KI-Training mit sensiblen Daten nach OLG Köln – Was Healthcare- & Pharma-Unternehmen jetzt wissen müssen

Eine Verarbeitung personenbezogener Daten ist rechtmäßig, wenn mindestens eine der in Art. 6 Abs. 1 UAbs. 1 Datenschutz-Grundverordnung (DSGVO) genannten Bedingungen erfüllt ist. Deutsche und europäische Aufsichtsbehörden raten hier regelmäßig dazu, die Datenverarbeitung auf die Erforderlichkeit zur Wahrung berechtigter Interessen (Art. 6 Abs. 1 UAbs. 1 Buchstabe f DSGVO) zu stützen.

Das Problem: Handelt es sich um eine Verarbeitung von personenbezogenen Daten besonderer Kategorie (zum Beispiel von Gesundheitsdaten), so muss außerdem einer der in Art. 9 Abs. 2 DSGVO genannten Ausnahmefälle vorliegen.

Die folgenreiche Entscheidung der Kölner Richter

Nun hat das OLG Köln ein Urteil zur Reichweite des Verarbeitungsverbots gefällt.

Die Entscheidung enthält eine Reihe wichtiger Aussagen für das KI-Training mit sensiblen Daten:

1. Mischdatensätze, also Datensätze, die sowohl personenbezogene Daten besondere Kategorie als auch „einfache“ personenbezogene Daten enthalten, unterfallen dem Verarbeitungsverbot aus Art. 9 Abs. 1 DSGVO.

2. Das Verarbeitungsverbot nach Art. 9 Abs. 1 DSGVO gilt nicht für Daten, die die betroffene Person offensichtlich öffentlich gemacht hat. Allerdings ist die Ausnahmevorschrift eng auszulegen und kann daher lediglich die Verarbeitung solcher Daten rechtfertigen, die ein Nutzer zur eigenen Person mitteilt; im Hinblick auf die Daten Dritter ist die Ausnahmeregel dagegen nicht anwendbar.

3. Das Verbot in Art. 9 Abs. 1 DSGVO soll nach dem OLG Köln einer „Aktivierung“ durch den Betroffenen bedürfen. Das in Art. 9 Abs. 1 DSGVO niedergelegte Verarbeitungsverbot soll jedenfalls dann, wenn es sich um eine unbeabsichtigte und nicht zielgerichtete Verarbeitung sensibler Daten handelt, nur nach einem Antrag der betroffenen Person greifen.

Kommentar zum OLG Köln

Insbesondere dieser letzte Punkt verdient umfassende Beachtung. Art.9-Daten unterliegen strengsten Verarbeitungsvoraussetzungen. Zahlreiche praxisorientierte Ansätze, dieses Verbot mit der Lebenswirklichkeit in Einklang zu bringen, wurden vom EuGH zurückgewiesen. Entsprechend wird weiterhin intensiv nach tragfähigen Lösungen gesucht.

Das OLG Köln stützt sich nun unter anderem auf die KI-VO und konstruiert einen pragmatischen Ansatz, um das vom EU-Gesetzgeber ausgerufene Gebot zu verwirklichen, vertrauenswürdige und menschzentrierte KI insbesondere auch zur Verbesserung der Gesundheitsversorgung zu entwickeln. Das Gericht eröffnet hier neue Argumentationsspielräume für alle Stellen, die im Rahmen der Entwicklung und des Trainings auch auf Art.9-Daten angewiesen sind.

Das OLG Köln hat insofern eine Entscheidung getroffen, die sich als Startschuss für einen Paradigmenwechsel erweisen könnte. Das absolute Verarbeitungsverbot muss in der Praxis fallbezogen relativiert werden. Mit lediglich abstrakt-typisierten Grundrechtskollisionen ist die notwendige Digitalisierung nicht erreichbar.

Was Unternehmen jetzt tun sollten

• Dateninventur: Prüfen Sie, ob und in welchem Umfang sensible Daten in Ihren Trainingsdatensätzen enthalten sind.
• Rechtsgrundlagen validieren: Evaluieren Sie, ob eine tragfähige Rechtsgrundlage nach Art. 6 und Art. 9 DSGVO besteht – und dokumentieren Sie diese.
• Technische Absicherung: Implementieren Sie technische Schutzmaßnahmen, um unbeabsichtigte Verarbeitung sensibler Daten zu verhindern.
• Verantwortung klären: Wer trägt wann die Verantwortung – und wie lässt sich diese haftungsfest operationalisieren?

Sie haben Fragen zur Entwicklung oder dem Betrieb vom KI-Systemen? Wir begleiten Sie praxisnah und lösungsorientiert – von der rechtlichen Machbarkeitsprüfung bis zur datenschutzkonformen Systemarchitektur.