Zum Inhalt springen Zur Navigation springen
Das Date zwischen Datenschutz und der Künstlichen Intelligenz

Das Date zwischen Datenschutz und der Künstlichen Intelligenz

Wir haben bereits im Dezember über Künstliche Intelligenz (KI) im Zusammenhang mit der Automatischen Entscheidungsfindung (ADM-System) berichtet. In der Welt der KI gibt es jedoch Neuigkeiten.

Was gibt es denn Neues?

Im vergangenen Jahr hatte die EU-Kommission eine hochrangige Expertengruppe in Form eines Gremiums beauftragt, eine Leitlinie für KI auf Grundlage von ethnischen Grundsätzen für die Entwicklung und Anwendung von KI-Systemen zu formulieren. Anfang April wurde diese Leitlinie vorgelegt – diese ist nicht bindend, jedoch wegweisend, da sie von Brancheninternen erstellt wurde. Dabei entstanden folgende Anforderungen an die Künstliche Intelligenz:

  • Technische Robustheit und Sicherheit
  • Vertraulichkeit und klare Datenhaltungsregeln
  • Transparenz
  • Nichtdiskriminierung
  • Berücksichtigung gesamtgesellschaftlicher Effekte und Maßnahmen zur Rechenschaftslegung

Europäische Mitgliedstaaten möchten parallel zur Leitlinie ein großes Investitionsprogramm starten. 20 Milliarden Euro sollen bis Ende 2020 in eine vertrauenswürdige KI Made in Europe investiert werden. Damit möchte die EU am Rennen von China und den USA dominierten Markt teilnehmen.

Die Richtlinie erhält jedoch aus den eigenen Reihen nicht nur positive Stimmen. Thomas Metzinger, Kommissionsmitglied, bemängelt, dass es innerhalb der Richtlinie in Wirklichkeit darum gehe, Zukunftsmärkte zu entwickeln und Ethikdebatten als elegante, öffentliche Dekoration für eine großangelegte Investitionsstrategie zu benutzen.

Die Hambacher Erklärung

Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) hat ebenfalls Anfang April eine Erklärung zu sieben datenschutzrechtlichen Anforderungen an KI veröffentlicht. Ziel der Erklärung ist es, den Grundrechtsschutz und den Datenschutz mit dem Prozess der Digitalisierung in Einklang zu bringen, um in Zukunft weiterhin als Mensch über Maschinen zu entscheiden und nicht umgekehrt. Die Umsetzung einer Künstliche Intelligenz in Verbindung mit der Wahrung der Freiheit und Demokratie stellt eine Herausforderung dar. Denn Entwicklungen und Anwendungen von KI müssen in demokratisch-rechtsstaatlicher Weise den Grundrechten entsprechen. Dies gilt vor allem für den Einsatz von selbstlernenden Systemen, die massenhaft Daten benötigen, um sich selber stetig zu verbessern.

KI darf Menschen nicht zum Objekt machen

Hierbei steht die Würde des Menschen nach Art. 1 Abs. 1 GG im Vordergrund. Der einzelne Bürger darf im Fall staatlichen Handelns mittels Künstlicher Intelligenz nicht zum Objekt gemacht werden. Doch wie sieht es aus, wenn Unternehmen Künstliche Intelligenz einsetzen, um automatisierte Entscheidungen mit rechtlicher Wirkung zu treffen? Dies ist nach Art. 22 DSGVO nur bedingt möglich.

Durch eine Verarbeitung personenbezogener Daten findet die DSGVO Anwendung, sodass die Grundsätze nach Art. 5 DSGVO eingehalten werden müssen. Es stellt sich die Frage, wie sich eine KI nach dem Grundsatz der Datenminimierung gem. Art. 5 Abs.1 lit.c DSGVO stetig verbessern soll. Im Sinne der Datenminimierung dürfen personenbezogene Daten ausschließlich den Zweck angemessen und erheblich sowie für den Zweck notwendigen Maß verarbeitet werden. Dies stellt ein Konflikt dar, da eine KI eine große Datenmenge benötigt, um Ihre Aufgaben zuverlässig auszuführen und eine stetige Verbesserung zu ermöglichen. Durch eine Limitierung könnte der weitere Entwicklungsprozesse zu Gunsten des Datenschutzes gehemmt werden.

KI darf nur für verfassungsrechtlich legitimierte Zwecke eingesetzt werden und das Zweckbindungsgebot nicht aufheben

Ebenfalls für KI-Systeme gilt das Zweckbindungsgebot nach Art. 5 Abs. 1 lit. b DSGVO. Demnach müssen erweiterte Verarbeitungszwecke mit dem ursprünglichen Erhebungszweck vereinbar sein. Damit soll ausgeschlossen werden, dass die KI ihren Verarbeitungszweck ändert. Zum Beispiel soll ein Chatbot, der zu Beginn Ihre Daten zum Zweck der Kundenbetreuung erhalten hat, diese jedoch nicht zusätzlich zu Werbezwecke verwenden, nur weil er einen möglichen wirtschaftlichen Vorteil darin erkennt.

KI muss transparent, nachvollziehbar und erklärbar sein

KI muss personenbezogene Daten in einer für die betroffene Person nachvollziehbaren Art und Weise verarbeiten. Hierbei tritt der Grundsatz der Transparenz nach Art. 5 Abs. 1 lit. a DSGVO ein. An dieser Stelle haben Unternehmen oftmals bedenken, da Sie unternehmensinterne Geschäftsgeheimnisse über Algorithmen verraten könnten.

Dies ist jedoch nicht Ziel der Transparenz. Im Fokus steht auf welcher Grundlage der Einsatz von KI-Systemen erfolgt. Es genügt nicht die Erklärbarkeit im Hinblick auf das Ergebnis, darüber hinaus muss die Nachvollziehbarkeit auf die Prozesse und das Zustandekommen von Entscheidungen gewährleistet sein. Hierfür muss ausreichend über die Logik aufgeklärt werden.

KI braucht einen Verantwortlichen

Sicherlich möchten Entwickler die menschliche Wahrnehmung und menschliches Handeln durch eine Maschine nachbilden. Dennoch stellt eine KI keine eigenständige natürliche oder juristische Person dar, sodass ein Verantwortlicher benötigt wird. Mögliche Verantwortliche sind der Entwickler oder das Unternehmen hinter der Entwicklung und dem Einsatz eines KI-Systems. Diese haben notwendige Maßnahmen zu treffen, um die rechtmäßige Verarbeitung, die Betroffenenrechte, die Sicherheit der Verarbeitung und die Beherrschbarkeit des KI-Systems zu gewährleisten. Die Verantwortung sieht ebenfalls vor, dass eine Datenschutz-Folgeabschätzung nach Art. 35 DSGVO erforderlich ist, da eine Verarbeitung personenbezogener Daten durch eine KI ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.

KI benötigt technische und organisatorische Standards

Datenschutz und Datensicherheit gehen bekanntlich Hand in Hand. Vor allem trifft dies bei KI-Systemen zu, da sie im digitalen Umfeld ausgeführt werden. Demnach sind technische und organisatorische Maßnahmen gem. Art. 24 und 25 DSGVO zu treffen. Problematisch hierbei ist der aktuelle Stand der Entwicklung. Für einen datenschutzkonformen Einsatz von KI-Systemen gibt es aktuell noch keine speziellen Standards oder detaillierte Anforderungen. Jedoch ist bei der Entwicklung von KI-Systemen stets darauf zu achten, den Grundsätzen des Privacy by design und Privacy by default zu folgen.

I`ll be back?

Die Künstliche Intelligenz steckt im Vergleich zu ihrem Potenzial noch in den Kinderschuhen, allerdings bietet dies die Chance den rechtlichen und vor allem den datenschutzrechtlichen Rahmen praktisch effektiv zu bilden. Die Wirtschaftlichkeit einerseits und das Persönlichkeitsrecht andererseits zu gewährleisten, stellt einen Drahtseilakt dar, welcher jedoch nicht unmöglich ist, da ein doppelter Boden in Form von Privacy by Design und Privacy by Default erstellt werden kann.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.