In Zeiten von immer leistungsstärkeren KI-Systemen stellt sich die Frage, ob künstliche Intelligenz nicht auch die Rolle des Datenschutzbeauftragen obsolet macht. Schließlich eignet sie sich zumindest auf den ersten Blick als Beratungs-Tool auch zu datenschutzrechtlichen Fragen und erscheint sogar im Stande, Mitarbeiter zu personenbezogenen Daten zu schulen.
Die Antwort des Gesetzgebers dahingehend ist jedoch eindeutig: Die DSGVO setzt voraus, dass die Benennung des Datenschutzbeauftragten „auf der Grundlage beruflicher Qualifikation und insbesondere des Fachwissens auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis“ erfolgen muss. Dies zusammen mit der englischen Sprachfassung des Art. 38 (“to maintain his or her expert knowledge“) impliziert, dass die Expertise einer natürlichen Person vorausgesetzt wird.
Auch unabhängig von dem eindeutigen Wortlaut der DSGVO ergeben sich strenge Dokumentations- und Überwachungspflichten nach der KI-Verordnung beim theoretischen Einsatz eines autarken „KI-Datenschutzbeauftragten“. Im Zweifel unterläge ein solches KI-System wiederum der Pflicht zur menschlichen Kontrolle, womit das Amt des Datenschutzbeauftragten ohnehin nicht entfallen könnte.
Generell kann damit gesagt werden, dass ein KI-Tool durchaus das Potential besitzt, die Arbeit des Datenschutzbeauftragten effektiver zu gestalten. Menschliche Aufsicht bleibt aber rechtlich und auch faktisch unabdingbar.
Mit einem KI-Tool kann die Pflicht zur Benennung eines Datenschutzbeauftragten also nicht umgangen werden. Gegebenenfalls können bei einem Verstoß sogar Bußgelder verhängt werden.
(Dr. Lukas Mezger, Unverzagt Law)