Jetzt haben wir uns mit der Erstellung von zwei Dokumenten für unsere Datenschutzunterlagen beschäftigt. Menschen sind unterschiedlich leidensfähig, aber spätestens bei der Erstellung eines Verzeichnisses der Verarbeitungstätigkeiten fragt man sich doch: Wer hat so viel Zeit? Geht das nicht schneller?
Kann das nicht eine KI machen?
Die kurze Antwort: KI wird jedenfalls ein Ergebnis produzieren.
Disclaimer: Dieser Text stellt keine Rechtsberatung dar. Auf Fragen des Arbeitsrechts und der KI-Verordnung wird nicht eingegangen.
KI kann Zeit sparen und bei vielen Aufgaben eine große Hilfe sein. KI kann aber auch Fehler produzieren und irreführende oder sprachlich bzw. grammatisch falsche Ergebnisse liefern. Wer etwas Erfahrung in der Arbeit mit LLM (Large Language Model) gemacht hat, hat wahrscheinlich erkannt, dass es kein Allheilmittel ist. Es ist ein Arbeitsmittel, dessen Output man keinesfalls ungeprüft verwenden kann. Wenn man nicht weiß, was man tut, hängt die weitere Verwendbarkeit der Ausgabe eines LLM weitgehend vom Zufall ab. Versuche als unregistrierter Nutzer von ChatGPT mit Prompts wie „Erstelle eine Datenschutzerklärung.“ oder „Wie schreibe ich ein Verzeichnis der Verarbeitungstätigkeiten?“ sind zum Scheitern verurteilt.
Schon grundsätzlich kann es nur darum gehen, dass man sich beim Aufbau des Dokuments unterstützen lässt. Die Informationen über die Datenverarbeitungen beim Verantwortlichen muss man anschließend in diesen Rahmen einfügen. Denn woher soll das LLM denn z.B. wissen, welche Verarbeitungstätigkeiten in der Personalabteilung durchgeführt werden? Wird kein System verwendet, das in die Infrastruktur des Verantwortlichen integriert ist, gilt: Unternehmensdaten und personenbezogene Daten dürfen in keinem Fall in den Prompt geraten. Hier droht neben den Sanktionen der DSGVO sogar eine persönliche Strafbarkeit des Nutzers, etwa wenn ich, als Rechtsanwalt gesetzlich zur Verschwiegenheit verpflichtet, Informationen über Mandanten mit OpenAI teile.
Unabhängig davon, ob man KI nutzt oder nicht, muss man wissen, was das Dokument alles enthalten soll, wenn es fertig ist. Nur so kann man beurteilen, ob der KI-generierte Rahmen für die Informationen passt, die hineinmüssen. Verarbeitungstätigkeiten, Zwecke der Verarbeitung, entsprechende jeweilige Speicherdauer sowie die Technischen und Organisatorischen Maßnahmen sind nur einige Beispiele von Aspekten, die höchst individuell und daher von Verantwortlichem zu Verantwortlichem unterschiedlich sind. Das Erfassen dieser Informationen steht am Anfang jeder Erstellung oder Überarbeitung eines datenschutzrechtlichen Dokuments.
Schließlich gilt es, das Ergebnis zu prüfen. Ist der Aufbau vollständig und schlüssig? Sind die Vorschriften, die zitiert werden, korrekt? Falls ja, kann nun eingepflegt werden, was dieses Unternehmen an Verarbeitungstätigkeiten zu bieten hat.
Man sieht also: Ein LLM kann Zeit sparen. Es gibt allerdings keinen Unterschied in der Art oder dem Umfang der Daten, die man bereithalten muss. Dieser Aufwand bleibt.
EXKURS: Generatoren
Von KI zu unterscheiden sind sog. Generatoren. Diese werfen üblicherweise Textbausteine aus abhängig von den Eingaben, die man gemacht hat. Das kann Zeit sparen, aber auch hier geht es nicht ohne Kenntnisse aus dem Inneren des Verantwortlichen. Allerdings habe ich schon eine Datenschutzerklärung auf einer Website gesehen, in der – nicht auf der Seite „Datenschutz“, diese ist leer, sondern unter „Impressum“ – lang und breit von Cookies die Rede ist, obwohl tatsächlich gar keine verwendet werden. Kein Google Analytics also. Der Abschnitt zu einer Verarbeitung durch Google Analytics nimmt dennoch gut ein Viertel des gesamten Texts ein! Für Fragen wird an den Datenschutzbeauftragten verwiesen. Ein solcher ist allerdings gar nicht bestellt. Ganz unten folgt dann der Hinweis auf den Generator. Keine gute Werbung. Ob hier am richtigen Ende gespart wurde, muss jeder für sich selbst wissen. Die Risikoabwägung, die dieser Verantwortliche vorgenommen hat, scheint ihm jedenfalls bisher Recht zu geben.
Fazit
Wenn man einem LLM den richtigen Prompt gibt und sein Ergebnis auf Vollständigkeit und Richtigkeit prüfen (oder prüfen lassen) kann, kann man ggfs. Zeit sparen. Man darf jedoch nicht naiv prompten und die erhaltenen Antworten für bare Münze nehmen. Das Zusammentragen von Informationen über die Verarbeitungen beim jeweiligen Verantwortlichen bleibt auch bei Nutzung von KI niemandem erspart. Diese Daten in das KI-generierte Gerüst eingeben muss man ebenfalls selbst. Das hier Gesagte gilt im Prinzip auch für andere Hilfsmittel wie Generatoren.
Und man kann sich natürlich Rat bei einem Datenschutzbeauftragten oder Rechtsanwalt holen. Das Thema vollständig an Externe abzugeben und zu hoffen, dass man es dann los ist, finde ich aber aus folgenden Gründen falsch.
- Bei allem Verständnis für die wirtschaftlichen Zwänge von Unternehmen, Vereinen, Behörden, usw.: Datenschutz hat mit dem Schutz von Persönlichkeitsrechten zu tun. Ich halte es für richtig, dass man sich zumindest in den Grundzügen mit diesem Thema beschäftigt – nicht nur, weil etwas schief gehen kann (Beschwerde von Betroffenen oder Kunden, Datenpanne, Anfrage der Datenschutzbehörde), sondern weil man einen gewissen Respekt vor seinen Mitmenschen haben sollte und ihre Persönlichkeitsreche daher Achtung verdienen.
- Man weiß was in den Unterlagen steht und kann Behörden und Betroffenen ohne Weiteres Auskunft geben. Ohne das Wissen um die Verarbeitungstätigkeiten beim jeweiligen Verantwortlichen geht es ohnehin nicht, denn jeder externe Problemlöser ist darauf angewiesen, dass man ihm die erforderlichen Informationen mitteilt.
- Man verlässt sich nicht auf jemand anderen. Einmal von Externen erstellte Unterlagen müssen aktuell gehalten werden, aber dafür ist intern meist niemand zuständig. So ist die teure Dokumentation nach wenigen Monaten schon veraltet.
Ich bin immer für pragmatische und wirtschaftliche Lösungen. Die Serie DIY Datenschutz nimmt nicht umsonst Bezug auf das eigenständige Füllen von Seiten durch Textproduktion. Betroffene, Kunden und Datenschutzbehörden wollen schließlich etwas lesen. Das Ergebnis ist vielleicht nicht 120% perfekt, aber es sollte natürlich nicht völlig falsch sein.