27.05.2022

KI vs. Datenschutz: Verletzt der Innovationsboom Künstlicher Intelligenz das Recht auf Privatsphäre?

Hintergrund

Denkt man an Künstliche Intelligenz (KI), denkt man sicherlich an Big Data, also große Datenmengen, die verarbeitet werden, um neue Erkenntnisse zu gewinnen und Entscheidungen zu treffen (sog. Big Data Analysen). Jeden Tag werden von Internetnutzenden weltweit 2,5 Quintillionen Bytes an Daten erzeugt (Quelle: Domo). Zur Veranschaulichung: Der tägliche Datenoutput in Bytes entspricht der Gesamtzahl der Ameisen auf dem Planeten multipliziert mit 100. Da die Datenmenge mit jedem Jahr zunimmt, können wir davon ausgehen, dass diese Zahlen in naher Zukunft steigen werden. Solch große Datenmengen stellen den Datenschutz vor besondere Herausforderungen, denn Ziel des Datenschutzes ist es, die Datenverarbeitung personenbezogener Daten einzuschränken und diese nur für zuvor definierte Zwecke in engen Grenzen zuzulassen. So verwundert es nicht, dass die Datenschutzgrundverordnung (DSGVO) von vielen Wirtschafts- und Wissenschaftsvertretern gerne vorschnell als Innovationsbremse für KI-Systeme angesehen wird.

Anwendbarkeit der DSGVO auf Künstliche Intelligenz

Um sich die Anwendungsbereiche des Datenschutzrechts im Bereich der KI vorstellen zu können, bietet sich als Beispiel das automatisierte Fahren an. Das automatisierte Fahrzeug kann dabei über Sensoren (z. B. Kameras) Daten selbst erfassen und über Schnittstellen Daten an die Umwelt abgeben sowie selbst Daten empfangen. Es kann mit anderen Fahrzeugen (Vehicle2Vehicle) oder der Infrastruktur (Vehicle2X) kommunizieren. Sind diese Daten datenschutzrechtlich relevant? Unterliegen Sie dem Schutz der DSGVO?

In der DSGVO geht es um den Schutz von personenbezogene Daten. Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Eine Person ist dabei u. a. identifizierbar, wenn sie mittels Zuordnung zu einer Kennung wie Namen, Kennnummer, Standortdaten, Online-Kennung, aber auch Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, kulturellen Identität sind, identifizierbar ist. Automatisierte Systeme fallen mangels Rechtspersönlichkeit nicht in den Schutzbereich der DSGVO. Anders ist es, wenn die in diesen Systemen enthaltenen Daten Dritter Personenbezug aufweisen. Wenden wir das Gesagte nun auf unser Beispiel des automatisierten Fahrens an:  

Damit die Fahrzeuge auf den Straßen der Zukunft automatisiert fahren können, benötigen sie Unmengen an Daten. Diese Daten sind zu einem großen Teil personenbezogen. Kameraaufnahmen können personenbezogene Daten beinhalten. Auch reine Sachdaten können personenbezogen sein, denn viele der generierten Daten sind mit der Fahrzeugidentifikationsnummer (FIN) verknüpft, die die Identifizierung des Halters oder Fahrers ermöglicht und damit einen Personenbezug aufweist. Der Personenbezug kann zudem erst durch Verknüpfungen verschiedener Daten entstehen. Zum Beispiel kann der Kraftstoffverbrauch an den Hersteller übermittelt werden, damit dieser die Daten analysieren und zur Verbesserung des Produkts verwenden kann. Die Kraftstoffverbrauchsdaten sind zunächst reine Sachdaten. Werden diese aber z. B. mit Standortdaten verknüpft, können sie leicht Personenbezug aufweisen.

Aus der räumlichen Sicht umfasst der Anwendungsbereich der DSGVO solche Datenverarbeitungen, die einer Niederlassung des Verantwortlichen oder Auftragsverarbeiters in der EU zugerechnet werden können, oder wenn die Datenverarbeitung im Zusammenhang damit steht, dass betroffenen Personen in der EU Waren oder Dienstleistungen anbieten (Marktortprinzip). Mit diesem weiten räumlichen Anwendungsbereich möchte der Gesetzgeber vermeiden, dass Verantwortliche und Auftragsverarbeiter sich dem Schutz der DSGVO entziehen, indem sie den Ort der technischen Datenverarbeitung aus dem Gebiet der EU auslagern. Eine weitere Verbindung zum Territorium der EU wird hergestellt, wenn Personen in der EU beobachtet werden, um Erkenntnisse über bewusste und unbewusste menschliche Aktivitäten zu sammeln. Damit sollen vor allem Aktivitäten im Internet erfasst werden, die das Verhalten von Nutzern verfolgen und das Verhalten analysieren. KI-Systeme werden deshalb immer häufiger für Marketingzwecke und personalisierte Werbung, beispielsweise bei Onlineangeboten, eingesetzt.

Die Verhaltensanalyse weist wiederum regelmäßig einen Personenbezug auf, denn KI hat das Potenzial und den Zweck, aus scheinbar irrelevanten Informationen Muster zu erkennen und diese einer bestimmten Person zuzuordnen. Dies ist beispielweise bei der Verhaltensbiometrie der Fall. Bei der Verhaltensbiometrie analysiert ein Computersystem das Verhalten des Nutzers auf einer Website anhand von vielen objektiven Kriterien. Zum Verhalten gehört die Mausbewegung, das Klickverhalten, die Anzahl der Tastaturschläge, usw. Das System erzeugt aus diesen Daten ein Muster, mit dem ein Nutzer mit hoher Wahrscheinlichkeit eindeutig identifiziert werden kann.

Verbot mit Erlaubnisvorbehalt

Hinsichtlich der Verarbeitung, Erhebung und Nutzung personenbezogener Daten gilt das Prinzip des Verbots mit Erlaubnisvorbehalt. Danach ist die Verarbeitung von personenbezogenen Daten nur dann zulässig, soweit ein Erlaubnistatbestand, wie die wirksame Einwilligung des Betroffenen, vorliegt.

Der Zweck der Verarbeitung muss auch beim Einsatz von KI-Systemen gegenüber der betroffenen Person eindeutig erklärt werden. Dies führt zu ersten Herausforderungen des Verarbeiters. Dieser muss sich die Frage stellen, ob er die Daten beispielsweise ausschließlich als Trainingsdaten nutzten will, die er nach Abschluss des Trainings löscht, oder ob er sie für weitergehende Verwendungen gebrauchen will. An diese Entscheidung ist er dann gebunden, auch wenn er die Daten über die Trainingsphase hinaus benötigt. Diese Abschätzung gestaltet sich in der Praxis als problematisch, denn das Konzept von Big-Data und KI sieht keine Zweckbegrenzung vor. Vielmehr sollen Big-Data-Analysen gerade für alle denkbaren Zwecke erfolgen. Für die Erfüllung dieser Zwecke soll eine möglichst große Menge an Daten unbegrenzt auf Vorrat gespeichert werden, um für zukünftige Zwecke auf sie zugreifen zu können. Auch eine Zweckbindung widerstrebt dem genannten Konzept, denn es sollen gerade heterogene Daten aus allen denkbaren Quellen ausgewertet werden. Dies soll unabhängig davon möglich sein, zu welchem Zweck sie früher erhoben und verarbeitet wurden. Dabei gilt das sog. Machine Learning als Schlüsseltechnologie, bei der Computersysteme durch einen Lernalgorithmus befähigt werden, selbstständig Wissen aufzubauen und zu erweitern, um ein Problem zu lösen. Will ein Programmierer beispielsweise, dass sein System eigenständig Verkehrsschilder erkennt und unterscheidet, muss er dem System in der Trainingsphase große Datenmengen an Bildern von Verkehrsschildern samt ihren konkreten Bezeichnungen zur Verfügung stellen. Während des Trainingsprozesses kann das System eigenständig Kriterien und Lösungen entwickeln, mit denen er Verkehrsschilder auf den Bildern erkennen kann.

Am Beispiel des Machine Learnings wird das nächste Problem bei der Einholung der Einwilligung von der betroffenen Person deutlich. Diese muss vor dem Einsatz der KI so umfassend informiert werden, dass sie diese Informationen versteht und nachvollziehen kann. Bei komplexen KI-Systemen besteht das Risiko, dass sich die betroffene Person nicht ausreichend mit den Informationen auseinandersetzt. Der Verantwortliche kann nicht in jedem Einzelfall überprüfen, ob eine ausreichende Auseinandersetzung der betroffenen Person mit dem konkreten KI-Einsatz stattgefunden hat. Die betroffene Person, deren personenbezogene Daten nun verwendet werden, kann dagegen diskriminierende Effekte erleiden. Die Grundsätze der Einholung einer wirksamen Einwilligung in die Verarbeitung personenbezogener Daten gestaltet sich daher bei KI-Systemen als problematisch und verlangen vom Anbieter vieles ab.  

(Un-)Vereinbarkeit von KI mit Prinzipien des Datenschutzes

Ein Grundfeiler des Datenschutzrechts sind die in Art. 5 DSGVO zur Verarbeitung von personenbezogenen Daten festgesetzten Prinzipien.

                                   

Diese Grundsätze stellen bei wachsenden Datenvolumina und der Komplexität der Daten hohe Anforderungen an die Compliance eines jeden Verantwortlichen, der KI einsetzt. Dieser muss den zuständigen Aufsichtsbehörden zu jeder Zeit ein transparentes und rechtskonformes Datenmanagement aufzeigen können. Dieses Konzept beinhaltet eine detaillierte und zeitnahe Aufbereitung vorgeschriebener Informationen, die die betroffene Person mit ihren Betroffenenrechten jederzeit anfordern kann. Verantwortliche, die kein transparentes und strukturiertes Datenmanagement – insbesondere in Bezug auf personenbezogene Daten –  betreiben, scheitern zwangsläufig an den Anforderungen, die die DSGVO mit ihren Prinzipien bestimmt.

Herausforderungen für den KI-Einsatz stellen dabei insbesondere die Grundsätze der Zweckbindung, der Datenminimierung und der Transparenz dar. Die Datenschutzbehörden verlangen nicht nur, dass die Verantwortlichen den Zweck (sog. Prinzip der Zweckbindung) des KI-Einsatzes vor Verarbeitung der personenbezogenen Daten genau festlegen (vgl. Ausführungen zum Verbot mit Erlaubnisvorbehalt), sondern auch, dass die Art und Weise, wie Entscheidungen mithilfe von KI getroffen werden, einschließlich des Prozesses, der zur Entscheidung führt, transparent gemacht werden. Diese Ausführungen müssen präzise und in möglichst leichter Sprache dargelegt werden. Allein die Komplexität der Prozesse erlaubt es jedoch oftmals nicht, die Verarbeitungsschritte in einfacher Sprache zu umschreiben. Bestimmte KI-Systeme sind außerdem tatsächlich nicht erklärbar. Gerade die KI-Verfahren, die eine hohe Prognosequalität erreichen, sind oft bei ihren Entscheidungsprozessen besonders undurchsichtig. Das wohl bekannteste Beispiel für solche Verfahren sind wohl die Neuronalen Netze. Da bei ihnen die Daten, Parameter und Rechenschritte häufig nicht nachvollziehbar sind, gleichen sie einer Black Box. Diese KI-Verfahren stellen zum Glück noch eine Minderheit dar. Außerdem arbeiten Wissenschaftler weltweit daran, auch diese Black Box nachvollziehen zu können.   

Nach dem Grundsatz der Datenminimierung ist eine massenhafte Speicherung von personenbezogenen Daten ohne einen konkreten Zweck nicht zulässig. Dies schränkt die Umsetzung der Ziele von Big Data, Datenanalyse und KI zwar im Grundsatz ein, die sich gegenüberstehenden Interessen können aber in Einklang gebracht werden. Der Verantwortliche sollte prüfen, ob für sein System die Verarbeitung anonymisierter oder pseudonymisierter Daten zu seiner Zweckerreichung ausreichend ist. Als pseudonymisiert gelten personenbezogene Daten dabei dann, wenn sie ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen Person zugeordnet werden können. Bei anonymisierten Informationen geht es um das Verändern personenbezogener Daten, indem die jeweiligen persönlichen Merkmale nicht mehr oder nur mit einem unverhältnismäßigen Aufwand einer bestimmbaren Person zugeordnet werden können. Zu beachten ist allerdings, dass die Verarbeitung pseudonymisierter und anonymisierter Daten zwar den Verantwortlichen bei den Anforderungen an das Prinzip der Datenminimierung entlastet. Diese Entlastung aber nicht Schutz der personenbezogenen Daten nach der DSGVO entfallen lässt. Dies ist insbesondere deshalb der Fall, da moderne Informationstechnologien eine Re-Identifizierung einfach möglich machen. Nicht alle anonymen Daten sind tatsächlich anonym. Der Schutz der personenbezogenen Daten muss aus diesem Grund auch hier bestehen bleiben.

Fazit

Die datenschutzrechtlichen Anforderungen an Verantwortliche, die personenbezogene Daten mittels KI verarbeiten, sind hoch. Ein effektives Datenschutz-Management ist zwingende Voraussetzung für datenschutzrechtlich rechtmäßige Verarbeitung personenbezogener Daten. Verantwortliche müssen sich vor und während des KI-Einsatz fragen, ob sie auf personenbezogene Daten verzichten, oder mit anonymisierten und pseudonymisierten Daten ihren Zweck erreichen können. Liegt ein solches Konzept vor und wird es stets umgesetzt, ist der Einsatz von KI mit dem Datenschutzrecht vereinbar.

Das Datenschutzrecht ist zwar vom Gesetzgeber so weit angelegt, dass bisher auch der KI-Einsatz von seinen Regelungen umfasst werden kann. Es liegt nun trotzdem an dem nationalen und europäischen Gesetzgeber sowie der Rechtsprechung, eine Data Governance zu erarbeiten, die die Prozesse, Verantwortlichkeiten und Anforderungen an die Anbieter festschreibt und Compliance-Vorgaben strukturell verbindlich vorgibt. KI-Anbieter sollten deshalb die kommenden Änderungen und Konkretisierungen genau im Auge behalten und ihre Datenschutz-Compliance stets anpassen.

Autor/in
Christian Kuß, LL.M.

Christian Kuß, LL.M.
Partner
Köln
christian.kuss@luther-lawfirm.com
+49 221 9937 25686