KI hat das Potenzial, viele Aspekte der Gesellschaft erheblich zu verändern. Wie jede disruptive technologische Revolution birgt auch die Künstliche Intelligenz Chancen und Risiken. Chancen bieten sich in vielen Lebensbereichen, etwa in der medizinischen Forschung und Diagnostik. Begleitende Risiken sind oft weniger offensichtlich. Datenschutzrechtlich stehen insbesondere die Verarbeitung personenbezogener Daten in KI-Trainingsprozessen, die Rechte auf Auskunft und Löschung personenbezogener Daten sowie die Informationspflicht der Verantwortlichen im Fokus. KI muss erklärbar sein und darf nicht diskriminieren. Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz verfolgt in seiner aufsichtsbehördlichen Befassung mit Künstlicher Intelligenz das Ziel, die Nutzung der Chancen zu ermöglichen, ohne das Grundrecht auf informationelle Selbstbestimmung zu gefährden. Die Etablierung eines gesellschaftlichen und regulatorischen Ansatzes für KI in Europa, der die Grundsätze des Datenschutzes respektiert und unterstützt, kann zu einem Vorteil im globalen Wettbewerb werden und damit demokratische Werte stärken.

Aufgaben der Datenschutzaufsicht

Im Zusammenhang des Einsatzes von KI-Systemen gewinnt die Aufgabe an Bedeutung, Verantwortliche zu sensibilisieren (Art. 57 Abs. 1 lit. d DS-GVO). Auf einer allgemeineren Ebene sind die entsprechenden Entwicklungen zu beobachten (Art. 57 Abs. 1 lit. i DS-GVO). Im Kontext der Unterstützung und Beratung von Verantwortlichen kann auch die konkrete Begleitung eines bestimmten Aspekts der Künstlichen Intelligenz stehen. Dies betrifft die sogenannten „Sandkästen“ („regulatory sandboxes“). Auf der Basis von Gedankenspielen und Experimenten wird kooperativ erforscht, welche Gestaltung der KI dem Datenschutzrecht entspricht, um mit dieser Gestaltung dann weiter arbeiten zu können.

Die Aufgabe der Kontrolle wird den Datenschutzaufsichtsbehörden durch Art. 57 Abs. 1 lit. a DS-GVO zugewiesen, der die Überwachung der Einhaltung der DS-GVO als zentrale Aufgabe formuliert. Aus Sicht des Bürgers und der Bürgerin wird insbesondere die Bearbeitung von Beschwerden durch die Datenschutzaufsichtsbehörden in den Fokus gerückt (Art. 57 Abs. 1 lit. f DS-GVO). Eine Beschwerde im Hinblick auf eine bestimmte Datenverarbeitung kann Bezüge zu KI-Systemen beinhalten oder diese direkt betreffen. Voraussetzungen für die Kontrolle durch die Datenschutzaufsichtsbehörden sind Nachvollziehbarkeit und Erklärbarkeit, die sich in Dokumentationen widerspiegeln. Dies ermöglicht eine Erläuterung des Verantwortlichen gegenüber der Datenschutzaufsichtsbehörde über die Vorgänge der Datenverarbeitung. Diese Erklärung ist notwendig, um die Rechtmäßigkeit der Datenverarbeitung rechtssicher belegen zu können.

Kooperation

Die technische Ausstattung der Datenschutzaufsichtsbehörden zur Durchführung von Prüfungen komplexer KI-fähiger Systeme wird eine dauernde Herausforderung bleiben. KI-Systeme können nur dann eingehend und zutreffend bewertet werden, wenn auch die technischen Voraussetzungen für derartige Bewertungen gegeben sind. Gerade auf einem Gebiet wie der Künstlichen Intelligenz, das von großer Dynamik und enormer Vielfalt geprägt ist, kommt der Kooperation der Datenschutzaufsichtsbehörden mit anderen Akteuren eine wichtige Rolle zu. Dies betrifft die Kooperation mit der Wissenschaft. Hier sind Projekte oder die Beauftragung von Gutachten bedeutsam. Ein gegenseitiges Unterrichten über Erkenntnisse ist ohnehin ein wichtiger Bestandteil der Tätigkeit der Datenschutzaufsichtsbehörden. Die Zusammenarbeit der Behörden betrifft in den zuständigen Gremien auch die Zusammenarbeit im Hinblick auf die Bewertung von Künstlicher Intelligenz. Einschlägige Mechanismen der Kooperation gewinnen zunehmend an Bedeutung. Auch die Expertise und Perspektive anderer Behörden wie z.B. des Bundesamtes für Sicherheit in der Informationstechnik kann in die Bewertung von KI einbezogen werden.