Künstliche Intelligenz und Datenschutz

Datenschutz verstehen –  Künstliche Intelligenz und Datenschutz

Künstliche Intelligenz und personenbezogene Daten – Die Berührungspunkte zwischen diesen beiden Bereichen sind sehr groß. Insbesondere selbstlernende Systeme haben in der Regel Zugriff auf eine große Menge an Daten. Durch die Fähigkeit, automatisiert Entscheidungen zu treffen, wächst auch die Gefahr für die Rechte und Freiheiten von betroffenen Personen.

Die neue europäische Datenschutz-Grundverordnung (DSGVO) beinhaltet diverse Vorgaben in Bezug auf den Einsatz von Künstlicher Intelligenz. Datenschutz ist daher stets ein zentraler Aspekt bei der Verwendung von K.I.-Systemen.

 

Was ist eigentlich Künstliche Intelligenz?

Zunächst einmal muss genau verstanden werden, was mit dem Begriff K.I. genau gemeint ist: Die Bundesregierung versteht unter Künstliche Intelligenz die derartige Konzeption von technischen Systemen, dass diese Probleme eigenständig bearbeiteten, sich selbst auf veränderte Bedingungen einstellen können und die Eigenschaft besitzen, aus neuen Daten zu lernen. 

Künstliche Intelligenz (KI) wird allgemein als Methode definiert, die zu rationalem und autonomen Schlussfolgerungen fähig ist, Handlungen oder Entscheidungsfindungen und/oder Anpassungen an eine komplexe Umgebung und an bisher ungesehene Umstände zu bestimmen. Sie ist tief im Bereich der Informatik verwurzelt und gruppiert verschiedene Gruppen von Techniken, die zu signifikanten Fortschritten bei der Automatisierung von Aufgaben auf menschlicher Ebene führen.

Insbesondere in der Medizin ist der Einsatz von K.I.-Systemen beliebt. Auf der Basis von technischen Systemen mit Künstlicher Intelligenz können beispielsweise automatisch komplexe Tumorstrukturen erkennen. Für die Bewertung von Bewerbungsunterlagen werden ebenfalls bereits Systeme mit einer künstlichen Intelligenz eingesetzt. Das K.I.-System bewertet in diesem Zusammenhang autonom alle Bewerber. 

 

Relevanz von Künstlicher Intelligenz in Deutschland

Die Bundesregierung hat eine offizielle Strategie in Bezug auf Künstliche Intelligenz veröffentlicht. Mit dieser Strategie will die Bundesregierung Deutschland an die Weltspitze der Entwicklung von Künstlicher Intelligenz bringen. In diesem Zusammenhang macht die Bundesregierung deutlich, dass sie sich in der Pflicht sieht, eine verantwortungsvolle und gemeinwohlorientierte Nutzung von KI voranzubringen: “Wir beachten dabei an unserer freiheitlich-demokratischen Grundordnung orientierte ethische und rechtliche Grundsätze im Hinblick auf den gesamten Prozess der Entwicklung und Anwendung Künstlicher Intelligenz. Die Empfehlungen der Datenethikkommission werden wir bei der Umsetzung der Strategie aufgreifen.” 

Entwickler und Nutzer von K.I.-Technologien sollen laut der Strategie der Bundesregierung bezüglich der ethischen und rechtlichen Grenzen der Nutzung Künstlicher Intelligenz sensibilisiert werden. Ferner sollen Entwickler und Nutzer auch geprüft werden, ob der Ordnungsrahmen für ein hohes Maß an Rechtssicherheit weiterentwickelt werden muss. 

 

Anforderungen der DSGVO an Künstliche Intelligenz

Um die Grundrechte und Grundfreiheiten von betroffenen Personen effektiv schützen zu können, müssen für die Entwicklung und den Einsatz von K.I.-Systemen, in denen personenbezogene Daten verarbeitet werden, Vorgaben aus der DSGVO beachtet werden. Insbesondere die Grundsätze der Datenverarbeitung gem. Art. 5 DSGVO sind bei der Datenverarbeitung durch K.I.-Systeme zu berücksichtigen (Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung. Für einen Verstoß gegen die Grundsätze der Datenverarbeitung droht gem. Art. 83 Abs. 5 lit. a) DSGVO ein Bußgeld von bis zu 20 Mio. Euro oder im Fall eines Unternehmens von bis zu 4 Prozent seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem, welcher der Beträge höher ist.

Durch frühzeitige Technikgestaltung gem. Art. 25 DSGVO in Form von technisch-organisatorischen Maßnahmen müssen Verantwortliche die Umsetzung der Grundsätze für die Verarbeitung von personenbezogenen Daten aus Art. 5 DSGVO gewährleisten. 

 

Transparenz bei Künstlicher Intelligenz

Transparenz im Bezug auf künstliche Intelligenz (KI) bezieht sich in der Regel auf die Möglichkeit, eine komplette Sicht auf ein System zu haben, d.h. alle technischen Aspekte sind sichtbar und nachvollziehbar. Bei KI-Systemen können drei Ebenen der Transparenz ausgezeichnet werden:

  • Implementierung: Auf dieser Ebene ist die Art und Weise, wie das Modell auf die Eingangsdaten einwirkt, um eine Vorhersage zu erstellen bekannt. Einschließlich die technischen Prinzipien des Modells (z.B. Arbeitsablauf, Bedingungssatz etc.) und die zugehörigen Parameter (z.B. Koeffizienten, Gewichte, Schwellenwerte, etc.) sind bekannt. Dies ist der Standard
    Grad der Transparenz der meisten im Internet verfügbaren Open-Source-Modelle. Solche Systeme werden oft als White-Box-Modell bezeichnet, im Gegensatz zum Black-Box-Modell
    wo das Modell weitestgehend unbekannt ist.
  • Spezifikationen: Dies bezieht sich auf alle Informationen, die zur erhaltenen Implementierung geführt haben, einschließlich
    Details über die Spezifikationen des Modells (z.B. Aufgabe, Ziele, Kontext, etc.), den Trainingsdatensatz und das Trainingsverfahren (z.B. Hyperparameter, Kostenfunktion, etc.), die Leistungen, sowie etwaige Elemente, die es erlauben, die Implementierung von Grund auf zu reproduzieren. Forschungsarbeiten erfüllen in der Regel
    Teile dieser Transparenz.
  • Interpretierbarkeit: Dies entspricht dem Verständnis der dem Modell zugrunde liegenden Mechanismen (z.B. die logischen Grundsätze der Datenverarbeitung, der Grund für eine Ausgabe usw.). Auch dies
    beinhaltet die Demonstration, dass der Algorithmus den Spezifikationen folgt mit menschlichen Werten (z.B. in Bezug auf die Fairness). Dieses Maß an Transparenz wird in den derzeitigen Systemen der künstlichen Intelligenz im Allgemeinen nicht erreicht.
 

Datenschutz bei Machine Learning

Modelle des maschinellen Lernens basieren auf einer großen Datenmenge, wobei statistische Muster extrahiert werden, um ein bestimmtes Problem zu lösen. Der für das Training verwendete Datensatz kann dennoch sensibel sein, entweder weil er persönliche Informationen (medizinische Aufzeichnungen, E-Mails, Geolokalisierung, etc.) enthält oder weil der Inhalt eingeschränkt ist (intellektuelles Eigentum, strategische Systeme, etc.).

Bei personenbezogenen Daten sollten die KI-Systeme den Rechtsvorschriften der Datenschutz-Grundverordnung im vollen Umfang entsprechen. Es sollten geeignete technische und organisatorische Maßnahmen getroffen werden. Diese Bewertung, ob Maßnahmen zu einem geeigneten Schutzniveau führen, sollte ein Datenschutzbeauftragter vornehmen.

Die Anwendung der Anonymisierung oder Pseudonymisierung bei diesen Daten sind eine von der DSGVO empfohlene Sicherheitsvorkehrung, obwohl die Durchführbarkeit in hohem Maße von dem Kontext der Anwendung abhängig ist. Eine solche Maßnahme fördert die Komplexität der eingesetzten Systeme noch mehr, möglicherweise die sich auf die Erklärbarkeit des KI-Systems auswirken.

Allgemeiner ausgedrückt, erfordert der Aufbau eines KI-Systems auf der Basis personenbezogener Daten dann, dass alle beteiligten Akteure
in der Pipeline des maschinellen Lernens, von der Sammlung der Daten über ihre Verarbeitung bis hin zum Training des Modells, bis zu seiner Pflege und Nutzung als vertrauenswürdig im Umgang mit diesen Daten angesehen werden müssen.

Die Qualität und Korrektheit der Trainingsdaten ist von größter Bedeutung, um sicherzustellen, dass die KI-Systeme mit Techniken des maschinellen Lernens, die mit Daten trainiert werden sollen, richtig funktionieren. Zusammen mit dem maschinellen Lernalgorithmus, der für die Erstellung des Modells verantwortlich ist, sind die Trainingsdaten Teil des KI-Systems und somit sind Diese Teil des zu schützenden Sicherheitsbereichs. Es ist daher von entscheidender Bedeutung, dass die Sicherheit von Datensätzen hinsichtlich ihrer Vertraulichkeit, Integrität und Verfügbarkeit sowie ihrer Konformität mit möglichen Datenschutz-Rahmenbedingungen im Einklang stehen.

 

Die Menschenwürde, K.I. und Datenschutz-Verantwortlichkeiten

Die Unantastbarkeit der Würde des Menschen (Art. 1 Abs.1 GG, Art. 1 GRCh) garantiert, dass der Einsatz von K.I. (im Rahmen staatlichen Handelns)) gebietet, die einzelne Person nicht zum Objekt zu machen. Darüber hinaus sind vollständig automatisierte Entscheidungen oder Profiling durch K.I.-Systeme nur in engen Grenzen zulässig. Art. 22 DSGVO normiert spezifisch für den Fall des Einsatzes von K.I., dass Entscheidungen mit rechtlicher Wirkung oder ähnlicher erheblicher Beeinträchtigung nicht allein der Maschine überlassen werden dürfen. Selbst wenn der Anwendungsbereich des Art. 22 DSGVO nicht eröffnet ist, sind die allgemeinen Grundsätze der Datenverarbeitung gem. Art. 5 DSGVO zu berücksichtigen. 

Wenn K.I.-Systeme eingesetzt werden, muss die Verantwortlichkeit klar und deutlich festgelegt und kommuniziert werden. In diesem Zusammenhang müssen auch alle notwendigen Mechanismen eingerichtet werden, damit die Datenverarbeitung rechtmäßig erfolgt, die Betroffenenrechte eingehalten werden und die Sicherheit und Beherrschbarkeit der K.I.-Systeme gewährleistet sind.

Insbesondere die Einhaltung von technisch-organisatorischen Maßnahmen gem. Art. 32 DSGVO und der Grundsätze der Datenverarbeitung gem. Art. 5 DSGVO müssen von der verantwortlichen Stelle eingehalten werden. 

Kein verfassungswidriger Einsatz von K.I. und Vermeidung von Diskriminierungen

Zu berücksichtigen ist ferner, dass Künstliche Intelligenz nur für verfassungsrechtlich legitimierte Zwecke eingesetzt werden darf. In diesem Zusammenhang ist insbesondere der Grundsatz der Zweckbindung gem. Art. 5 Abs. 1 lit. b) DSGVO zu berücksichtigen. Falls der Zweck geändert werden soll, gelten die strengen Restriktionen aus Art. 6 Abs. 4 DSGVO. Somit muss bei K.I.-Systemen stets die Vereinbarkeit der erweiterten Verarbeitungszwecke mit dem ursprünglichen Erhebungszweck eingehalten werden.   

K.I-Systeme, insbesondere Lernsysteme, sind abhängig von den erfassten Daten. Wenn Datengrundlagen unzureichend sind, können diese Systeme Ergebnisse präsentieren, die sich als diskriminierend erweisen.

Aus datenschutzrechtlicher Sicht könnte eine derartige Diskriminierung gegen den Grundsatz der Verarbeitung nach Treu und Glauben, die Angemessenheit der Verarbeitung und die Bindung Verarbeitung an legitime Zwecke verstoßen. Vor dem Einsatz eines K.I.-Systems muss im Rahmen einer umfassenden Risikoprüfung geprüft werden, ob eine Diskriminierung vorliegen kann und somit Rechte und Freiheiten von betroffenen Personen gefährdet sind. 

 

Transparenzgebot für die Datenverarbeitung durch K.I. und Datenminimierungsgrundsatz

Gem. Art. 5 Abs. 1 lit. a), 12 ff. DSGVO müssen personenbezogene Daten aus der Perspektive von betroffenen Personen nachvollziehbar verarbeitet werden. In diesem Zusammenhang ist die Erfüllung der Transparenz-Pflichten von großer Bedeutung. Die Informationen in Bezug auf den Prozess der Verarbeitung müssen leicht zugänglich und verständlich sein. Auch über die involvierte Logik müssen die betroffenen Personen informiert werden. Bezüglich des Nachweises der Transparenz- und Informationspflichten gilt die Rechenschaftspflicht des Verantwortlichen gem. Art. 5 Abs. 2 DSGVO.

Bei dem Einsatz von K.I.-Systemen werden in der Regel große Datenbestände verwendet. Hier ist stets der Grundsatz der Datenminimierung zu berücksichtigen, vgl. Art. 5 Abs. 1 lit. c) DSGVO. Somit gilt auch hier der Grundsatz, dass die Verarbeitung von personenbezogenen Daten auf das notwendige Maß beschränkt werden muss. So kann beispielsweise der Fall vorliegen, dass Daten nur vollständig anonym verarbeitet werden dürfen und dies in Anbetracht des Zwecks auch angemessen ist.

Technisch-organisatorische Maßnahmen & Steuerung von Künstlicher Intelligenz

Um die Datenverarbeitung durch K.I.-Systeme gesetzeskonform zu gestalten, müssen technisch-organisatorische Maßnahmen gem. Art. 24, 25 und 32 DSGVO eingehalten werden. Hierzu gehört z.B. die Pseudonymisierung von personenbezogenen Daten. Wirtschaft, Wissenschaft und die Datenschutzbehörden müssen für technisch-organisatorische Maßnahmen in Bezug auf den Einsatz von K.I. Best-Practice-Beispiele entwickeln, damit spezielle Standards für den Einsatz von K.I.-Systemen aus datenschutzrechtlicher Sicht etabliert werden können.

Die zuständigen Datenschutzaufsichtsbehörden kontrollieren und überwachen datenschutzrechtlich relevante Verarbeitungsprozesse. Dies gilt insbesondere für die Verarbeitung von personenbezogenen Daten durch Künstliche Intelligenz.

Da Technologien in Zusammenhang mit Künstlicher Intelligenz immer weiter entwickelt und die Datenverarbeitungsprozesse hierdurch in der Regel immer intensiver und komplexer werden, müssen Datenschutzaufsichtsbehörden, Wissenschaft, Politik und die Anwender von Künstlicher Intelligenz die fortlaufende Entwicklung von Systeme auf der Basis von Künstlicher Intelligenz begleiten und datenschutzrechtlich steuern. In der Hambacher Erklärung der unabhängigen Datenschutzaufsichtsbehörden finden Sie weitere Informationen in Bezug auf den datenschutzkonformen Einsatz von Künstlicher Intelligenz. 

Autor

Herr Nils Möllers ist Gründer und Geschäftsführer der Keyed GmbH. Als Experte für Datenschutz in Konzernen, Unternehmensgruppen und Franchise-Systemen, ist Herr Möllers ebenfalls als zertifizierter Datenschutzbeauftragter tätig. Ergänzend zur datenschutzrechtlichen Expertise ist Herr Möllers im Bereich IT-Sicherheit, begleitend zur ISO27001, beratend tätig. 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bitte füllen Sie dieses Feld aus
Bitte füllen Sie dieses Feld aus
Bitte gib eine gültige E-Mail-Adresse ein.

Menü

Unverbindliches Angebot erhalten!

Unsere zertifizierten Experten stehen Ihnen als zuverlässiger Ansprechpartner zur Seite und halten Ihr datenschutzrechtliches und technisches Wissen immer auf dem neusten Stand. Diese Anfrage wird über eine SSL-Verschlüsselung übertragen.

Persönliche Angaben

Ihr Unternehmen: Ihr Vorname: Ihr Nachname: Ihre E-Mail Adresse: Ihre Telefon-Nummer:

Zusätzliche Informationen

Alle übermittelten Daten werden per SSL übertragen. Ihre Kontaktdaten werden per E-Mail an uns versendet. Weitere Informationen erhalten Sie auf unserer Datenschutzerklärung.

 
ANGEBOT ERHALTEN