Herausforderungen der Nutzung von Large Language Models aus datenschutzrechtlicher Sicht

Datenschutz beim Einsatz künstlicher Intelligenz im Unternehmen

Das Bild zeigt ein digitales Schloss, Cybernetz und einen Mitarbeitenden im Hintergrund Bild: @ Adobe Stock - Slowlifetrader

Ein Beitrag von Prof. Dr. Alexander Golland

Die allgemeine Verfügbarkeit generativer KI-Modelle, allen voran die großen Sprachmodelle (Large Language Models, kurz: LLM) wie ChatGPT von OpenAI oder Bing AI von Microsoft, erfreuen sich größter Beliebtheit: LLM sind in der Lage, auf Grundlage statistischer Methoden – eine entsprechende Schnittstelle vorausgesetzt – auch technisch wenig versierten Nutzern verständliche Antworten auf ihre Fragen zu liefern. Datenschutzrechtlich stellt der Einsatz solcher LLM Unternehmen aber vor große Herausforderungen.

Anwendbarkeit des Datenschutzrechtes

LLM verarbeiten massenhaft personenbezogene Daten. Diese können sich in der Eingabe („prompt“) oder in der Ausgabe wiederfinden. Auch die bei der Interaktion mit dem LLM anfallenden Daten sind personenbezogene Daten. Ob das anhand personenbezogener Daten trainierte LLM selbst als personenbezogen einzustufen ist, ist umstritten.

Datenschutzrechtlich verantwortlich ist stets das Unternehmen, das LLM einsetzt. Der Anbieter des LLM ist i. d. R. als Auftragsverarbeiter tätig. Sofern das LLM anhand von Nutzungsdaten trainiert wird, kann dies aber auch zu einer gemeinsamen Verantwortlichkeit der Beteiligten führen. In diesem Fall bedarf es (ggf. neben dem Auftragsverarbeitungsvertrag) auch einer entsprechenden Vereinbarung sowie einer (zusätzlichen, den Datenaustausch legitimierenden) Rechtsgrundlage.

Überwiegende Interessen als Rechtfertigung der LLM-Nutzung

Als Rechtsgrundlage für die Datenverarbeitung kommt allein die zugunsten des Unternehmens ausfallende Abwägung seiner Interessen mit den Interessen der von der Datenverarbeitung Betroffenen in Betracht (Art. 6 Abs. 1 Satz 1 lit. f DSGVO). Schwierigkeiten bestehen dann, wenn die Daten auch für die Weiterentwicklung des LLM verwendet werden, wenn Daten von Minderjährigen verarbeitet werden oder wenn (auch) sog. sensible Daten erhoben werden. All dies kann nicht wirksam ausgeschlossen werden, wenn das LLM auf weitere Quellen, insbesondere das Internet, zugreift.

Wird das LLM eingesetzt, um Entscheidungen zu treffen (oder diese in relevantem Maß vorzubereiten), die rechtliche Wirksamkeit gegenüber Betroffenen entfalten oder diese vergleichbar beeinträchtigen, ist dies nur zulässig, wenn eine der Ausnahmen des Art. 22 Abs. 2 DSGVO vorliegt. Da die Reichweite der Ausnahmetatbestände umstritten ist, ist dies mit zusätzlichen Rechtsrisiken verbunden.

Betroffenenrechte und weitere relevante Pflichten eines Unternehmens

Herausforderungen stellen sich auch bei der Erfüllung der Betroffenenrechte: Sowohl Datenschutzinformationen (Art. 13 f. DSGVO) als auch Auskünfte (Art. 15 DSGVO) lassen sich nur schwer vollständig und korrekt erteilen, insbesondere wenn das LLM auf das Internet zugreift. Auch das „Halluzinieren“ von LLM steht im Widerspruch zum Gebot der Datenrichtigkeit (vgl. Art. 16 DSGVO).

Neben passenden Datenschutzverträgen ist auch eine Datenschutzfolgenabschätzung i. d. R. erforderlich. Bei LLM-Anbietern in den USA ist zu prüfen, ob diese nach dem Data Privacy Framework zertifiziert sind. Ist dies nicht der Fall, sind EU-Standarddatenschutzklauseln abzuschließen.

____________________________________________

Dies ist eine Kurzfassung des Beitrages NWB 2024 Seite 420-432

SNEAK 👀 – Exklusiv bei tax&bytes! Lesen Sie den Artikel jetzt kostenlos und in voller Länge in der NWB-Datenbank 🤫

→ BEITRAG

 

Hessischefinazverwaltung NEWS 1920X1080px
16.500 Beschäftigte erhalten KI-Zugang

Hessische Finanzverwaltung führt KI-Assistent Vibe ein

Nach einer erfolgreichen Pilotphase stattet Hessen alle Beschäftigten seiner Finanzverwaltung mit einem KI-Assistenten aus. Die Einführung soll Routineaufgaben erleichtern, Arbeitsprozesse beschleunigen und den flächendeckenden KI-Einsatz in der Verwaltung weiter vorantreiben.

Werner BLOG 1920X1080px (1)
Warum Struktur wichtiger ist als Dateien

Wie aus Custom GPTs und Skills sinnvolle Kanzleiassistenten entstehen

Stefan Werner zeigt, wie Steuerkanzleien Projekte, Custom GPTs und Skills in ChatGPT unterscheiden und wie sie sinnvoll für die eigene Arbeit eingesetzt werden können.

Mellinghoff RECAP 1920X1080px
Recap: LMUDigiTax Konferenz 2026

Vollautomatisierte Veranlagung: Service, Recht & Systemrealität

Wie weit kann die Steuerverwaltung bei der vollautomatisierten Veranlagung gehen? Hessen testet Festsetzungsvorschläge mit Zustimmung, Bayern startet ab 1. Juli 2026 die „Steuererklärung mit einem Klick“ in ELSTER. Datenqualität, Risikomanagement und Haftung bleiben Grenzen.