Der Grundsatz der Zweckbindung beschränkt die Verwendung personenbezogener Daten auf den/die ursprünglichen Zweck(e) oder auf solche Zwecke, die damit vereinbar sind. Die Entwicklung einer KI erfordert jedoch, dass Daten recht häufig wiederverwendet werden. Darüber hinaus kann es vorkommen, dass das KI-Tool die Daten automatisch wiederverwendet (was im Falle des Deep Learning sicherlich der Fall ist). Diese Situationen führen zu Spannungen zwischen den KI-Trainingstechniken und dem Grundsatz der Zweckbindung.

Um eine unrechtmäßige Datenverarbeitung zu vermeiden, sollten Verantwortliche, die KI-Systeme einsetzen, den Zweck der Verarbeitung „zu Beginn des Trainings oder Einsatzes festlegen und diese Festlegung neu bewerten, falls die Verarbeitung des Systems unerwartete Ergebnisse liefert, da er verlangt, dass personenbezogene Daten nur für „festgelegte, eindeutige und legitime Zwecke“ erhoben und nicht in einer Weise verwendet werden, die mit dem ursprünglichen Zweck unvereinbar ist“^[1] (siehe Abschnitt „Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen“ im Kapitel „Konzepte“).

Die Weiterverwendung von Daten bei der Entwicklung eines KI-Tools bringt große Herausforderungen in Bezug auf die Zweckbindung mit sich. KI-Systeme verarbeiten personenbezogene Daten in verschiedenen Phasen und für eine Vielzahl von Zwecken. Infolgedessen kann ein Verantwortlicher unter Umständen einzelne Verarbeitungsvorgänge nicht unterscheiden und Daten für andere Zwecke verarbeiten als die, für die sie ursprünglich erhoben wurden. Die Verantwortlichen sollten besonders auf diese Situationen achten, da sie zu einem Verstoß gegen den Datenschutzgrundsatz der Rechtmäßigkeit führen könnten^[2] (siehe Unterabschnitt „Verwendung für unvereinbare Zwecke“, Abschnitt „Zweckbindung“, Kapitel „Grundsätze“).

Die Verantwortlichen müssen berücksichtigen, dass die Bestimmung der angemessenen Rechtsgrundlage an die Grundsätze von Treu und Glauben (Fairness) und der Zweckbindung gebunden ist.^[3] Siemüssen die Rechtsgrundlage wählen, die der wahren Natur ihrer Beziehung zu der betroffenen Person und dem Zweck der Verarbeitung am ehesten entspricht. Diese Entscheidung ist von grundlegender Bedeutung, da die Rechtsgrundlage für die Verarbeitung infolge des Grundsatzes der Zweckbindung nur dann geändert werden darf, wenn es stichhaltige Gründe gibt, die dies rechtfertigen. Wenn die KI-Entwickler planen, einen Datensatz in verschiedenen Phasen (z. B. Training, Validierung oder Einsatz) zu verwenden, sollten sie diese Schritte als unterschiedliche und separate Zwecke betrachten.^[4] Darüber hinaus müssen sie die Art der Beziehung berücksichtigen, die sie mit der betroffenen Person unterhalten. So könnte beispielsweise die Einwilligung eine geeignete Rechtsgrundlage für die Verarbeitung sein, wenn ein ständiger Kontakt mit den betroffenen Personen besteht und die Verantwortlichen in der Lage sind, von den betroffenen Personen nacheinander Einwilligungen für verschiedene Verwendungszwecke oder für mehrere verschiedene Verarbeitungsvorgänge einzuholen, bevor die Verarbeitung beginnt. Im Falle der KI ist es jedoch oft schwierig, diese Art von Beziehung aufrechtzuerhalten, da künstliche Intelligenz oft durch die Aggregation und Zusammenführung großer Datensätze entsteht.

Nicht zuletzt sollten sich die Verantwortlichen darüber im Klaren sein, dass die Rechtsvorschriften der Union oder der Mitgliedstaaten für die Verarbeitung personenbezogener Daten zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecke Ausnahmen von den in den Artikeln 15, 16, 18, 21 und 21 festgelegten Rechten der betroffenen Personen vorsehen können. Die Verarbeitung dieser Daten zu anderen Zwecken als denen, für die sie ursprünglich erhoben wurden, sollte daher rechtmäßig sein, sofern geeignete technische und organisatorische Maßnahmen, insbesondere zur Datenminimierung, getroffen werden. (siehe Abschnitt „Datenschutz und wissenschaftliche Forschung“ in diesen Leitlinien).

Checkliste: Zweckbindung[5] ☐ Die Verantwortlichen haben ihren Zweck oder ihre Zwecke für die Verarbeitung eindeutig festgelegt. ☐ Die Verantwortlichen haben diese Zwecke dokumentiert. ☐ Die Verantwortlichen haben Details zu ihren Zwecken in die Datenschutzerklärungen für natürliche Personen aufgenommen. ☐ Die Verantwortlichen überprüfen regelmäßig die Verarbeitung und aktualisieren gegebenenfalls ihre Dokumentation und die Informationen zum Schutz der Privatsphäre von Personen. ☐ Wenn die Verantwortlichen beabsichtigen, personenbezogene Daten für einen neuen Zweck zu verwenden, der nicht auf einer rechtlichen Verpflichtung oder einer gesetzlich festgelegten Funktion beruht, prüfen sie, ob dies mit dem ursprünglichen Zweck vereinbar ist, oder sie holen eine spezifische Einwilligung für den neuen Zweck ein.

Zusätzliche Informationen Artikel-29-Datenschutzgruppe (2013) Stellungnahme 03/2013 zur Zweckbindung. Europäische Kommission, Brüssel. Verfügbar unter: https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2013/wp203_en.pdf CIPL (2020) Artificial intelligence and data protection: how the GDPR regulates AI. Centre for Information Policy Leadership, Washington DC / Brüssel / London. Verfügbarunter: www.informationpolicycentre.com/uploads/5/7/1/0/57104281/cipl-hunton_andrews_kurth_legal_note_-_how_gdpr_regulates_ai__12_march_2020_.pdf EDSA (2018), Leitlinien 2/2019 für die Verarbeitung personenbezogener Daten gemäß Artikel 6 Absatz 1 Buchstabe b DSGVO im Zusammenhang mit der Erbringung von Online-Diensten für betroffene Personen, angenommen am 9. April 2019, Seite 6. Europäischer Datenschutzbeauftragter, Brüssel. Verfügbar unter: https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines-art_6-1-b-adopted_after_public_consultation_de_0.pdf ICO (2020) Guidance on the AI auditing framework: draft guidance for consultation. Information Commissioner’s Office, Wilmslow. Verfügbarunter: https://ico.org.uk/media/about-the-ico/consultations/2617219/guidance-on-the-ai-auditing-framework-draft-for-consultation.pdf ICO (keineDaten) Principle (b): purpose limitation. Information Commissioner’s Office, Wilmslow. Verfügbarunter: https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/principles/purpose-limitation/

 

1. CIPL (2020) Artificial intelligence and data protection: how the GDPR regulates AI. Centre for Information Policy Leadership, Washington DC / Brüssel / London, Seite 6. Hervorgehoben durch den Autor. Verfügbar unter: www.informationpolicycentre.com/uploads/5/7/1/0/57104281/cipl-hunton_andrews_kurth_legal_note_-_how_gdpr_regulates_ai__12_march_2020_.pdf(abgerufen am 17. Mai 2020). ↑
2. ICO (2020) Guidance on the AI auditing framework: draft guidance for consultation. Information Commissioner’s Office, Wilmslow. Verfügbar unter: https://ico.org.uk/media/about-the-ico/consultations/2617219/guidance-on-the-ai-auditing-framework-draft-for-consultation.pdf(abgerufen am 15. Mai 2020). ↑
3. EDSA (2018), Leitlinien 2/2019 für die Verarbeitung personenbezogener Daten gemäß Artikel 6 Absatz 1 Buchstabe b DSGVO im Zusammenhang mit der Erbringung von Online-Diensten für betroffene Personen, angenommen am 9. April 2019, Seite 6. Europäischer Datenschutzbeauftragter, Brüssel. Verfügbar unter: https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines-art_6-1-b-adopted_after_public_consultation_de_0.pdf (abgerufen am 15. Mai 2020). ↑
4. ICO (2020) Guidance on the AI auditing framework: draft for consultation. 2020. Information Commissioner’s Office, Wilmslow. Verfügbar unter: https://ico.org.uk/media/about-the-ico/consultations/2617219/guidance-on-the-ai-auditing-framework-draft-for-consultation.pdf (abgerufen am 15. Mai 2020). ↑
5. ICO (keineDaten) Principle (b): purpose limitation. Information Commissioner’s Office, Wilmslow.Verfügbar unter: https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/principles/purpose-limitation/(abgerufen am 17. Mai 2020). ↑