Generative KI und die Zweckänderung (Art. 6 Abs. 4 DSGVO) | Fieldfisher
Skip to main content
Insight

Generative KI und die Zweckänderung (Art. 6 Abs. 4 DSGVO)

A glowing lock icon is centered against a background of binary code (1s and 0s), symbolizing digital security. The binary code is displayed in horizontal lines, with shades of blue and purple creating a dynamic, futuristic appearance.

Locations

Germany

Ob zur Personalgewinnung, im Rahmen der Produktentwicklung oder im Vertrieb: Mit dem Einsatz generativer KI-Tools können unternehmensinterne Prozesse und Entwicklungen optimiert und effizient unterstützt werden.
 
Wer für das Training unternehmensinterner KI-Tools und/oder die Erzeugung von Inhalten dabei nicht nur den öffentlich-zugänglichen, sondern auch den vorhandenen eigenen (personenbezogenen) Datenpool nutzbar machen möchte, sollte insbesondere ein Augenmerk auf Art. 6 Abs. 4 DSGVO richten.

Als ein Ausläufer des Grundsatzes der Zweckgebundenheit (Art. 5 Abs. 1 Buchst. b) DSGVO) skizziert Art. 6 Abs. 4 DSGVO die Rahmenbedingungen für den durchzuführenden "Kompabilitätstest", eine gesetzlich vorgesehene Prüfung, inwieweit vorhandene personenbezogene Datensätze für andere Zwecke, als den ursprünglichen Erhebungszweck nutzbar gemacht werden können (sog. "Weiterverarbeitung").

Hinweis: Nicht nur die Verwendung von Rohdaten, auch eine (vorzugswürdige) vorgeschaltete Anonymisierung von Datensätzen zu KI-Trainingszwecken fällt in den Anwendungsbereich des Art. 6 Abs. 4 DSGVO. Denn wenngleich die Verwendung anonymisierter Trainingsdaten zur Fütterung der KI-Tools nicht mehr in Anwendungsbereich des Datenschutzrechts fällt, so ist die Anonymisierung der relevanten Unternehmensdaten eine Datenverarbeitung, die einer Rechtsgrundlage bedarf. Im Falle einer Anonymisierung ist dabei nicht der Verarbeitungsschritt, sondern der mit der Anonymisierung verfolgte Zweck zu betrachten.

Möchte ein Unternehmen vorhandene personenbezogene Unternehmensdaten nutzen, um eine KI-Anwendung zu trainieren und/oder um Content zu erstellen (z.B. Bilder, Texte, Videos), ergeben sich im Zusammenhang mit dem Kompatibilitätstest im Wesentlichen drei Kernthemen:

 

Datenschutzkonforme Herkunft der Daten

Stellen Sie sicher, dass die relevanten Unternehmensdaten im Einklang mit den Vorgaben der DSGVO, dem TTDSG und/oder den sonstigen einschlägigen datenschutzrechtlichen Bestimmungen erhoben worden sind. Angelehnt an die Metapher "fruit of the poisonous tree" hat sich der Europäische Datenschutzausschuss bereits in einem anderen Zusammenhang klar positioniert, dass rechtswidrig erhobene Daten nicht rechtswirksam für (andere) Zwecke verarbeitet werden können.

 

Zweckvereinbarkeit und Verhältnis zum Betroffenen

An dieser Stelle ist für die relevanten Unternehmensdatensätze anhand bestimmter Kriterien zu prüfen, ob die geplante Weiterverwendung der Daten mit dem ursprünglichen Erhebungszweck vereinbar ist und eine "Verbindung zwischen dem Erhebungs- und dem Weiterverarbeitungszweck" besteht (z.B. schließt der Weiterverarbeitungszweck denklogisch an den Erhebungszweck an). Aber auch die Umstände der Datenerhebung als auch das Verhältnis zwischen Verantwortlichem und betroffener Person fließen in die Bewertung ein. So kann es unter Umständen einer Zweckvereinbarkeit entgegenstehen, wenn nicht der bisherige Verantwortliche, sondern ein Dritter die Weiterverarbeitung übernimmt.
 
 

Transparenz is key

Am Ende "fliegt" die Kompabilitätsprüfung allerdings nur dann, wenn der Verantwortliche auch die notwendigen Transparenzvorkehrungen vor der Weiterverarbeitung getroffen hat. Das bedeutet, dass den betroffenen Personen vor der Weiterverarbeitung die notwendigen Informationen über die geplante Weiterverarbeitung bereitgestellt werden müssen (spezifisch oder allgemein via öffentlich zugänglichen Datenschutzinformationen).
                                                   
Hinweis: Eignen sich bestimmte Unternehmensdatensätze zur weiteren Verwendung zu KI-Trainingszwecken empfiehlt es sich, zukünftig betroffene Personen bereits bei Erhebung dieser Datensätze gleichermaßen über die Anonymisierung/weitere Verwendung zu KI-Trainingszwecken transparent zu informieren. Diese Transparenzmaßnahme kann im Einzelfall ein überzeugendes Argument sein, von der Notwendigkeit einer Kompatibilitätsprüfung absehen zu können.

Kann ein Verantwortlicher im Ergebnis hinter den Kompatibilitätstest einen Haken setzen, stellt sich im nächsten Schritt die Frage, auf welche vertretbaren Rechtsgrundlagen sich ein Unternehmen stützen kann, um Unternehmensdaten zu KI-Zwecken zu anonymisieren bzw. weiter zu nutzen.