatibilitätsprüfung erforderlich sein wird. Auch wenn nach der hier vertretenen Ansicht keine zusätzliche Rechtsgrundlage erforderlich ist, sollte aufgrund der aufgezeigten Besonderheiten von KI-Systemen sowie im Falle einer negativen Kompatibilitätsprüfung sicherheitshalber überprüft werden, auf welche Rechtsgrundlage sich Verantwortliche stützen können.
- Rechtsgrundlagen nach Art. 6 Abs. 1 DS‑GVO
Eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten bei maschinellen Lernverfahren kann Art. 6 Abs. 1 DS-GVO darstellen. Der Schwerpunkt der folgenden Ausführungen liegt auf den beiden Rechtsgrundlagen nach Art. 6 Abs. 1 lit. a) DS-GVO und Art. 6 Abs. 1 lit. f) DS-GVO, da den anderen Tatbeständen als Rechtfertigung der Verarbeitung personenbezogener Daten für maschinelle Lernverfahren in der Praxis regelmäßig eine eher geringere Bedeutung zukommt.[63]
a) Einwilligung, Art. 6 Abs. 1 lit. a) DS‑GVO
Die Einwilligung nach Art. 6 Abs. 1 lit. a) DS-GVO stellt eine praxisrelevante Rechtsgrundlage dar,[64] welche in Art. 4 Nr. 11 DS-GVO definiert und unter anderem in den Artt. 7 und 8 DS-GVO weiter konkretisiert wird. Danach ist die Datenverarbeitung rechtmäßig, wenn die betroffene Person ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke erteilt hat.
- aa) Allgemeine Voraussetzungen
Nach der Legaldefinition von Art. 4 Nr. 11 DS-GVO ist unter einer Einwilligung jede freiwillig für den bestimmten Fall in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung zu verstehen, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.
(1) Eindeutig bestätigende Handlung
Bereits aus dem ErwG 32 ergibt sich, dass die Einwilligungserklärung keiner bestimmten Form bedarf. Erforderlich ist jedoch eine eindeutig bestätigende Handlung der betroffenen Person und damit eine aktive Handlung.[65] Hierfür ist es in der Regel ausreichend, wenn die Einwilligungserklärung unterschrieben oder ein Kästchen zur Bestätigung der Datenverarbeitung auf einer Webseite angeklickt wird.[66] Auch ein konkludentes oder schlüssiges Verhalten steht einer Wirksamkeit der Einwilligung grundsätzlich nicht entgegen.[67] Nicht ausreichend ist es hingegen, wenn die betroffene Person schweigt oder untätig bleibt (z.B. bei Opt-Out Verfahren).[68]
2) Zweckbindung und Transparenz
Neben den formellen Anforderungen muss eine wirksame Einwilligung darüber hinaus den materiellen Anforderungen der DS-GVO genügen. Wegen des Grundsatzes der Zweckbindung nach Art. 5 Abs. 1 lit. b) DS-GVO ist es erforderlich, dass die Einwilligung für den bestimmten Fall abgegeben wird und damit hinreichend bestimmt ist.[69] Wie sich aus Art. 6 Abs. 1 lit. a) DS-GVO ergibt, ist eine Einwilligung für den bestimmten Fall abgegeben, wenn sie sich auf einen oder mehrere bestimmte Zwecke bezieht. Dies ist insbesondere dann der Fall, wenn bestimmt ist, welche Daten für welche Zwecke von wem verarbeitet werden, was die Art der Datenverarbeitung ist und wer die Empfänger sind.[70] Nur wenn die Bestimmtheitsanforderungen gewährt werden, kann eine Kontrolle über die Datenverarbeitung sichergestellt werden.[71] Dann kann die betroffene Person auch hinreichend prüfen, ob sie die Einwilligung für den bestimmten Datenverarbeitungsprozess erteilen möchte oder nicht. Welche konkreten Anforderungen an die Bestimmtheit zu stellen sind, hängt allerdings von der jeweiligen Eingriffsintensität in das Recht auf informationelle Selbstbestimmung der betroffenen Person und damit vom konkreten Einzelfall ab.[72]
Auch muss die Erklärung in Kenntnis der Sachlage und damit in informierter Weise abgegeben werden.[73] Insoweit wird hierbei Bezug auf den Transparenzgrundsatz aus Art. 5 Abs. 1 lit. a) DS-GVO genommen.[74] Der Verantwortliche muss die betroffene Person dabei über die wesentlichen Aspekte der Datenverarbeitung informieren.[75] Nach dem ErwG 42 S. 4 sind dies mindestens die Informationen über den Verantwortlichen sowie die Zwecke der Datenverarbeitung. In der Regel werden der betroffenen Person jedoch darüber hinaus auch Informationen über die Art der zu verarbeiteten Daten, das Bestehen eines Widerrufsrechts sowie ggf. Informationen über eine automatisierte Entscheidungsfindung nach Art. 22 DS-GVO und Garantien im Rahmen von Art. 46 DS-GVO bereitgestellt.[76] Es kann allerdings je nach Sachlage erforderlich sein, dass der betroffenen Person noch mehr Informationen mitgeteilt werden, damit sie die Verarbeitungsprozesse versteht.[77]
(3) Freiwilligkeit
Ferner muss die Einwilligung auch freiwillig erteilt werden. Eine Freiwilligkeit liegt in der Regel dann vor, wenn der Betroffene eine echte Wahl hat, ob und inwieweit er der Datenverarbeitung zustimmen möchte.[78] Nach Art. 7 Abs. 4 DS-GVO muss in die Prüfung der Freiwilligkeit insbesondere auch miteinbezogen werden, ob die Einwilligung an eine Leistung gekoppelt ist, die für die Vertragserfüllung nicht zwingend erforderlich ist (sog. Kopplungsverbot). Verstöße gegen das Erfordernis der Freiwilligkeit haben eine Unwirksamkeit der Einwilligung zur Folge.[79]
bb) Probleme im KI-Kontext
Eine Verarbeitung von personenbezogenen Daten bei maschinellen Lernverfahren über eine Einwilligung zu rechtfertigen, kann in der Praxis zu Schwierigkeiten führen.[80] Ein wesentlicher Punkt, der gegen eine Einwilligung als Rechtsgrundlage bei maschinellen Lernverfahren spricht, ist, dass jederzeit die Möglichkeit eines Widerrufs nach Art. 7 Abs. 3 S. 1 DS-GVO besteht.[81] Zwar wird die Rechtmäßigkeit der Datenverarbeitung bis zum Zeitpunkt der Ausübung des Widerrufs nicht berührt (vgl. Art. 7 Abs. 3 S. 2 DS-GVO), jedoch könnte dann der Betroffene nach Art. 17 Abs. 1 lit. b) DS-GVO von seinem Recht auf Löschung Gebrauch machen. Der Verantwortliche hätte in diesem Fall sämtliche Daten der betroffenen Person zu löschen, was vor allem dann gravierend sein könnte, wenn eine Separierung der betroffenen Daten nicht bzw. nur unter sehr hohem Aufwand[82] umgesetzt werden kann.[83] Auch könnte dann die Verwendung der gesamten KI-Anwendung in Frage stehen, wenn das Modell auf Grundlage der betroffenen Daten trainiert wurde.[84] Schwierigkeiten können sich auch aus der Datenherkunft ergeben, wenn es sich bei den Trainingsdaten beispielsweise um Daten von Dritten handelt und damit von diesen in der Regel unbekannten Personen eine Einwilligung einzuholen ist.[85] Gerade bei maschinellen Lernverfahren werden für die Trainingsprozesse der Modelle eine große Menge von Trainingsdaten benötigt, wofür regelmäßig auf große strukturierte Datenmengen zurückgegriffen wird (sog. Big Data).[86] Darüber hinaus kann bei einem KITraining auch die Festlegung auf eindeutige und festgelegte Zwecke der Datenverarbeitung und damit die Einhaltung der Bestimmtheit im Einzelfall eine Schwierigkeit darstellen.[87] Dieses Problem kann jedoch bereits dadurch umgangen werden, indem ein umfangreicher Verarbeitungszweck festgelegt wird.[88] Erforderlich ist allerdings dann, dass eine nachvollziehbare Zweckbeschreibung erfolgt, aus der hervorgeht, welche Datenverarbeitungen künftig zulässig sein sollen und welche nicht.[89] Ferner kann der Rechtswirksamkeit der Einwilligung auch entgegenstehen, dass es bei komplexeren Technologien – wie z.B. den maschinellen Lernverfahren – an einer erforderlichen Informiertheit mangelt, wenn der Verantwortliche selbst die Verarbeitungsprozesse nicht hinreichend versteht und nachvollziehen kann.[90] Dies resultiert insbesondere daraus, dass die Systeme immer komplexer werden, sodass es teilweise auch Fachleuten nicht möglich ist, diese vollständig zu durchdringen.[91] Die Komplexität der Systeme hängt dabei auch entscheidend von der Wahl des maschinellen Lernverfahrens ab.[92] Ob und inwieweit es dann zu Schwierigkeiten kommt, die Einwilligung in informierter Weise zu erteilen, hängt dann insbesondere von dem Umstand ab, welche Anforderungen an die Granularität der Informiertheit gestellt werden.
cc) Zwischenergebnis
Es gibt sicherlich einige Anwendungsfälle, in denen eine Einwilligung als Rechtsgrundlage für das Training von maschinellen Lernverfahren in Betracht kommt (z.B. bei personalisierter Werbung).[93] Zusammenfassend kann allerdings festgehalten werden, dass eine Einwilligung als Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten bei maschinellen Lernverfahren diverse Risiken birgt und damit bei KI-Sachverhalten nur für einen kleinen Bereich als Rechtfertigung in Betracht kommen wird. Insbesondere mit Blick auf eine mögliche Geldbuße nach Art. 83 Abs. 5 lit. a DS-GVO, welche bei Verstößen gegen die Verarbeitungsgrundsätze droht, sollten Verantwortliche sich insofern auf eine andere Rechtsgrundlage stützen.
b) Berechtigtes Interesse, Art, 6 Abs. 1 lit. f) DS‑GVO
Eine weitere sehr praxisrelevante Rechtsgrundlage findet sich in Art. 6 Abs. 1 lit. f) DS-GVO.[94] Danach ist eine Verarbeitung personenbezogener Daten zulässig, wenn die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Personen überwiegen. Durch seinen offenen Wortlaut ist Art. 6 Abs. 1 lit. f) DS-GVO als Rechtsgrundlage für Datenverarbeitungen bei innovativen Technologien und bei KI-Anwendungen wie beispielsweise den maschinellen Lernverfahren besonders gut geeignet.[95] Ein entscheidender Nachteil ist jedoch, dass viele Umstände bei komplexen Verarbeitungsprozessen einen Einfluss auf den Abwägungsprozess haben können, was einerseits zur Unvorhersehbarkeit für betroffene Personen und andererseits zur Rechtsunsicherheit bei Verantwortlichen führen kann.[96] Um festzustellen, ob sich eine Datenverarbeitung auf Art. 6 Abs. 1 lit. f) DS-GVO stützen lässt, muss grundsätzlich eine dreistufige Prüfung vorgenommen werden.[97] Voraussetzung hierfür ist, dass ein berechtigtes Interesse des Verantwortlichen vorliegt, die Datenverarbeitung erforderlich ist und keine überwiegenden Interessen oder Rechte von Betroffenen einer Datenverarbeitung entgegenstehen.
aa) Berechtigtes Interesse
Der Begriff des berechtigten Interesses ist weit zu verstehen und stellt jedes von der Rechtsordnung gebilligtes Interesse rechtlicher, tatsächlicher, wirtschaftlicher oder ideeller Art dar.[98] Allgemeininteressen reichen hierbei nicht aus, was sich durch die Formulierung „berechtigte Interessen des Verantwortlichen oder eines Dritten“ bereits aus dem Wortlaut der Norm ergibt.[99] In der Regel wird sich der Verantwortliche auch nicht auf ein einziges Interesse stützen können, sondern es wird eine Vielzahl von Interessen geben, die eine unterschiedliche Bedeutung für die Datenverarbeitung des Verantwortlichen haben werden.[100] Ferner müssen sich die Interessen in der Verarbeitung widerspiegeln, sodass reine Scheininteressen nicht ausreichend sind.[101]
Bei der Verwendung und der Verarbeitung von maschinellen Lernverfahren können berechtigte Interessen des Verantwortlichen vor allem seine wirtschaftlichen Interessen sein.[102] So wird es Verantwortlichen oftmals darauf ankommen, bessere und innovativere Produkte anzubieten, um mit der technologischen Entwicklung des Marktes sowie der starken Konkurrenz mithalten zu können (z.B. Entwicklung von autonomen Fahrzeugen). Auch könnten Verantwortliche ein Interesse daran haben, die IT-Sicherheit zu verbessern.[103] Flankierend wird man auch die Förderung des primärrechtlich mehrfach adressierten technischen Fortschritts[104] und die Überlegung, dass die Verarbeitung personenbezogener Daten im Dienste der Menschheit stehen sollte,[105] einbeziehen können. Insgesamt werden Verantwortliche in der Praxis regelmäßig ein berechtigtes Interesse an der Verwendung personenbezogener Daten für maschinelle Lernverfahren nachweisen können, jedoch müssen diese stets für den jeweiligen Sachverhalt individuell bestimmt werden.
bb) Erforderlichkeit der Datenverarbeitung
Die Datenverarbeitung muss darüber hinaus erforderlich sein. Eine Erforderlichkeit ist dann gegeben, wenn kein milderes, gleich effektives Mittel zur Verfügung steht, um die Interessen des Verantwortlichen zu erreichen.[106] Von Bedeutung kann die Erforderlichkeit insbesondere bei Sachverhalten mit KI-Bezug sein. Denn zwischen KI und Datenschutz herrscht ein gewisses Spannungsverhältnis.[107] So benötigt KI zur Entwicklung und Anwendung der Systeme in der Regel eine Menge von personenbezogenen Daten, wohingegen das Datenschutzrecht – insbesondere durch den Grundsatz der Datenminimierung aus Art. 5 Abs. 1 lit. c) DS-GVO – zum Schutz von betroffenen Personen Grenzen bei der Datenverarbeitung zieht.[108] Schwierigkeiten können sich im Rahmen der Erforderlichkeitsprüfung vor allem dann ergeben, wenn umfassende Datensätze verwendet werden und intensive Datenverarbeitungsprozesse erfolgen, die im Ergebnis nur marginale Verbesserungen der Systeme zur Folge haben.[109] Die Beurteilung der Erforderlichkeit bei der Verwendung von maschinellen Lernverfahren zur Verarbeitung personenbezogener Daten wird daher in der Regel auch von den technischen Begebenheiten abhängen.[110] Sofern die personenbezogenen Daten allerdings in einem angemessenen Verhältnis verarbeitet werden, sollte die Erforderlichkeit in der Regel auch bei der Verwendung von maschinellen Lernverfahren gewahrt sein. Wichtig ist jedoch, dass bei der Prüfung insbesondere auch die technischen Gegebenheiten und Optimierungsmöglichkeiten der Systeme eine hinreichende Berücksichtigung finden.
cc) Abwägung der widerstreitenden Interessen
In einem letzten Schritt ist es im Rahmen einer umfassenden Abwägung zu prüfen, ob keine überwiegenden Interessen von betroffenen Personen den Interessen des Verantwortlichen an der Datenverarbeitung entgegenstehen. Die DS-GVO zielt darauf ab, betroffene Personen vor einer beeinträchtigenden Datenverarbeitung zu schützen.[111] Es geht also darum, dass die betroffene Person aus der Datenverarbeitung keine Nachteile erleidet. Eine Berücksichtigung müssen daher objektivierbare Interessen der betroffenen Personen finden, wobei Empfindlichkeiten hierzu nicht zählen.[112] Dennoch können Individualinteressen im Einzelfall eine besondere Bedeutung zukommen.[113] Zu solchen Interessen kann beispielsweise das Interesse des Betroffenen zählen, dass keine Abbildungen der eigenen Person erzeugt, gespeichert oder für KI-Anwendungen verwendet werden.[114] Auch ein Interesse daran, nicht bewertet zu werden, kann ein berechtigtes Interesse darstellen.[115] Wichtig ist, wie bei den berechtigten Interessen des Verantwortlichen auch, dass bei der Suche nach den berechtigten Interessen beachtet wird, welche Sachverhalte begutachtet werden und welche konkreten Interessen geltend gemacht werden. Die widerstreitenden Interessen – also die Interessen des Verantwortlichen und die der betroffenen Person – sind sodann umfassend gegeneinander abzuwägen. Aufgrund des in der DS-GVO bestehenden risikobasierten Ansatzes liegt die richtige Abwägung im Verantwortungsbereich des Verantwortlichen.[116] Im Rahmen der Abwägung sind nicht nur die Folgen eines Eingriffs umfassend zu berücksichtigen[117], sondern daneben auch nach ErwG 47 S. 1 Hs. 2 die vernünftigen Erwartungen der betroffenen Person.
Bei KI-Sachverhalten wie den maschinellen Lernverfahren sind in die Interessenabwägung auch solche Umstände einzubeziehen, wie etwa die Detailliertheit und der Umfang der Trainingsdaten, die Auswirkungen auf die betroffenen Personen oder die Garantien zur Gewährleistung eines ordnungsgemäßen Trainings.[118] Daneben ist auch die Art der Daten (z.B. Verarbeitung von besonderen Kategorien personenbezogener Daten) sowie die Robustheit des maschinellen Lernverfahrens in den Abwägungsprozess miteinzubeziehen.[119] Insgesamt hängt das Ergebnis der umfassenden Abwägung von den jeweiligen Umständen und damit von dem konkreten Einzelfall ab. Es kann daher auch von Bedeutung sein, ob und inwieweit ausreichende technisch-organisatorische Maßnahmen vorhanden sind (z.B. die Abschirmung von Trainingsdaten zum Schutz vor Angriffen oder die Verwendung von anonymisierten oder synthetischen Daten).
c) Ergebnis
Trotz einiger Rechtsunsicherheiten ist Art. 6 Abs. 1 lit. f) DS-GVO als Rechtsgrundlage für die Verarbeitung personenbezogener Daten bei ML-Verfahren grundsätzlich aufgrund seines offenen Tatbestands besonders gut geeignet.[120]In der Praxis sollten Verantwortliche allerdings vor der Verwendung maschineller Lernverfahren genau prüfen und zwecks späterer Nachvollziehbarkeit dokumentieren, ob die Voraussetzungen hierfür vorliegen. Auch kann es insbesondere mit Blick auf die Komplexität und Individualität bei der Prüfung von KI-Sachverhalten sinnvoll sein, die zuständige Aufsichtsbehörde frühzeitig einzubeziehen. Gleiches gilt auch für die spätere Verwendung von KI-Systemen.
III. Fazit
Bei ML-Verfahren werden regelmäßig große Mengen von personenbezogenen Trainingsdaten verarbeitet, sodass diese Verarbeitungsprozesse nach den Anforderungen der DS-GVO gerechtfertigt sein müssen. Hierbei trägt der Verantwortliche nach Art. 5 Abs. 2 DS-GVO die Nachweispflicht darüber, dass die Verarbeitungsgrundsätze eingehalten werden und damit auch darüber, ob und inwieweit die Verarbeitung personenbezogener Daten durch eine entsprechende Rechtsgrundlage gerechtfertigt ist. Nach der geltenden Regelungskonzeption der DS-GVO bestehen aber gerade mit Blick auf die Rechtfertigung von Datenverarbeitungen bei innovativen Technologien (wie z.B. den maschinellen Lernverfahren) Restrisiken. So kann bei maschinellen Lernverfahren bereits die vorzunehmende Kompatibilitätsprüfung nach Art. 6 Abs. 4 DS-GVO eine Herausforderung darstellen. Zwar bietet die Einwilligung nach Art. 6 Abs. 1 lit. a) DS-GVO bei Vorliegen der Voraussetzungen im Allgemeinen die größte Rechtssicherheit, allerdings bestehen auch hier bei der Verarbeitung von Trainingsdaten bei maschinellen Lernverfahren diverse Probleme, die wiederum zu einer Rechtsunsicherheit führen. Dementsprechend wird sich wegen des offenen Tatbestands für die meisten Verarbeitungsprozesse im KI-Kontext in der Regel eine Rechtfertigung über Art. 6 Abs. 1 lit. f) DS-GVO anbieten, welcher jedoch aufgrund der obligatorischen Interessenabwägung nur bedingt Rechtssicherheit vermitteln kann, da stets der konkrete Einzelfall umfassend begutachtet werden muss. Verantwortliche sollten daher stets genau prüfen und dokumentieren, auf welche Rechtsgrundlage sie die Datenverarbeitungen stützen können, nicht zuletzt, da bei Fehlern nach Art. 83 Abs. 5 lit. a) DS-GVO unter Umständen empfindliche Bußgelder drohen können. Es bleibt abzuwarten, ob der Gesetzgeber zukünftig weitere Kodifikationen auf den Weg bringen wird, um eine Datenverarbeitung bei KI-Modellen wie den maschinellen Lernverfahren zu regeln. Tut der Gesetzgeber das, was sich mit der KI-VO und auch dem Data Act abzeichnet, so muss ein kohärentes System etabliert werden. Hierbei ist hervorzuheben, dass die Anforderungen nicht zu hoch sein sollten, damit Fortschritt im Dienste des Menschen möglich bleibt. Daraus resultiert das Ziel eines ausgewogenen Verhältnisses zwischen Datenschutz und Innovationsinteresse.
Prof. Dr. Tobias Keber ist seit 01.07.2023 Landesbeauftragter für Datenschutz und Informationsfreiheit Baden-Württemberg.
Daniel Maslewski ist Referent und Beauftragter für Künstliche Intelligenz / KMU- und Start-Up Beratung beim Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg.
[1] Borges, Potenziale von Künstlicher Intelligenz mit Blick auf das Datenschutzrecht, Gutachten, Stiftung Datenschutz 2021, S. 11.
[2] Borges, Potenziale von Künstlicher Intelligenz mit Blick auf das Datenschutzrecht, Gutachten, Stiftung Datenschutz 2021, S. 16.
[3] Niemann/Kevekordes, CR 2020, 17; Raji, DSB 2022, 193, 195; Valkanova, in: Kaulartz/Braegelmann, Rechtshandbuch Artificial Intelligence und Machine Learning, München 2020, S. 336 Rn. 1
[4] Borges, Potenziale von Künstlicher Intelligenz mit Blick auf das Datenschutzrecht, Gutachten, Stiftung Datenschutz 2021, S. 11; Valkanova, in: Kaulartz/ Braegelmann, Rechtshandbuch Artificial Intelligence und Machine Learning, München 2020, S. 336 Rn. 1.
[5] COM (2021) 206 final; vgl. Abänderungen des Europäischen Parlaments v. 14.06.2023, C9-0146/2021 – 2021/0106 (COD))1, zum Verhandlungsstand vgl. Zenner, RDV 3/2023, S. 204
[6] Vgl. aber Art. 10 Abs. 5 KI-VO-E, wonach die Anbieter von Hochrisiko-KI-Systemen besondere Kategorien personenbezogener Daten gemäß Art. 9 Abs. 1 DS-GVO verarbeiten dürfen, soweit dies für die Beobachtung, Erkennung und Korrektur von Verzerrungen solcher Systeme unbedingt erforderlich ist und näher bezeichnete Schutzvorkehrungen vorgesehen werden.
[7] Borges, Potenziale von Künstlicher Intelligenz mit Blick auf das Datenschutzrecht, Gutachten, Stiftung Datenschutz 2021, S. 1; Geminn, ZD 2021, 354 f.
[8] Pek, in: Chibanguza/Kuß/Steege, Künstliche Intelligenz, Recht und Praxis automatisierter und autonomer Systeme, 2022, S. 239 Rn. 1.
[9] Lewandowski, in: Chibanguza/Kuß/Steege, Künstliche Intelligenz, Recht und Praxis automatisierter und autonomer Systeme, 2022, S. 1273 Rn. 1.
[10] Regtmeier, in: Chibanguza/Kuß/Steege, Künstliche Intelligenz, Recht und Praxis automatisierter und autonomer Systeme, 2022, S. 687 Rn. 1.
[11] Hansen/Keber/Rixen/Schwartmann, RDV 3/2023, 160 f.; Schwartmann, RDV 2/2023, 106 f.; Wacke/Nägele, BvD-News, 02/2023, S. 48
[12] Wacke/Nägele, BvD-News, 02/2023, S. 49.
[13] Krone, RDi 2023, 117; Witteler, ZD 2023, 377
[14] Stiemerling, in: Kaulartz/Braegelmann, Rechtshandbuch Artificial Intelligence und Machine Learning, München 2020, S. 15 Rn. 1
[15] Niederée/Nejdl, in: Ebers/Heinze/Krügel/Steinrötter, Künstliche Intelligenz und Robotik, Rechtshandbuch, 1. Aufl., 2020, § 2 Rn. 1.
[16] Geminn, ZD 2021, 354; Leicht/Sorge, Einsatz von KI-Systemen im Unternehmen – Datenschutzrechtliche Voraussetzungen und technische Lösungsansätze, in: Roth, Stefan/Corsten, Hans (Hrsg.), Handbuch Digitalisierung, 2022, S. 1287.
[17] Geminn, ZD 2021, 354; Leicht/Sorge, Einsatz von KI-Systemen im Unternehmen – Datenschutzrechtliche Voraussetzungen und technische Lösungsansätze, in: Roth/Corsten (Hrsg.), Handbuch Digitalisierung, 2022, S. 1287.
[18] Stiemerling, in: Kaulartz/Braegelmann, Rechtshandbuch Artificial Intelligence und Machine Learning, 2020, S. 20 Rn. 26 f.
[19] Kaulartz, in: Kaulartz/Braegelmann, Rechtshandbuch Artificial Intelligence und Machine Learning, 2020, S. 34 Rn. 11
[20] Kaulartz, in: Kaulartz/Braegelmann, Rechtshandbuch Artificial Intelligence und Machine Learning, 2020, S. 34 Rn. 11.
[21] Schröder, in: Kaulartz/Braegelmann, Rechtshandbuch Artificial Intelligence und Machine Learning, 2020, S. 56 Rn. 27
[22] Schröder, in: Kaulartz/Braegelmann, Rechtshandbuch Artificial Intelligence und Machine Learning, 2020, S. 56 Rn. 28
[23] Stiemerling, in: Kaulartz/Braegelmann, Rechtshandbuch Artificial Intelligence und Machine Learning, 2020, S. 16 Rn. 6.
[24] Buxmann/Schmidt, Künstliche Intelligenz, Mit Algorithmen zum wirtschaftlichen Erfolg, 2019, S. 8; Leicht/Sorge, Einsatz von KI-Systemen im Unternehmen – Datenschutzrechtliche Voraussetzungen und technische Lösungsansätze, in: Roth/Corsten (Hrsg.), Handbuch Digitalisierung, 2022, S. 1287
[25] Borges, Potenziale von Künstlicher Intelligenz mit Blick auf das Datenschutzrecht, Gutachten, Stiftung Datenschutz 2021, S. 41; Leicht/Sorge, Einsatz von KI-Systemen im Unternehmen – Datenschutzrechtliche Voraussetzungen und technische Lösungsansätze, in: Roth/Corsten (Hrsg.), Handbuch Digitalisierung, 2022, S. 1287.
[26] Buxmann/Schmidt, Künstliche Intelligenz, Mit Algorithmen zum wirtschaftlichen Erfolg, 2019 S. 9 f.; Stiemerling, in: Kaulartz/Braegelmann, Rechtshandbuch Artificial Intelligence und Machine Learning, 2020, S. 18 Rn. 14
[27] Leicht/Sorge, Einsatz von KI-Systemen im Unternehmen – Datenschutzrechtliche Voraussetzungen und technische Lösungsansätze, in: Roth/Stefan/ Corsten, Hans (Hrsg.), Handbuch Digitalisierung, 2022, S. 1287
[28] Buxmann/Schmidt, Künstliche Intelligenz, Mit Algorithmen zum wirtschaftlichen Erfolg, 2019, S. 10 f.; Stiemerling, in: Kaulartz/Braegelmann, Rechtshandbuch Artificial Intelligence und Machine Learning, 2020, S. 18 Rn. 14.
[29] Datenethikkommission, Gutachten, Stand: 23. Oktober 2019, S. 58; Stiemerling, in: Kaulartz/Braegelmann, Rechtshandbuch Artificial Intelligence und Machine Learning, 2020, S. 20 Rn. 26
[30] Valkanova, in: Kaulartz/Braegelmann, Rechtshandbuch Artificial Intelligence und Machine Learning, 2020, S. 336 Rn. 2.
[31] Wacke/Nägele, BvD-News, 02/2023, S. 49.
[32] Wacke/Nägele, BvD-News, 02/2023, S. 49.
[33] Wacke/Nägele, BvD-News, 02/2023, S. 49
[34] Heberlein, in: Ehmann/Selmayr, DS-GVO, 2. Aufl., 2018, Art. 6 Rn. 1
[35] Heberlein, in: Ehmann/Selmayr, DS-GVO, 2. Aufl., 2018, Art. 6 Rn. 1; Taeger, in: Taeger/Gabel, DS-GVO – BDSG – TTDSG, 4. Aufl., 2022, Art. 6 Rn. 15.
[36] Kloos/Schmidt-Bens, in: Hartmann, KI & Recht kompakt, 2020, S. 166 f.; Skistims, in: Kaulartz/Breagelmann, Rechtshandbuch Artificial Intelligence und Machine Learning, 2020, S. 352 Rn. 2.
[37] Siehe z.B. § 4 und § 23 Saarländisches Datenschutzgesetz (SDSG) oder § 4 und § 13 Landesdatenschutzgesetz Baden-Württemberg (LDSG BW).
[38] Siehe z.B. § 26 BDSG für die Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses.
[39] Siehe hierzu: Skistims, in: Kaulartz/Braegelmann, Rechtshandbuch Artificial Intelligence und Machine Learning, 2020, S. 377 Rn. 61 ff.
[40] Voigt, in: Taeger/Gabel, DS-GVO – BDSG – TTDSG, 4. Aufl., 2022, Art. 5 Rn. 23.
[41] Joos, NZA 2020, 1216, 1219.
[42] Kaulartz, in: Kaulartz/Braegelmann, Rechtshandbuch Artificial Intelligence und Machine Learning, 2020 S. 472 Rn. 30; Leicht/Sorge, Einsatz von KI-Systemen im Unternehmen – Datenschutzrechtliche Voraussetzungen und technische Lösungsansätze, in: Roth/Corsten (Hrsg.), Handbuch Digitalisierung, 2022, S. 1291; Raji, DSB 2022, 193; Valkanova, in: Kaulartz/Braegelmann, Rechtshandbuch Artificial Intelligence und Machine Learning, 2020, S. 336 Rn. 3 f.
[43] DSK, Hambacher Erklärung zur Künstlichen Intelligenz, S.3
[44] Leicht/Sorge, Einsatz von KI-Systemen im Unternehmen – Datenschutzrechtliche Voraussetzungen und technische Lösungsansätze, in: Roth/Corsten (Hrsg.), Handbuch Digitalisierung, 2022, S. 1291.
[45] Taeger, in: Taeger/Gabel, DS-GVO – BDSG – TTDSG, 4. Aufl., 2022, Art. 6 Rn. 165 ff.
[46] Siehe z.B. § 24 BDSG
[47] Taeger, in: Taeger/Gabel, DS-GVO – BDSG – TTDSG, 4. Aufl., 2022, Art. 6 Rn. 166.
[48] Borges/Steinrötter, in: Borges/Hilber, BeckOK IT-Recht, 11. Ed., Stand: 01.01.2022, Art. 6 Rn. 71.
[49] Skistims, in: Kaulartz/Braegelmann, Rechtshandbuch Artificial Intelligence und Machine Learning, 2020, S. 374 Rn. 59.
[50] Skistims, in: Kaulartz/Braegelmann, Rechtshandbuch Artificial Intelligence und Machine Learning, 2020, S. 374 Rn. 59.
[51] Skistims, in: Kaulartz/Braegelmann, Rechtshandbuch Artificial Intelligence und Machine Learning, 2020, S. 374 Rn. 59
[52] Skistims, in: Kaulartz/Braegelmann, Rechtshandbuch Artificial Intelligence und Machine Learning, 2020, S. 374 Rn. 59.
[53] Leicht/Sorge, Einsatz von KI-Systemen im Unternehmen – Datenschutzrechtliche Voraussetzungen und technische Lösungsansätze, in: Roth/Corsten (Hrsg.), Handbuch Digitalisierung, 2022, S. 1288/1291; Niemann/Kevekordes, CR 2020, 179, 181.
[54] Leicht/Sorge, Einsatz von KI-Systemen im Unternehmen – Datenschutzrechtliche Voraussetzungen und technische Lösungsansätze, in: Roth/Corsten (Hrsg.), Handbuch Digitalisierung, 2022, S. 1291; Niemann/Kevekordes, CR 2020, 17, 24.
[55] Albers/Veit, in: Wolff/Brink/v. Ungern-Sternberg, BeckOK Datenschutzrecht, 44. Ed., Stand: 01.05.2023, Art. 6 Rn. 108; Albrecht/Jotzo, Das neue Datenschutzrecht der EU, 1. Aufl., 2017, Teil 3 Rn. 54; Buchner/Petri, in: Kühling/ Buchner, DS-GVO/BDSG, 3. Aufl., 2020, Art. 6 Rn. 184; Heberlein, in: Ehmann/ Selmayr, DS-GVO, 2018, Art. 6 Rn. 48; Mantz/Spittka, in: Sassenberg/Faber, Rechtshandbuch Industrie 4.0 und Internet of Things, 2. Aufl., 2020, § 6 Rn. 47.
[56] Buchner/Petri, in: Kühling/Buchner, DS-GVO/BDSG, 3. Aufl., 2020, Art. 6 Rn. 182; Mantz/Spittka, in: Sassenberg/Faber, Rechtshandbuch Industrie 4.0 und Internet of Things, 2. Aufl., 2020, § 6 Rn. 47.
[57] Albrecht/Jotzo, Das neue Datenschutzrecht der EU, 1. Aufl., 2017, Teil 3 Rn. 54.
[58] Buchner/Petri, in: Kühling/Buchner, DS-GVO/BDSG, 3. Aufl., 2020, Art. 6 Rn. 183
[59] Borges/Steinrötter, in: Borges/Hilber, BeckOK IT-Recht, 11.Ed., Stand: 01.01.2022, Art. 6 Rn. 72; Culik/Döpke, ZD 2017, 226, 230; Niemann/Kevekordes, CR 2020, 17, 24; Schulz, in: Gola/Heckmann, DS-GVO/BDSG, 3. Aufl., 2022, Art. 6 Rn. 210; Taeger, in: Taeger/Gabel, DS-GVO – BDSG – TTDSG, 4. Aufl., 2022, Art. 6 Rn. 169. Wohl auch Valkanova, in: Kaulartz/Braegelmann, Rechtshandbuch Artificial Intelligence und Machine Learning, 2020, S. 338 Rn. 6.
[60] Niemann/Kevekordes, CR 2020, 17, 24.
[61] Niemann/Kevekordes, CR 2020, 17, 24.
[62] Schulz, in: Gola/Heckmann, DS-GVO/BDSG, 3. Aufl. 2022, Art. 6 Rn. 210
[63] Kaulartz, in: Kaulartz/Braegelmann, Rechtshandbuch Artificial Intelligence und Machine Learning, 2020, S. 472 f. Rn. 34.
[64] Albers/Veit, in: Wolff/Brink/v. Ungern-Sternberg, BeckOK Datenschutzrecht, 44. Ed., Stand: 01.05.2023, Art. 6 Rn. 30
[65] Arning/Rothkegel, in: Taeger/Gabel, DS-GVO – BDSG – TTDSG, 4. Aufl., 2022, Art. 4 Rn. 349; Schild, in: Wolff/Brink/v. Ungern-Sternberg, BeckOK Datenschutzrecht, 44. Ed., Stand: 01.05.2023, Art. 4 Rn. 124
[66] Arning/Rothkegel, in: Taeger/Gabel, DS-GVO – BDSG – TTDSG, 4. Aufl., 2022, Art. 4 Rn. 350; Schild, in: Wolff/Brink/v. Ungern-Sternberg, BeckOK Datenschutzrecht, 44. Ed., Stand: 01.05.2023, Art. 4 Rn. 124.
[67] Arning/Rothkegel, in: Taeger/Gabel, DS-GVO – BDSG – TTDSG, 4. Aufl., 2022, Art. 4 Rn. 351; Borges, in: Borges/Hilber, BeckOK IT-Recht, 11. Ed., Stand: 01.07.2021, Art. 4 Rn. 92; Spindler/Dalby, in: Spindler/Schuster, Recht der elektronischen Medien, 4. Aufl., Art. 4 Rn. 25.
[68] Albers/Veit, in: Wolff/Brink/v. Ungern-Sternberg, BeckOK Datenschutzrecht, 44. Ed., Stand: 01.05.2023, Art. 6 Rn. 38; Arning/Rothkegel, in: Taeger/Gabel, DS-GVO – BDSG – TTDSG, 4. Aufl., 2022, Art. 4 Rn. 353; Borges, in: Borges/Hilber, BeckOK IT-Recht, 11. Ed., Stand: 01.07.2021, Art. 4 Rn. 92; Niemann/Kevekordes, CR 2020, 17, 22.
[69] Arning/Rothkegel, in: Taeger/Gabel, DS-GVO – BDSG – TTDSG, 4. Aufl., 2022, Art. 4 Rn. 328; Buchner/Kühling, in: Kühling/Buchner, DS-GVO/BDSG, 3. Aufl., 2020, Art. 4 Nr. 11 Rn. 7.
[70] Arning/Rothkegel, in: Taeger/Gabel, DS-GVO – BDSG – TTDSG, 4. Aufl., 2022, Art. 4 Rn. 329.
[71] Arning/Rothkegel, in: Taeger/Gabel, DS-GVO – BDSG – TTDSG, 4. Aufl., 2022, Art. 4 Rn. 326.
[72] Arning/Rothkegel, in: Taeger/Gabel, DS-GVO – BDSG – TTDSG, 4. Aufl., 2022, Art. 4 Rn. 330; Ernst, in: Paal/Pauly, DS-GVO/BDSG, 3. Aufl., 2021, Art. 4 Rn. 78
[73] Ernst, in: Paal/Pauly, DS-GVO/BDSG, 3. Aufl., 2021, Art. 4 Rn. 81.
[74] Albers/Veit, in: Wolff/Brink/v. Ungern-Sternberg, BeckOK Datenschutzrecht, 44. Ed., Stand: 01.05.2023, Art. 6 Rn. 36.
[75] Vgl. Albers/Veit, in: Wolff/Brink/v. Ungern-Sternberg, BeckOK Datenschutzrecht, 44. Ed., Stand: 01.05.2023, Art. 6 Rn. 36; Ernst, in: Paal/Pauly, DS-GVO/ BDSG, 3. Aufl., 2021, Art. 4 Rn. 81.
[76] Albers/Veit, in: Wolff/Brink/v. Ungern-Sternberg, BeckOK Datenschutzrecht, 44. Ed., Stand: 01.05.2023, Art. 6 Rn. 36, Ernst, in: Paal/Pauly, DS-GVO/BDSG, 3. Aufl., 2021, Art. 4 Rn. 81.
[77] EDSA, Leitlinien zur Einwilligung, S. 18 Rn. 65
[78] Schild, in: Wolff/Brink/v. Ungern-Sternberg, BeckOK Datenschutzrecht, 44. Ed., Stand: 01.05.2023, Art. 4 Rn. 127; Ernst, in: Paal/Pauly, DS-GVO/BDSG, 3. Aufl., 2021, Art. 4 Rn. 69.
[79] Buchner/Kühling, in: Kühling/Buchner, DS-GVO/BDSG, 3. Aufl., 2020, Art. 7 Rn. 41.
[80] Kloos/Schmidt-Bens, in: Hartmann, KI & Recht kompakt, 2020, S. 173 f.; Niemann/Kevekordes, CR 2020, 17, 22
[81] Niemann/Kevekordes, CR 2020, 17, 23.
[82] Eine Lösung für das Problem der Separierung könnte beispielsweise das sog. Federated Learning darstellen, bei welchem die personenbezogenen Dateien bei den Parteien bleiben, welche dann insbesondere für den Schutz dieser Daten verantwortlich sind, eingehend hierzu: Kaulartz, in: Kaulartz/Braegelmann, Rechtshandbuch Artificial Intelligence und Machine Learning, 2020, S. 37 ff.
[83] Kloos/Schmidt-Bens, in: Hartmann, KI & Recht kompakt, 2020, S. 174; Skistims, in: Kaulartz/Braegelmann, Rechtshandbuch Artificial Intelligence und Machine Learning, 2020, S. 358 Rn. 21.
[84] Skistims, in: Kaulartz/Braegelmann, Rechtshandbuch Artificial Intelligence und Machine Learning, 2020, S. 358 Rn. 21.
[85] Niemann/Kevekordes, CR 2020, 17, 22.
[86] Holthausen, RdA 2021, 19, 20; Kment/Borchert, Künstliche Intelligenz und Algorithmen in der Rechtsanwendung, 2022, S. 17 Rn. 38; Meyer/Kühne, in: Leupold/Wiebe/Glossner, IT-Recht, Recht, Wirtschaft und Technik der digitalen Transformation, 4. Aufl., 2021, Teil 6.3 Rn. 31.
[87] Kloos/Schmidt-Bens, in: Hartmann, KI & Recht kompakt, 2020, S. 174.
[88] Herbst, in: Kühling/Buchner, DS-GVO/BDSG, 3. Aufl., 2020, Art. 5 Rn. 35; Kloos/ Schmidt-Bens, in: Hartmann, KI & Recht kompakt, 2020, S. 174.
[89] Herbst, in: Kühling/Buchner, DS-GVO/BDSG, 3. Aufl., 2020, Art. 5 Rn. 35.
[90] Leeb/Liebhaber, JuS 2018, 534, 536 f
[91] Datenethikkommission, Gutachten, Stand: 23.10.2019, S. 169
[92] Datenethikkommission, Gutachten, Stand: 23.10.2019, S. 169; Leicht/Sorge, Einsatz von KI-Systemen im Unternehmen – Datenschutzrechtliche Voraussetzungen und technische Lösungsansätze, in: Roth/Corsten (Hrsg.), Handbuch Digitalisierung, 2022, S. 1288.
[93] Kaulartz, in: Kaulartz/Braegelmann, Rechtshandbuch Artificial Intelligence und Machine Learning, 2020, S. 473 Rn. 34
[94] Leicht/Sorge, Einsatz von KI-Systemen im Unternehmen – Datenschutzrechtliche Voraussetzungen und technische Lösungsansätze, in: Roth/Corsten (Hrsg.), Handbuch Digitalisierung, 2022, S. 1290.
[95] Skistims, in: Kaulartz/Braegelmann, Rechtshandbuch Artificial Intelligence und Machine Learning, 2020, S. 365 Rn. 39.
[96] Skistims, in: Kaulartz/Braegelmann, Rechtshandbuch Artificial Intelligence und Machine Learning, 2020, S. 365 Rn. 39
[97] Buchner/Petri, in: Kühling/Buchner, DS-GVO/BDSG, 3. Aufl., 2020, Art. 6 Rn. 146.
[98] Buchner/Petri, in: Kühling/Buchner, DS-GVO/BDSG, 3. Aufl., 2020, Art. 6 Rn. 146a; Skistims, in: Kaulartz/Braegelmann, Rechtshandbuch Artificial Intelligence und Machine Learning, 2020, S. 366 Rn. 43.
[99] Buchner/Petri, in: Kühling/Buchner, DS-GVO/BDSG, 3. Aufl., 2020, Art. 6 Rn. 146a
[100] Skistims, in: Kaulartz/Braegelmann, Rechtshandbuch Artificial Intelligence und Machine Learning, 2020, S. 366 Rn. 45.
[101] EuGH Urt. v. 11.12.2019 – C-708/18 – ZD 2020, 148 f.; Albers/Veit, in: Wolff/ Brink/v. Ungern-Sternberg, BeckOK Datenschutzrecht, 44. Ed., Stand: 01.05.2023, Art. 6 Rn. 68; Skistims, in: Kaulartz/Braegelmann, Rechtshandbuch Artificial Intelligence und Machine Learning, 2020, S. 367 Rn. 45.
[102] Kloos/Schmidt-Bens, in: Hartmann, KI & Recht kompakt, 2020, S. 176 f.
[103] Skistims, in: Kaulartz/Braegelmann, Rechtshandbuch Artificial Intelligence und Machine Learning, 2020, S. 367 Rn. 46.
[104] Vgl. Artt. 26 III, 39 I, 101 III, 189 I AEUV.
[105] ErwG 4 DS-GVO
[106] Buchner/Petri, in: Kühling/Buchner, DS-GVO/BDSG, 2020, Art. 6 Rn. 147a; Skistims, in: Kaulartz/Braegelmann, Rechtshandbuch Artificial Intelligence und Machine Learning, 2020, S. 368 Rn. 47.
[107] Borges, Potenziale von Künstlicher Intelligenz mit Blick auf das Datenschutzrecht, Gutachten, Stiftung Datenschutz 2021, S. 5.
[108] Paal, in: Kaulartz/Braegelmann, Rechtshandbuch Artificial Intelligence und Machine Learning, 2020, S. 427 Rn. 1a f.
[109] Skistims, in: Kaulartz/Braegelmann, Rechtshandbuch Artificial Intelligence und Machine Learning, 2020, S. 368 Rn. 48.
[110] Skistims, in: Kaulartz/Braegelmann, Rechtshandbuch Artificial Intelligence und Machine Learning, 2020, S. 368 Rn. 48.
[111] Borges, Potenziale von Künstlicher Intelligenz mit Blick auf das Datenschutzrecht, Gutachten, Stiftung Datenschutz 2021, S. 11.
[112] Taeger, in: Taeger/Gabel, DS-GVO – BDSG – TTDSG, 4. Aufl., 2022, Art. 6 Rn. 140
[113] Taeger, in: Taeger/Gabel, DS-GVO – BDSG – TTDSG, 4. Aufl., 2022, Art. 6 Rn. 140
[114] Borges, Potenziale von Künstlicher Intelligenz mit Blick auf das Datenschutzrecht, Gutachten, Stiftung Datenschutz 2021, S. 16 f
[115] Borges, Potenziale von Künstlicher Intelligenz mit Blick auf das Datenschutzrecht, Gutachten, Stiftung Datenschutz 2021, S. 16 f.
[116] Buchner/Petri, in: Kühling/Buchner, DS-GVO/BDSG, 2020, Art. 6 Rn. 149.
[117] Skistims, in: Kaulartz/Braegelmann, Rechtshandbuch Artificial Intelligence und Machine Learning, 2020, S. 368 Rn. 49
[118] Kaulartz, in: Kaulartz/Braegelmann, Rechtshandbuch Artificial Intelligence und Machine Learning, 2020, S. 473 Rn. 35. Eine allgemeine Orientierung, welche Aspekte bei der Interessenabwägung eine Rolle spielen können, bietet die Artikel-29-Datenschutzgruppe in ihren Leitlinien zu automatisierten Entscheidungen im Einzelfall einschließlich Profiling (WP 251) auf S. 15.
[119] Niemann/Kevekordes, CR 2020, 17, 23 f.
[120] Behörden können sich nach Art. 6 Abs. 1 S. 2 DS-GVO bei der Verwendung von personenbezogenen Daten für maschinelle Lernverfahren hingegen nicht auf die Rechtsgrundlage aus Art. 6 Abs. 1 lit. f) DS-GVO berufen. Zu den möglichen Rechtsgrundlagen für eine Verarbeitung personenbezogener Daten eingehend hierzu: Bock, in: Specht/Mantz, Handbuch Europäisches und deutsches Datenschutzrecht, 2019, § 20 Rn. 25 ff.