Künstliche Intelligenz und Datenschutz

Datenschutz verstehen –  Künstliche Intelligenz und Datenschutz

Künstliche Intelligenz und personenbezogene Daten – Die Berührungspunkte zwischen diesen beiden Bereichen sind sehr groß. Insbesondere selbstlernende Systeme haben in der Regel Zugriff auf eine große Menge an Daten. Durch die Fähigkeit, automatisiert Entscheidungen zu treffen, wächst auch die Gefahr für die Rechte und Freiheiten von betroffenen Personen.

Die neue Europäische Datenschutz-Grundverordnung (DSGVO) beinhaltet diverse Vorgaben in Bezug auf den Einsatz von Künstlicher Intelligenz. Datenschutz ist daher stets ein zentraler Aspekt bei der Verwendung von KI-Systemen.

Inhalt

KI und Datenschutz
 

Künstliche Intelligenz einfach erklärt

Zunächst einmal muss verstanden werden, was mit dem Begriff KI genau gemeint ist. Es gibt für den Begriff KI keine allgemein gültige bzw. eindeutige Definition. Die Bundesregierung versteht unter Künstlicher Intelligenz die derartige Konzeption von technischen Systemen, die Probleme eigenständig bearbeiten, sich selbst auf veränderte Bedingungen einstellen können und die Eigenschaft besitzen, aus neuen Daten zu lernen. Allgemein lässt sich festhalten, dass KI maschinelles Lernen beinhaltet. Das heißt, dass menschliches Lern- und Denkverhalten auf den Computer übertragen wird. Es ist hierbei zwischen schwacher und starker KI zu unterscheiden. Die schwache KI bezieht sich auf konkrete Anwendungsprobleme, während die starke KI eine menschenähnliche allgemeine Intelligenz und Lernfähigkeit aufweist. Auf Englisch heißt künstliche Intelligenz Artificial Intelligence. Unternehmen nutzen KIs beispielsweise für die Bewertung von Bewerbungsunterlagen. Das KI-System bewertet in diesem Zusammenhang autonom alle Bewerber.

Darüber hinaus werden immer häufiger sogenannte Large Language Models (LLMs) eingesetzt, welche natürliche Sprache generieren und auf diese reagieren können. Solche LLMs, wie beispielsweise ChatGPT des Entwicklers OpenAI, werden von Unternehmen unter anderem im Kundenservice, der Marktforschung oder für personalisierte Werbung eingesetzt. Es ergeben sich besondere datenschutzrechtliche Herausforderungen, da große Mengen personenbezogener Daten sowohl vom Verwender eingegeben, als auch vom System weiter genutzt werden können. Bei den generierten Antworten kann es sich also um personenbezogene Daten handeln.

Auch in der Medizin ist der Einsatz von KI-Systemen beliebt. Auf der Basis von technischen Systemen mit Künstlicher Intelligenz können beispielsweise automatisch komplexe Tumorstrukturen erkannt werden.

 

Künstliche Intelligenz Beispiele

KI ist heutzutage überall zu finden und ist jeweils unterschiedlich stark ausgeprägt. Der Einsatz von KI wird immer mehr und in Zukunft vermutlich unerlässlich. In den folgenden Bereichen und Funktionsweisen wird KI bereits eingesetzt:

  • Gesichtserkennung im Smartphone
  • Social Media mit Algorithmen
  • Large Language Models wie ChatGPT zum Generieren von Sprache
  • Suchmaschinen
  • Smart Home Geräte
  • Digitale Sprachassistenten
  • Pendelverkehr
  • Bankgeschäfte
  • Autonomes fahren
  • Medizin und Pflege
  • Apps, die z. B. Pflanzen erkennen
  • Personalisierte Werbung 
  • Kundenservice
  • Marktforschung
  • Chatbots
  • VR-Brillen

Zukunft Künstlicher Intelligenz in Deutschland

Die Bundesregierung hat eine offizielle Strategie in Bezug auf Künstliche Intelligenz veröffentlicht. Mit dieser Strategie will die Bundesregierung Deutschland an die Weltspitze der Entwicklung von Künstlicher Intelligenz bringen. In diesem Zusammenhang macht die Bundesregierung deutlich, dass sie sich in der Pflicht sieht, eine verantwortungsvolle und gemeinwohlorientierte Nutzung von KI voranzubringen: „Wir beachten dabei an unserer freiheitlich-demokratischen Grundordnung orientierte ethische und rechtliche Grundsätze im Hinblick auf den gesamten Prozess der Entwicklung und Anwendung Künstlicher Intelligenz. Die Empfehlungen der Datenethikkommission werden wir bei der Umsetzung der Strategie aufgreifen.“ 

Entwickler und Nutzer von KI-Technologien sollen laut der Strategie der Bundesregierung bezüglich der ethischen und rechtlichen Grenzen der Nutzung Künstlicher Intelligenz sensibilisiert werden.

Entwickler und Nutzer von KI-Technologien sollen laut der Strategie der Bundesregierung bezüglich der ethischen und rechtlichen Grenzen der Nutzung Künstlicher Intelligenz sensibilisiert werden.

 

Künstliche Intelligenz und Datenschutz

Durch den Einsatz von KI wird das Recht auf informationelle Selbstbestimmung als Teil des allgemeinen Persönlichkeitsrechts aus Art. 2 Abs. 1 GG i.V.m. Art. 1 Abs. 1 GG gefährdet. Dies zeigt sich aktuell in vielerlei Diskussionen rund um Google Home, Amazon Echo und ähnlichen intelligenten Sprachassistenten. Diese zeichnen teilweise auch Gespräche und Situationen auf, wenn dies von den Nutzern gerade nicht beabsichtigt oder gewünscht wird. Dies ist datenschutzrechtlich besonders bedenklich. Beispielsweise ist eine Datenschutzfolgenabschätzung, sofern notwendig, kaum bis gar nicht erstellbar, da der Algorithmus selbst entscheidet und es für den Verwender daher nicht möglich ist, diese Entscheidungen nachzuvollziehen. Es entsteht ein Konflikt zwischen KI und Datenschutz, der Wettbewerbsfähigkeit der Unternehmen und der Sicherheit der Bürger und ihrer Daten. 

Auch bei der Verwendung von Large Language Models wie ChatGPT ergeben sich datenschutzrechtliche Probleme. Es können personenbezogene Daten eingegeben werden, sodass auch die generierten Antworten solche enthalten können. Für diese Verarbeitung liegt i.d.R. keine Rechtsgrundlage vor, da der Betroffene zuvor keine Einwilligung erteilt hat. Zudem haben viele solcher Modelle ihre Server in den USA, sodass die Daten in ein datenschutzrechtlich unsicheres Drittland übermittelt werden und es bei der Verwendung im Unternehmen ggf. eines Auftragsverarbeitungsvertrags inklusive Standardvertragsklauseln bedarf. 

Um die Grundrechte und Grundfreiheiten von betroffenen Personen effektiv schützen zu können, sind für die Entwicklung und den Einsatz von KI-Systemen, in denen personenbezogene Daten verarbeitet werden, Vorgaben aus der DSGVO zu beachten. Insbesondere die Grundsätze der Datenverarbeitung gem. Art. 5 DSGVO sind bei der Datenverarbeitung durch KI-Systeme zu berücksichtigen (Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung. Für einen Verstoß gegen die Grundsätze der Datenverarbeitung droht gem. Art. 83 Abs. 5 lit. a) DSGVO ein Bußgeld von bis zu 20 Mio. Euro oder im Fall eines Unternehmens von bis zu 4 Prozent seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem, welcher der Beträge höher ist.

Durch frühzeitige Technikgestaltung gem. Art. 25 DSGVO in Form von technisch-organisatorischen Maßnahmen müssen Verantwortliche die Umsetzung der Grundsätze für die Verarbeitung von personenbezogenen Daten aus Art. 5 DSGVO gewährleisten.

 

Transparenz bei Künstlicher Intelligenz

Transparenz in Bezug auf künstliche Intelligenz (KI) bezieht sich in der Regel auf die Möglichkeit, eine komplette Sicht auf ein System zu haben, d.h. alle technischen Aspekte sind sichtbar und nachvollziehbar. Bei KI-Systemen können drei Ebenen der Transparenz ausgezeichnet werden:

  • Implementierung: Auf dieser Ebene ist die Art und Weise, wie das Modell auf die Eingangsdaten einwirkt, um eine Vorhersage zu erstellen, bekannt. Einschließlich die technischen Prinzipien des Modells (z. B. Arbeitsablauf, Bedingungssatz etc.) und die zugehörigen Parameter (z. B. Koeffizienten, Gewichte, Schwellenwerte, etc.) sind bekannt. Dies ist der Standardgrad der Transparenz der meisten im Internet verfügbaren Open-Source-Modelle. Solche Systeme werden oft als White-Box-Modell bezeichnet, im Gegensatz zum Black-Box-Modell, wo das Modell weitestgehend unbekannt ist.
  • Spezifikationen: Dies bezieht sich auf alle Informationen, die zur erhaltenen Implementierung geführt haben, einschließlich
    Details über die Spezifikationen des Modells (z. B. Aufgabe, Ziele, Kontext, etc.), den Trainingsdatensatz und das Trainingsverfahren (z. B. Hyperparameter, Kostenfunktion, etc.), die Leistungen, sowie etwaige Elemente, die es erlauben, die Implementierung von Grund auf zu reproduzieren. Forschungsarbeiten erfüllen in der Regel Teile dieser Transparenz.
  • Interpretierbarkeit: Dies entspricht dem Verständnis der dem Modell zugrunde liegenden Mechanismen (z. B. die logischen Grundsätze der Datenverarbeitung, der Grund für eine Ausgabe usw.). Auch dies beinhaltet die Demonstration, dass der Algorithmus den Spezifikationen mit menschlichen Werten (z. B. in Bezug auf die Fairness) folgt. Dieses Maß an Transparenz wird in den derzeitigen Systemen der künstlichen Intelligenz im Allgemeinen nicht erreicht.
 

Tipps für Unternehmen beim Einsatz von Large Language Models

Um Large Language Models wie ChatGPT datenschutzkonform nutzen zu können, sollten Unternehmen einige grundlegende Regeln beachten:

  • Die Rechtmäßigkeit der Verarbeitung muss sichergestellt sein. 
  • Es muss ein Auftragsverarbeitungsvertrag (ggf. inklusive Standardvertragsklauseln) mit dem Anbieter abgeschlossen werden.
  • Es sollten eine Datenschutzfolgenabschätzung (DSFA) sowie ein Transfer Impact Assessment (TIA) durchgeführt und dokumentiert werden.
  • Der Dienst sollte in der Datenschutzerklärung aufgeführt und im Verzeichnis für Verarbeitungstätigkeiten (VVT) dokumentiert werden.
  • Die eingegebenen Daten sollten vollständig protokolliert werden.
  • Unternehmensinterne Daten dürfen nur anonymisiert verwendet werden, sodass keine personenbezogenen Daten ins System eingegeben werden.
  • Es sollten adäquate technische und organisatorische Maßnahmen umgesetzt werden (z.B. die Voreinstellung bei ChatGPT, dass ChatGPT die Daten der Mitarbeitenden nicht für Trainingszwecke nutzen darf).
  • Der generierte Text sollte abgeändert bzw. paraphrasiert werden und nicht wörtlich übernommen werden, um Urheberrechts- und Markenverletzungen zu vermeiden. Die Informationen sollten gegengecheckt werden, um Falschinformationen zu vermeiden
  • Die Regeln zur Nutzung von ChatGPT oder anderen künstlichen Intelligenzen sollten im Arbeitsvertrag oder in einer Verpflichtungserklärung stehen.
  • Es sollte die Datenschutzrichtlinie des Dienstes gelesen werden, um die Art und Weise, wie die Daten verwendet werden, zu kennen.
  • Unternehmen müssen ihren Informationspflichten aus Art. 13, 14 DSGVO und dem Transparenzgebot nachkommen, auch bei automatisierten Entscheidungsfindungen. Es muss festgehalten werden, welche Daten tatsächlich verarbeitet werden und ob und an wen eine Weitergabe erfolgt. 

Es muss durch geeignete Prozesse sichergestellt werden, dass Betroffene ihre Betroffenenrechte durchsetzen können.

 

Datenschutz bei Machine Learning

Crowdsourcing wird bei Apple schon seit mehreren Jahren mit Machine Learning verknüpft. Bei der Kartenfunktion werden Staus durch Geolokalisierungsdaten, Geschwindigkeit und Bewegung erkannt und anderen Nutzern angezeigt. Im Bereich des Datenschutzes wäre dieses Vorgehen gut vereinbar an Stellen, wie z. B. der Erkennung von Datenpannen durch KI oder Risikoanalysen. Problematisch ist datenschutzrechtlich jedoch die Einhaltung des Transparenzgebots und des Prinzips der Zweckbindung und Datenminimierung. Die KI entscheidet, wie oben beschrieben, selbst und entzieht sich daher weitgehend dem Einfluss des Verwenders. Außerdem werden die Daten somit meist für mehr als den angegebenen Zweck verwendet. Zur rechtmäßigen Weiterverarbeitung dieser Daten ist dann gem. Art. 6 Abs. 4 DSGVO erforderlich, dass der Zweck sich mit dem ursprünglichen Zweck im Sinne der Norm vereinbaren lässt. Eine Weiterverarbeitung durch die KI ist dementsprechend nur unter den Voraussetzungen des Art. 6 Abs. 4 DSGVO rechtmäßig.

Modelle des maschinellen Lernens basieren auf einer großen Datenmenge, wobei statistische Muster extrahiert werden, um ein bestimmtes Problem zu lösen. Der für das Training verwendete Datensatz kann dennoch sensibel sein, entweder weil er persönliche Informationen (medizinische Aufzeichnungen, E-Mails, Geolokalisierung, etc.) enthält oder weil der Inhalt eingeschränkt ist (intellektuelles Eigentum, strategische Systeme, etc.).

Bei personenbezogenen Daten sollten die KI-Systeme den Rechtsvorschriften der Datenschutz-Grundverordnung in vollem Umfang entsprechen. Es sollten geeignete technische und organisatorische Maßnahmen getroffen werden. Diese Bewertung, ob Maßnahmen zu einem geeigneten Schutzniveau führen, sollte ein Datenschutzbeauftragter vornehmen.

Die Anwendung der Anonymisierung oder Pseudonymisierung bei diesen Daten ist eine von der DSGVO empfohlene Sicherheitsvorkehrung, obwohl die Durchführbarkeit in hohem Maße vom Kontext der Anwendung abhängig ist. Eine solche Maßnahme fördert die Komplexität der eingesetzten Systeme noch mehr, da sich diese möglicherweise auf die Erklärbarkeit des KI-Systems auswirkt.

Allgemeiner ausgedrückt erfordert der Aufbau eines KI-Systems auf der Basis personenbezogener Daten dann, dass alle beteiligten Akteure in der Pipeline des maschinellen Lernens, von der Sammlung der Daten über ihre Verarbeitung bis hin zum Training des Modells, bis zu seiner Pflege und Nutzung als vertrauenswürdig im Umgang mit diesen Daten angesehen werden müssen.

Die Qualität und Korrektheit der Trainingsdaten ist von größter Bedeutung, um sicherzustellen, dass die KI-Systeme mit Techniken des maschinellen Lernens, die mit Daten trainiert werden sollen, richtig funktionieren. Zusammen mit dem maschinellen Lernalgorithmus, der für die Erstellung des Modells verantwortlich ist, sind die Trainingsdaten Teil des KI-Systems und somit sind diese Teil des zu schützenden Sicherheitsbereichs. Es ist daher von entscheidender Bedeutung, dass die Sicherheit von Datensätzen hinsichtlich ihrer Vertraulichkeit, Integrität und Verfügbarkeit sowie ihrer Konformität mit möglichen Datenschutz-Rahmenbedingungen im Einklang stehen.

 

Die Menschenwürde, KI und Datenschutz-Verantwortlichkeiten

Die Unantastbarkeit der Würde des Menschen (Art. 1 Abs.1 GG, Art. 1 GRCh) garantiert, dass der Einsatz von KI (im Rahmen staatlichen Handelns) die einzelne Person nicht zum Objekt zu machen. Darüber hinaus sind vollständig automatisierte Entscheidungen oder Profiling durch KI-Systeme nur in engen Grenzen zulässig. Art. 22 DSGVO normiert spezifisch für den Fall des Einsatzes von KI, dass Entscheidungen, mit rechtlicher Wirkung oder ähnlicher erheblicher Beeinträchtigung, nicht allein der Maschine überlassen werden dürfen. Selbst wenn der Anwendungsbereich des Art. 22 DSGVO nicht eröffnet ist, sind die allgemeinen Grundsätze der Datenverarbeitung gem. Art. 5 DSGVO zu berücksichtigen. 

Wenn KI-Systeme eingesetzt werden, muss die Verantwortlichkeit klar und deutlich festgelegt und kommuniziert werden. In diesem Zusammenhang müssen auch alle notwendigen Mechanismen eingerichtet werden, damit die Datenverarbeitung rechtmäßig erfolgt, die Betroffenenrechte eingehalten und die Sicherheit und Beherrschbarkeit der K.I.-Systeme gewährleistet werden.

Insbesondere die Einhaltung von technisch-organisatorischen Maßnahmen gem. Art. 32 DSGVO und der Grundsätze der Datenverarbeitung gem. Art. 5 DSGVO müssen von der verantwortlichen Stelle eingehalten werden.

Kein verfassungswidriger Einsatz von KI und Vermeidung von Diskriminierungen

Zu berücksichtigen ist ferner, dass Künstliche Intelligenz nur für verfassungsrechtlich legitimierte Zwecke eingesetzt werden darf. In diesem Zusammenhang ist vornehmlich der Grundsatz der Zweckbindung gem. Art. 5 Abs. 1 lit. b) DSGVO zu berücksichtigen. Falls der Zweck geändert werden soll, gelten die strengen Restriktionen aus Art. 6 Abs. 4 DSGVO. Somit muss bei KI-Systemen stets die Vereinbarkeit der erweiterten Verarbeitungszwecke mit dem ursprünglichen Erhebungszweck eingehalten werden.   

KI-Systeme, vorwiegend Lernsysteme, sind abhängig von den erfassten Daten. Wenn Datengrundlagen unzureichend sind, können diese Systeme Ergebnisse präsentieren, die sich als diskriminierend erweisen.

Aus datenschutzrechtlicher Sicht könnte eine derartige Diskriminierung gegen den Grundsatz der Verarbeitung nach Treu und Glauben, die Angemessenheit der Verarbeitung und die Bindung der Verarbeitung an legitime Zwecke verstoßen. Vor dem Einsatz eines KI-Systems muss im Rahmen einer umfassenden Risikoprüfung geprüft werden, ob eine Diskriminierung vorliegen kann und somit Rechte und Freiheiten von betroffenen Personen gefährdet sind. 

Transparenzgebot für die Datenverarbeitung durch KI und Grundsatz der Datenminimierung

Gem. Art. 5 Abs. 1 lit. a), 12 ff. DSGVO müssen personenbezogene Daten aus der Perspektive von betroffenen Personen nachvollziehbar verarbeitet werden. In diesem Zusammenhang ist die Erfüllung der Transparenz-Pflichten von großer Bedeutung. Die Informationen, in Bezug auf den Prozess der Verarbeitung, müssen leicht zugänglich und verständlich sein. Auch über die involvierte Logik müssen die betroffenen Personen informiert werden. Bezüglich des Nachweises der Transparenz- und Informationspflichten gilt die Rechenschaftspflicht des Verantwortlichen gem. Art. 5 Abs. 2 DSGVO.

Bei dem Einsatz von KI-Systemen werden in der Regel große Datenbestände verwendet. Hier ist stets der Grundsatz der Datenminimierung zu berücksichtigen, vgl. Art. 5 Abs. 1 lit. c) DSGVO. Somit gilt auch hier der Grundsatz, dass die Verarbeitung von personenbezogenen Daten auf das notwendige Maß beschränkt werden muss. So kann beispielsweise der Fall vorliegen, dass Daten nur vollständig anonym verarbeitet werden dürfen und dies in Anbetracht des Zwecks auch angemessen ist.

Technisch-organisatorische Maßnahmen & Steuerung von Künstlicher Intelligenz

Um die Datenverarbeitung durch KI-Systeme gesetzeskonform zu gestalten, müssen technisch-organisatorische Maßnahmen gem. Art. 24, 25 und 32 DSGVO eingehalten werden. Hierzu gehört z. B. die Pseudonymisierung von personenbezogenen Daten. Wirtschaft, Wissenschaft und die Datenschutzbehörden müssen für technisch-organisatorische Maßnahmen, in Bezug auf den Einsatz von KI, Best-Practice-Beispiele entwickeln, damit spezielle Standards für den Einsatz von KI-Systemen aus datenschutzrechtlicher Sicht etabliert werden können.

Die zuständigen Datenschutzaufsichtsbehörden kontrollieren und überwachen datenschutzrechtlich relevante Verarbeitungsprozesse. Dies gilt insbesondere für die Verarbeitung von personenbezogenen Daten durch Künstliche Intelligenz.

Da Technologien in Zusammenhang mit Künstlicher Intelligenz immer weiter entwickelt und die Datenverarbeitungsprozesse hierdurch in der Regel immer intensiver und komplexer werden, müssen Datenschutzaufsichtsbehörden, Wissenschaft, Politik und die Anwender von Künstlicher Intelligenz die fortlaufende Entwicklung von Systemen auf der Basis von Künstlicher Intelligenz begleiten und datenschutzrechtlich steuern. In der Hambacher Erklärung der unabhängigen Datenschutzaufsichtsbehörden finden Sie weitere Informationen in Bezug auf den datenschutzkonformen Einsatz von Künstlicher Intelligenz.

 

Fazit

Zusammenfassend lässt sich sagen, dass bezüglich des Einsatzes von KI vermutlich die Notwendigkeit von Gesetzesänderungen zukünftig bestehen wird. KI kann in mancher Hinsicht hilfreich sein, z. B. um Hackerangriffe schneller zu erkennen. Auch für Unternehmen ergeben sich Vorteile, indem innerbetriebliche Abläufe beschleunigt werden können. Die Entwicklung des KI-Einsatzes ist sehr schwer zu bestimmen, da vieles in diesem Bereich noch unklar ist und vermutlich erst im Laufe der Zeit und mit der Entwicklung der technischen Möglichkeiten Klärung verspricht. KI wird zwar schon vielfach eingesetzt, ist aber dennoch ein Zukunftsthema, dessen Entwicklungen in den nächsten Jahren dringend beobachtet werden sollten. Unternehmen sollten sich schon jetzt klarmachen, welche Maßnahmen ergriffen werden müssen, um die Systeme datenschutzkonform einzusetzen.

Menü