Verantwortlicher oder Auftragsverarbeiter oder…? – Selbstfindung im Datenschutz

by Nicht kategorisiert

Die Einordnung der an einer Datenverarbeitung beteiligten Akteure kann im Einzelfall zu komplizierten Abgrenzungsfragen führen, auch wenn die von der DSGVO vorgegebene Rollenverteilung überschaubar ist. So können Verantwortliche und Auftragsverarbeiter an der Verarbeitung personenbezogener Daten involviert sein. Da sich das Pflichtenprogramm dieser Akteure unterschiedlich ausgestaltet und der Haftungsumfang voneinander unterscheidet, ist es für Unternehmen bzw. Organisationen essenziell festzustellen, welche datenschutzrechtliche Rolle sie einnehmen. 

Haftungsrisiken bei fehlender oder unzureichender Rollenverteilung

Das Fehlen einer oder die unzutreffende Einordnung als Verantwortlicher oder Auftragsverarbeiter offenbart sich spätestens, wenn ein meldepflichtiger Datenschutzverstoß festgestellt wird. In diesem Fall ist die zuständige Aufsichtsbehörde über den Vorfall zu benachrichtigen sowie anzugeben, wer Verantwortlicher ist und damit bspw. nach Art. 82 Abs. 2 S. 1 DSGVO für eine unterbliebene Meldung nach Art. 33 DSGVO haften würde. 

Demgegenüber beschränkt sich die Haftung des Auftragsverarbeiters auf die Verletzung gesetzlicher Pflichten, die er in seiner Funktion wahrnimmt. Haben die Beteiligten bis zu diesem Zeitpunkt die datenschutzrechtliche Rollenverteilung jedoch nicht transparent dokumentiert, kommt es zu zeitintensiven Konflikten über Verantwortlichkeiten bei der Datenverarbeitung, obwohl die zeitnahe Meldung einer Datenpanne – innerhalb von 72 Stunden – zu erfolgen hat. 

Verstreicht die Frist, droht ein empfindliches Bußgeld, was seitens der Aufsichtsbehörde zum Anlass genommen werden kann, weitere Nachforschungen anzustellen und auf Grundlage dessen ggf. weitere Bußgelder zu verhängen. Um möglichen Nachforschungen durch die Aufsichtsbehörde schon von Beginn an die Grundlage zu entziehen, sollte jeder einzelne Akteur seine Stellung als (gemeinsam) Verantwortlicher oder Auftragsverarbeiter nachweisbar dokumentieren.

Verantwortliche sind Entscheider 

Im Wesentlichen bestimmt ein Verantwortlicher das „ob“ und „wie“ der Datenverarbeitung, er entscheidet mithin über die Zwecke der Datenverarbeitung und gibt die Mittel vor, mit denen diese erreicht werden sollen. 

Entscheidet sich beispielsweise ein Unternehmen zur Beauftragung eines Dienstleisters, welcher unter Einsatz Künstlicher Intelligenz („KI“) die künftige Personalentwicklung auswerten lässt, wird er als Verantwortlicher tätig. Neben der oben genannten Meldepflicht obliegen dem Verantwortlichen weitere Pflichten, unter anderem

  • Informationspflichten nach Art. 13 und 14 DSGVO,
  • Umsetzung der Betroffenenrechte, z.B. Recht auf Auskunft und Löschung,
  • Erstellung eines umfassenden Verarbeitungsverzeichnisses,
  • Durchführung einer Datenschutz-Folgenabschätzung, die vor allem bei KI-Anwendungen von erheblicher Bedeutung ist,
  • Abschluss eines Auftragsverarbeitungsvertrags mit einem Auftragsverarbeiter und Prüfung des Bestehens geeigneter technischer und organisatorischer Maßnahmen.

Gemeinsam Verantwortliche teilen sich die Entscheidungsgewalt

Entscheiden sich mehrere Unternehmen eines Konzerns aus Gründen der Kostensenkung gemeinsam für den Einsatz der KI-Anwendung und gründen hierfür beispielsweise eine paritätisch besetzte Projektgruppe zum Implementieren der KI, liegen Indizien für eine gemeinsame Verantwortlichkeit vor. Denn eine gemeinsame Verantwortlichkeit ist gegeben, wenn die Zwecke und Mittel der Datenverarbeitung durch gemeinsames Zusammenwirken festgelegt werden, sodass jeder Verantwortliche einen bestimmenden Einfluss auf die Datenverarbeitung hat.

Gemeinsam Verantwortliche haben die Pflicht, des Abschlusses einer Vereinbarung über die gemeinsame Verantwortlichkeit nach Art. 26 DSGVO.

Im Kern dient eine solche Vereinbarung dazu, dass die Verantwortlichen in transparenter Form ihre Pflichten untereinander aufteilen, insbesondere wer die Betroffenenrechte wahrnimmt und wer den Informationspflichten nachkommt.

Auftragsverarbeiter unterstützt den bzw. die Verantwortlichen

Während der Verantwortliche die Zwecke und Mittel der Datenverarbeitung bestimmt, bleibt der Auftragsverarbeiter ohne eigene Entscheidungskompetenzen. Er ist an die Weisungen des Verantwortlichen bei der Verarbeitung gebunden und wird lediglich als dessen „verlängerter Arm“ tätig.

Entscheiden sich die erwähnten Unternehmen mit der Beauftragung eines Dienstleisters zur Implementierung der KI-Anwendung, ist der Dienstleister als Auftragsverarbeiter einzuordnen. Der Pflichtenkatalog des Auftragsverarbeiters ist nicht so umfangreich wie der des Verantwortlichen und beinhaltet unter anderem die

  • Erstellung eines Verarbeitungsverzeichnisses,
  • Mitteilung an den Verantwortlichen bei Kenntnis von einer Datenschutzverletzung,
  • Unterstützung des Verantwortlichen bei Umsetzung von Betroffenenrechten,
  • Datenverarbeitung nur auf Weisung des Verantwortlichen und die übrigen Pflichten aus Art. 28 Abs. 3 DSGVO.

Anhaltspunkte für eine erste Einordnung

Sind bei der Verarbeitung von personenbezogenen Daten noch andere Akteure beteiligt, sollte die datenschutzrechtliche Rollenverteilung einer näheren Betrachtung unterzogen werden. Die im Folgenden genannten Indizien sollen eine erste Hilfestellung zur Selbsteinschätzung geben.

Fazit

Wie wichtig eine korrekte bzw. vertretbare Einordnung ist, zeigt sich spätestens dann, wenn es zu Unregelmäßigkeiten bei der Datenverarbeitung kommt und die sich durch die DSGVO und zwischen den Akteuren der Zwang entsteht, die ihnen auferlegten Pflichten datenschutzkonform umzusetzen. Daher ist es unabdingbar, von Beginn an die Rollenverteilung, insbesondere bei mehrdeutigen Sachverhalten, zu diskutieren, um im Notfall keinen zusätzlichen Zeitdruck durch eine Reevaluierung der Rollenverteilung zu schaffen.

Gerne stehen wir Ihnen bei sämtlichen Fragen hierzu zur Verfügung.

Regulierung künstlicher Intelligenz („KI“) – Aktueller Stand der KI-Verordnung und Handlungsempfehlungen für Unternehmen  

by Nicht kategorisiert

Es gibt kaum ein Unternehmen oder eine Institution, die KI nicht anwendet, wenn man bedenkt, dass Spam-Filter, Virenschutz und automatisierten Sprachübersetzungen auf KI-Technologien basieren. Während KI-Anwendungen unternehmensinterne Prozesse verschlanken und damit Kosten gespart werden können, gehen auch Gefahren damit einher, welche der europäische Gesetzgeber einheitlich adressieren will. Der vorliegende Blog-Beitrag gibt einen Überblick über den Regelungsgehalt der KI-Verordnung und formuliert konkrete Handlungsempfehlungen, damit Unternehmen die kommenden KI-Regularien reibungslos umsetzen können. 

 
Was wird Regelungsinhalt der KI-Verordnung? 
 
Einer der wichtigsten Aspekte der andauernden Diskussionen war in Anbetracht der strengen Regulierung die Festlegung einer gemeinsamen Definition des Begriffs „künstliche Intelligenz“. Diese ist aktuell recht weitgehend: 

KI-System ist eine Software, die mit einer oder mehreren der in Anhang I aufgeführten Techniken und Konzepte entwickelt worden ist und im Hinblick auf eine Reihe von Zielen, die vom Menschen festgelegt werden, Ergebnisse wie Inhalte, Vorhersagen, Empfehlungen oder Entscheidungen hervorbringen kann, die das Umfeld beeinflussen, mit dem sie interagieren (vgl. Art. 3 Nr. 1 KI-Verordnung). 

Kurzum, nach der aktuellen Definition ist ein „System mit künstlicher Intelligenz“ ein maschinelles System, das mit unterschiedlichem Grad an Autonomie arbeitet und Ergebnisse wie Vorhersagen, Empfehlungen oder Entscheidungen hervorbringt, die die physische oder virtuelle Umgebung beeinflussen können. 

Wie auch die 2018 in Kraft getretene Datenschutzgrundverordnung („DSGVO“) wird sich die KI-Verordnung am sog. risikobasierten Ansatz orientieren, der sich aus den nachfolgend aufgelisteten OECD-Grundsätzen ableiten lässt:  

  • Inklusives Wachstum, nachhaltige Entwicklung und Lebensqualität 
  • Menschenzentrierte Werte und Fairness 
  • Transparenz und Erklärbarkeit
  • Robustheit und Sicherheit
  • Rechenschaftspflicht

Demnach gilt es die einzelnen KI-Anwendungen nach potentiellem Risiko zu klassifizieren, um sodann die je nach Risikoklasse geltenden Vorgaben zu erfüllen. Dabei unterscheidet die KI-Verordnung nach vier verschiedenen Kategorien: 

1. Verbotene KI-Systemen 

Hierbei handelt es sich um KI-Systeme mit inakzeptablem Risiko, d.h. solche, die als Bedrohung für Menschen gelten. 
Sie umfassen: 

  • Kognitive Verhaltensmanipulation von Menschen oder bestimmten gefährdeten Gruppen:  
    zum Beispiel sprachgesteuertes Spielzeug, das gefährliches Verhalten bei Kindern fördert 
  • Soziales Scoring: Klassifizierung von Menschen aufgrund von Verhalten, sozioökonomischem Status oder 
    persönlichen Merkmalen 
  • Biometrische Identifikationssysteme in Echtzeit und aus der Ferne, z. B. Gesichtserkennung 

2. KI-Systeme mit hohem Risiko 

Dies sind KI-Systeme, die sich negativ auf die Sicherheit oder die Grundrechte auswirken. Sie werden grundsätzlich in zwei Kategorien eingestuft:  

a) KI-Systeme, die in Produkten verwendet werden, die unter die Produktsicherheitsvorschriften der EU fallen, z.B. 

  • Medizinische Geräte 
  • Luftfahrtrelevante Systeme 
  • Spielzeuge 


b) KI-Systeme, die in acht spezifische Bereiche fallen, die in einer EU-Datenbank registriert werden müssen: 

  • Biometrische Identifizierung und Kategorisierung von natürlichen Personen 
  • Verwaltung und Betrieb von kritischen Infrastrukturen 
  • Allgemeine und berufliche Bildung 
  • Beschäftigung, Arbeitnehmermanagement und Zugang zur Selbstständigkeit 
  • Zugang zu und Inanspruchnahme von wesentlichen privaten und öffentlichen Diensten und Leistungen 
  • Rechtsdurchsetzung 
  • Verwaltung von Migration, Asyl und Grenzkontrollen 
  • Unterstützung bei der Rechtsauslegung und Rechtsanwendung. 

3. KI-Systeme mit geringem Risiko  

Solche Systeme sollen nur minimalen Transparenzanforderungen unterfallen. Dadurch soll der Nutzer in die Lage versetzt werden, eine fundierte Entscheidung über die Verarbeitung zu treffen, ob er die Interaktion mit dem KI-System wünscht. Dazu gehören beispielsweise KI-Systeme, die Bild-, Audio- oder Videoinhalte erzeugen oder manipulieren, beispielsweise Deepfakes. 

 
Verpflichtungen für KI-Systeme für allgemeine Verwendung 

Eine wichtige Verpflichtung trifft Anbieter von sog. Basismodellen. Das sind Systeme, die in der Lage sind, die Fähigkeiten und Kenntnisse, die sie während eines Trainingsprozesses erlernt haben, auf einen anderen Bereich zu übertragen. Bevor diese Anbieter ihre KI auf den EU-Markt bringen, müssen die damit verbundenen Risiken für die Gesundheit, Umwelt, Individualrechte von Menschen identifizieren und mitigieren.  

Die mittlerweile weltweit bekannten generativen KI-Systeme, die auf solchen Basismodellen aufbauen, z.B. ChatGPT, sind daher verpflichtet, für Transparenz und Rechtmäßigkeit zu sorgen. Beispielsweise müssen KI-generierte Inhalte als solche gekennzeichnet werden. Daneben ist anzugeben, welche urheberrechtlich geschützten Werke zu Trainingszwecken genutzt wurden. 

 
Wann wird die KI-Verordnung in Kraft treten? 

Im Juni 2023 hat das EU-Parlament über den Entwurf der KI-Verordnung abgestimmt und diesen mit Mehrheit angenommen. Nunmehr wird die Verordnung im Rahmen sog. Trilog-Verhandlungen zwischen der Kommission, dem Rat und dem EU-Parlament verhandelt. Nachdem sich diese drei Parteien auf eine finale Fassung geeinigt haben, erhalten Anbieter von KI zwei Jahre Zeit, die Vorgaben der finalen KI-Verordnung umzusetzen. 

Jetzt steht schon fest, dass Anbieter von KI prüfen sollten, wie sie die Vorgaben der KI-Verordnung erfüllen können, damit sie von Anfang an ein rechtssicheres Produkt entwickeln. 

Handlungsempfehlungen: 

  1. Prüfen Sie, wo in Ihrer Organisation KI eingesetzt wird, und erstellen Sie eine Übersicht mit den KI-Anwendungen und ihrem Einsatzgebiet bzw. ergänzen Sie eine vorhandene Softwareübersicht um dieses Merkmal. 
  1. Halten Sie fest, ob es eine Dokumentation zu dieser KI gibt. Zum Beispiel könnte bereits eine Datenschutzfolgeabschätzung existieren, welche sich mit der Verarbeitung personenbezogener Daten befasst und auf KI eingeht. In vielen Fällen kann man hieraus bereits wertvolle Informationen für die Dokumentation nach der KI-Verordnung gewinnen. 
  1. Ordnen Sie die eingesetzten KI-Anwendungen nach dem risikobasierten Ansatz des gegenwärtigen Entwurfs einer Risikostufe zu. 
  1. Sofern eine mit hohen Risiken verbundene oder sogar verbotene KI vorliegen würde, sollten Sie mit Personen aus der IT-Abteilung, Rechtsabteilung sowie weiteren zuständigen Personen besprechen, inwieweit die KI-Anwendung angepasst werden kann oder welche weiteren risikominimierende Maßnahmen ergriffen werden können. 
  1. Prüfen Sie, ob die bisher eingesetzten KI-Anwendungen im Haftungsfall von ihrem Versicherungsschutz abgedeckt sind. Vor allem im Hinblick auf die in dem Entwurf zur KI-Haftungsrichtlinie angedachte Vermutung zur haftungsbegründenden Kausalität, welche Geschädigten die Durchsetzung von Schadensersatzansprüchen erleichtern soll, könnte sich das Haftungsrisiko für Unternehmen erheblich erhöhen. Eine entsprechende Versicherung, welche die finanziellen Unabwägbarkeiten abdeckt, welche mit KI-Anwendungen einhergehen, sollte im unternehmerischen Interesse abgeschlossen werden.