Künstliche Intelligenz datenschutzkonform nutzen: Einblicke von Maximilian Kröpfl

Business Circle: Sehr geehrter Herr Mag. Kröpfl, eingangs etwas Persönliches: Sie sind Gründer der Datenschutzinformationsplattform rekono.io. Was hat Sie dazu bewogen, diese Plattform zu gründen, und was waren die wichtigsten Meilensteine seit der Gründung?

Maximilian Kröpfl: Rekono.io ist eine Wissens- und Informationsinitiative für den europäischen Datenschutz. Alles begann aus einer simplen Frustration heraus: Ich musste unter extremem Zeitdruck eine komplexe Datenschutzfrage beantworten, für die es in Österreich keine Rechtsprechung gab. Das Durchsuchen verschiedener Rechtsdatenbanken anderer EU-Mitgliedstaaten und öffentlicher Quellen nahm dabei bereits einen Großteil der Zeit in Anspruch, da es keine zentrale Abfragemöglichkeit gab. Die relevanten Informationen standen nicht strukturiert auf Knopfdruck zur Verfügung.

Heute, fast vier Jahre später, umfasst der Rekono Privacy Index knapp 16.000 strukturierte Einträge aus Österreich, Deutschland, Belgien sowie von den Gerichten der Europäischen Union. Tausende Leitsätze wurden bereits daraus abgeleitet. Dieses gesammelte Wissen steht bereit und erleichtert mir meine tägliche Arbeit als Rechtsanwalt erheblich. Ich habe so stets einen umfassenden Überblick über den Status Quo und finde thematisch relevante Entscheidungen schneller. Zusätzlich bieten wir mehrere kostenlose und kostenpflichtige Wissensprodukte an, die im Unternehmen unterstützen.

Wie ich oft betone: Die DSGVO wird in 27 Mitgliedstaaten täglich zivil- und verwaltungsrechtlich ausgelegt und angewendet. Es ist sehr wahrscheinlich, dass eine aktuelle Frage bereits anderswo behandelt wurde – man muss sie nur mit vertretbarem Aufwand finden können. Deshalb wird rekono.io kontinuierlich weiterentwickelt. Derzeit arbeiten wir an der Integration weiterer Jurisdiktionen sowie der Einbindung sogenannter "grauer Literatur", wie Leitlinien des Europäischen Datenschutzausschusses oder nationaler Aufsichtsbehörden. Eine besondere Herausforderung stellt dabei die exakte Übersetzung ins Deutsche dar, der wir uns mithilfe von KI-Modellen und klaren Qualitätssicherungsregeln stellen.

BC: Sie haben ja nicht nur als Anwalt gearbeitet, sondern auch als Legal Expert Data Privacy in einem großen Unternehmen. Diese Tätigkeiten lagen zeitlich auseinander. Wie können Sie aus diesen Erfahrungen und aus beiden Perspektiven Nutzen ziehen?

Kröpfl: Durch meine frühere Tätigkeit in einem führenden österreichischen Kommunikationskonzern konnte ich aus erster Hand erfahren, welche praktischen Herausforderungen sich bei der Umsetzung von Datenschutzvorgaben stellen. Es war eine besonders spannende Zeit, weil die DSGVO noch in der finalen Verhandlungsphase war. Datenschutz im Unternehmen und eine gute betriebliche Datenschutzpraxis konnten aktiv mitgestaltet werden. Eine ehemalige Kollegin berichtete mir kürzlich, dass einige der damals erstellten Informationsblätter im Unternehmen noch immer genutzt werden – auch wenn manche Aussagen nach den Jahren sicherlich überarbeiten müsste.

Diese Erfahrungen zeigen mir, dass Datenschutz im Unternehmen weit mehr ist als nur die Anwendung gesetzlicher Vorschriften. Wenn Datenschutzverantwortliche bei der Geschäftsleitung oder in den Fachabteilungen auf Widerstand stoßen, bin ich gerne der kreative Sparringspartner, um alle Beteiligten ins Boot zu holen. Als Rechtsanwalt sehe ich meine Aufgabe darin, den möglichen Bewegungsspielraum auf Basis von Gesetzen, Rechtsprechung und Meinungsstand aufzuzeigen und Entscheidungsprozesse zu unterstützen. Meine duale Perspektive hilft mir, praxisnahe Lösungen zu entwickeln und die Bedürfnisse von Unternehmen jenseits von Recht und Compliance besser zu verstehen. Die Letztentscheidung bleibt jedoch immer beim Unternehmen.

BC: Wie sieht die Haftungssituation aus, wenn eine KI gegen Datenschutzvorgaben verstößt – wer trägt die Verantwortung? Und gibt es dazu bereits Präzedenzfälle?

Kröpfl: Eine KI verstößt nicht gegen den Datenschutz – sie ist ein System aus Algorithmen, mathematischen Modellen und statistischen Methoden. Nicht das Auto verursacht Unfälle, sondern der Fahrer. Wer ein Modell mit personenbezogenen Daten trainiert, ist für die damit verbundenen Verarbeitungen datenschutzrechtlich verantwortlich. Wer KI einsetzt oder ein KI-System nutzt, muss sich dessen Auswirkungen ebenfalls zurechnen lassen.

Für eine datenschutzrechtliche Haftung auf Schadenersatz bedarf es eines Verstoßes gegen die DSGVO, der einen Schaden verursacht. Beispielsweise könnte das KI-Training mit personenbezogenen Daten gegen die DSGVO verstoßen, wenn es nicht auf ein berechtigtes Interesse gestützt werden kann oder besondere Garantien nach Art 9 DSGVO fehlen. Ebenso kann eine Verletzung der Informationspflicht nach Art 14 DSGVO in Frage kommen. Auch bei der Anwendung von KI-Systemen sind Fragen der Rechtmäßigkeit und Transparenz der Datenverarbeitung relevant. Da die meisten Unternehmen keine eigenen KI-Modelle hosten, sondern externe Anbieter nutzen, könnten Verstöße gegen Vorschriften zur Auftragsverarbeitung und zum internationalen Datentransfer problematisch sein. Besonders heikel wird es, wenn KI-Systeme neue Informationen zu einer Person generieren. Grundsätze wie Treu und Glauben, Datenminimierung und Richtigkeit gelten auch hier. Allerdings führt nicht jeder Verstoß automatisch zu einem Schaden, der zu ersetzen wäre.

Die Datenschutzbehörden können in solchen Fällen Verwaltungsstrafen verhängen. Zudem möchte ich nicht auszuschließen, dass Mitbewerber aktiv werden. Ob das geht, werde ich gemeinsam mit meinem Kollegen Michael Cepic bereits am 20. Februar auf der IRIS '25 diskutiert.

Die Rechtsabteilung ist nicht Gegner, sondern Partner.

BC: Zum Thema Datenschutz- & KI-Governance: Welche Rolle sollte der Datenschutzbeauftragte spielen, und welche die Rechtsabteilung bei der Implementierung von KI-Systemen?

Kröpfl: Die Rolle des Datenschutzbeauftragten ist beratend. Dies wird im Unternehmensalltag oft vergessen. Wann immer personenbezogene Daten verarbeitet werden, sollte der Datenschutzbeauftragte eingebunden sein. Auch die Rechtsabteilung ist hierbei beim Einsatz von KI kein Gegner, sondern ein wertvoller Partner.

Die Einbindung dieser Akteure ist entscheidend, weil Datenschutzrisiken nur eine von vielen Herausforderungen bei der KI-Implementierung sind. Fragen zu Lieferantenmanagement, Know-how-Schutz oder geistigem Eigentum spielen ebenfalls eine Rolle. Eine effektive Governance sollte all diese Risiken systematisch erfassen und steuern. Hier sind der Datenschutzbeauftragte und die Rechtsabteilung wertvolle Ansprechpartner.

BC: Wie schätzen Sie die bisherige Haltung der Datenschutzbehörden zum Einsatz von KI in Unternehmen ein? Wo gibt es klare Leitlinien, und wo bestehen noch Grauzonen?

Kröpfl: Bisher zeigen die Datenschutzbehörden eine eher vorsichtige Haltung. Während es klare Vorgaben zu bestimmten Aspekten der Datenverarbeitung gibt, sind viele Fragen rund um den Einsatz von KI noch ungeklärt. Der Europäische Datenschutzausschuss hat zwar Leitlinien veröffentlicht, doch in der Praxis bleiben viele offene Punkte; auch jenseits des Datenschutzes.

Es wird entscheidend sein, wie zukünftige Entscheidungen der Datenschutzbehörden und Gerichte diesen Rahmen gestalten. Abschließend klar sind alle von den Datenschutzbehörden und dem Europäischen Datenschutzausschuss behandelten Fragestellungen jedoch erst, wenn sie der EuGH verbindlich ausgelegt hat. Bis dahin muss man den Ansatz fahren, den ich mit rekono.io bereits beim Datenschutz gestartet habe: Einen holistischen Überblick schaffen und einen etwaigen Tenor über Behörden- und Landesgrenzen hinweg destillieren.

BC: Wohin gehen die Daten, die beim Prompting eingegeben werden? Und wie stellt man am besten sicher, dass Datenschutzrichtlinien eingehalten werden – insbesondere bei personenbezogenen oder patentrechtlich geschützten Daten?

Kröpfl: Das kommt darauf an, was man macht und verwendet. Alle Welt spricht von ChatGPT oder Gemini. Dabei wird in der Diskussion aber gerne vergessen, dass Unternehmen auch selbst Modelle trainieren können und es mittlerweile gar nicht so wenige Modelle open-source gibt, die man selbst hosten und bei Bedarf auch anpassen und weitertrainieren kann. Sobald man jedoch nicht selbst hostet, sondern beispielsweise OpenAI einsetzt, kommt es natürlich zu einer Offenlegung und Verarbeitung des Prompts. Das ist für sich noch unproblematisch, löst jedoch womöglich einzelne Pflichten aus.

Mit Ihrer Frage nach der "Datenschutzrichtlinie" bringen Sie mich auf ein oft gehörtes Missverständnis in der KI-Diskussion. Es geht nicht nur um den eigentlichen Datenschutz. Es geht um Informationsschutz; egal, ob diese Informationen nun personenbezogen sind oder nicht. Was es somit braucht, ist keine eigene Datenschutzrichtlinie für den KI-Einsatz oder das richtige Prompting, sondern die holistische Betrachtung von Risiken und gesetzlichen Vorgaben beim Einsatz von KI. Wir haben in der Kanzlei beispielsweise einen klaren Pfad implementiert: Wir legen fest, welche KI-Systeme überhaupt zum Einsatz kommen und sorgen durch vertragliche, organisatorische und technische Maßnahmen dafür, dass einerseits Rechte Dritter – hierzu gehört der Datenschutz, aber auch das Standesrecht – im erforderlichen Umfang gewahrt werden und andererseits unser internes Know-How und die Interna und Geheimnisse unserer Mandanten durch den Einsatz keinem zusätzlichen Risiko ausgesetzt werden. Auch gilt bei uns eine mittlerweile recht umfassende KI-Leitlinie, die nicht nur die allgemeinen Regeln, sondern auch auf das KI-System hinuntergebrochen, die erlaubten Anwendungsfälle vorschreibt; das Risiko richtet sich schließlich nach dem Anwendungsfall. Das geht soweit, dass wir regeln, ob und wie der Output weiterverarbeitet werden darf. Operativ setzen wir – weil wir uns das aufgrund der Kanzleigröße und der geringen Fluktuation leisten können – auf einen Schulungsvorbehalt für alle MitarbeiterInnen. Das bedeutet nicht, dass wir alle durch eine mühsame Powerpoint-Präsentation quälen. Wir setzen beim jeweiligen KI-System an und qualifizieren in der Verwendung und nicht in den abstrakten Dos und Don'ts.

Informationen, die einmal patentrechtlich geschützt sind, können problemlos in Prompts verwendet werden – schließlich können sie öffentlich in Patentregistern abgefragt werden. Problematisch ist es aber bei Arbeitsergebnissen, die ansich patentfähig wären, aber womöglich ihren Schutz verlieren, weil sie durch einen Prompt nicht mehr "neu", weil der Öffentlichkeit zugänglich gemacht, sind. Hier muss man einfache klare Regeln im Unternehmen festlegen; Sie können und wollen nicht jedem Mitarbeiter ständig über die Schulter schauen. Aber auch in die andere Richtung kann es Probleme geben. Durch KI-Systeme anhand eines Prompts eines Mitarbeiters erstellte Arbeitsergebnisse können ein Asset des Unternehmens darstellen. Abhängig von den weiteren Umständen kann das durchaus zur Folge haben, dass die klassischen Schutzrechte nicht greifen. Dann müssen sich Unternehmen auf den Geschäftsgeheimnisschutz zurückziehen – das ist nicht nur aufwendig, sondern setzt auch funktionierende Geheimhaltungsmaßnahmen im Unternehmen voraus. Das soll Unternehmen nicht davon abhalten KI als Werkzeug zu verwenden, sondern soll nur die mannigfaltigen Themen illustrieren, die man beachten muss, wenn man KI im Unternehmen einsetzt.

BC: Abschließend: Sie kennen Business Circle ja bereits als Teilnehmer. Worauf freuen Sie sich bei der „Legal Innovation“ am meisten?

Kröpfl: Ich kann mit dem Begriff "Legal Tech" wenig anfangen. Legal Innovation gefällt mir dafür umso besser. Es geht nämlich nicht darum, den Rechtsbereich zu technisieren, sondern darum, technischen Fortschritt für sich zu nutzen. Und das ist extrem spannend – wenn man sich mit Hirn darauf einlässt. Kröpfl: Den Teilnehmern auf der Legal Innovation im April unterstelle ich, dass sie sich auf diese Reise eingelassen haben. Die Teilnehmer haben verstanden, dass mit dem Zauber, der jedem Anfang inne wohnt, auch gerne Hype genannt, auch die Verantwortung einher geht, KI und alles, was es beim genauen Hinsehen gar nicht ist, zum Besseren auszuwählen und einzusetzen. Zum Wohl des Unternehmens, der Mitarbeiter, der Kunden und, wenn ich so pathetisch sein darf, der Allgemeinheit. In diesem Sinne freue ich mich auf den Austausch.

BC: Sehr geehrter Herr Mag. Kröpfl, vielen Dank für dieses tiefgründige Gespräch, wir freuen uns, Sie zur Vienna Legal Tech ‘25 zu begrüßen!

‍