Künstliche Intelligenz (KI) ist zweifellos eine der Schlüsseltechnologien der Zukunft. Aktuell steht der Einsatz von KI-Systemen wie ChatGPT im betrieblichen Umfeld unter kritischer Beobachtung der Öffentlichkeit. Ob es um die Implementierung oder die Arbeit mit KI geht – eine entscheidende Rolle spielt der Datenschutz und seine Anforderungen. Wir zeigen auf, worauf Sie achten sollten.
INHALTE

Datenschutzrelevante Problemfelder beachten

Bei KI handelt es sich um Technologie, die darauf abzielt, Maschinen das Denken und Lernen zu ermöglichen. Kernkomponente der KI ist das maschinelle Lernen, also die Fähigkeit aus Daten und Erfahrungen zu Lernen, ohne explizit programmiert zu werden.

Grundsätzlich erfolgt die Implementierung von KI in zwei Phasen, der Lern- und der Produktionsphase. In der Lernphase geht es um den Entwurf, die Entwicklung und das Training eines KI-Systems und insbesondere um ein Modell, das heißt eine Darstellung dessen, was das KI-System aus den Trainingsdaten gelernt hat. Die Produktionsphase besteht aus dem operativen Einsatz des in der Lernphase gewonnenen KI-Systems.

KI-Lösungen benötigen für das Training der Algorithmen, die Optimierung der Vorhersagegenauigkeit/Leistungsfähigkeit, die Anpassung an individuelle Bedürfnisse und die Bewältigung von Komplexität eine Vielzahl an Daten. Dabei sind die Grundsätze der EU-Datenschutz-Grundverordnung (nachfolgend „EU-DSGVO“) immer dann zu berücksichtigen, wenn Daten mit Personenbezug verarbeitet werden (zum Beispiel Name, Anschrift, Kontaktdaten, Geburtsdaten, ärztliche Diagnosen, allgemeine äußerliche Merkmale, aber auch Kfz-Kennzeichen oder IP-Adressen). Da dies sehr weitgehend zu verstehen ist, sollten die Datenschutzanforderungen grundsätzlich stets berücksichtigt werden. Daraus folgt: Aus datenschutzrechtlicher Sicht ist der Einsatz einer derart großen Datenmenge nicht unproblematisch, denn es stellt sich unter anderem die Frage nach einem transparenten Umgang mit den Daten. Die Transparenz ist allerdings nur schwer zu gewährleisten, da das Innenleben von KI-Modellen in einer „Blackbox“ verborgen und nur schwer zu verstehen ist.

Neben der Beachtung von Transparenz ist der Verarbeitungszweck zu bestimmen, um sicherzustellen, dass unter anderem nur relevante Daten verwendet werden. Die datenschutzrechtlich relevanten Vorgänge sind differenziert und aus verschiedenen Perspektiven (Anbieter, Nutzer und Betroffener) zu bewerten. In der Regel reicht eine einmalige Bestimmung des Zwecks nicht aus, denn mit Implementierung der KI in zwei Phasen (Lern- und Produktionsphase), ist damit zu rechnen, dass der ursprüngliche Zweck durch den Weiterverarbeitungszweck ersetzt wird.

Aufgrund der erforderlichen großen Datenmenge, ist auch der Grundsatz der Datenminimierung zu beachten. Dieser sieht vor, dass nur Daten verarbeitetet werden, die angemessen und relevant für das definierte Ziel sind. So müssen KI-Anwendungen beispielsweise kritisch prüfen, ob der Personenbezug bei Test und Trainingsdaten vermeidbar ist.

Ein weiterer Diskussionspunkt ist die „Verantwortlichkeit“. Gemäß EU-DSGVO ist Verantwortlicher, wer über Zwecke und Mittel der Datenverarbeitung entscheidet. Die Ausübung von Betroffenenrechten im Sinne der EU-DSGVO kann grundsätzlich nur gegenüber dem Verantwortlichen geltend gemacht werden. Bei KI-Anwendungen ist jedoch oftmals nicht klar, wer Verantwortlicher ist.

Lösungsansätze und Möglichkeiten für einen datenschutzkonformen Einsatz von KI

Mit dem möglichen Einsatz von KI-Anwendungen beginnt für den Verantwortlichen im Sinne der EU-DSGVO eine notwendige und ggf. umfangreiche Analyse von datenschutzrelevanten Anforderungen. So lautet stets zu Beginn die Kernfrage: Welcher Mehrwert soll mit dem Einsatz von KI erreicht werden? Zu den gängigen vertretbaren Antworten gehören unter anderem die Automatisierung von Prozessen, die Verbesserung der Entscheidungsfindung, die Optimierung von Abläufen, die Personalisierung von Angeboten oder die Steigerung der Effizienz. Wichtig: Der Verantwortliche hat eine passende Antwort beziehungsweise Zweck für jede KI-Anwendung im Einzelfall zu bestimmen. So bildet dieser Zweck unter anderem die Grundlage für die Bestimmung der Rechtsgrundlage, ggf. für eine erforderliche Datenschutz-Folgenabschätzung sowie für die Erfüllung von Informationspflichten. 

Für eine angemessene datenschutzrechtliche Einordnung von KI-Lösungen sind die Phasen einer KI-Anwendung (Lern- und Produktionsphase) zu berücksichtigen. Die Lernphase umfasst neben der Problemdefinition auch die Modellentwicklung, das Training sowie die Validierung und Evaluierung. Die Produktionsphase hingegen befasst sich mit der Bereitstellung und Integration, der Überwachung und Wartung. Die Auseinandersetzung mit diesen einzelnen Themen ist grundsätzlich erforderlich, damit relevante Datenschutzthemen innerhalb der Phasen analysiert und angemessen thematisiert werden können. So entsteht im Rahmen der Analyse beispielsweise die Frage nach der Erforderlichkeit und des Umfangs von personenbezogenen Daten im Rahmen des Trainings eines KI-Modells (Lernphase). 

Grundsätze der EU-DSGVO sind stets zu beachten

Daneben sind die Datenschutzgrundsätze gemäß Artikel 5 Absatz 1 EU-DSGVO stets zu beachten. Der relevanteste Problempunkt bei KI-Anwendungen ist der Grundsatz der Datenminimierung, da bei dem Einsatz von KI naturgemäß sehr viele Daten benötigt werden. Zu den umfangreichen Einsatzgebieten gehören das Training von Algorithmen, die Optimierung der Vorhersagegenauigkeit, die Anpassung an individuelle Bedürfnisse (personalisierte Dienste oder Empfehlungen) sowie die Bewältigung von komplexen Anwendungsbereichen. Datenschutzrechtliche Bedenken sind dabei die große Datenmenge und die mangelnde Möglichkeit der Einflussnahme, die Verantwortlichkeit etwa bei Versicherungsfragen sowie die mögliche Diskriminierung durch Anlernen von Vorurteilen oder automatisierter Entscheidungsfindung. Für die Einhaltung der Datensparsamkeit ist der zu Beginn hinterlegte Verarbeitungszweck maßgeblich, um sicherzustellen, dass nur relevante Daten verwendet werden. Das bedeutet, dass nur Daten verarbeitet werden, die für das definierte Ziel notwendig und angemessen sind. So sollten beispielsweise Test- und Trainingsdaten bestmöglich keinen Personenbezug haben und die Menge der erforderlichen Daten unter dem Grundsatz der Verhältnismäßigkeit gegen den Zweck der Verarbeitung abgewogen werden.

Für die zuvor genannten Anforderungen sollte der Verantwortliche eine nachvollziehbare Dokumentation nebst Risikoanalyse erstellen, um den datenschutzkonformen Einsatz von KI-Anwendungen gewährleisten zu können. 

Ausblick: Gute Vorbereitung erforderlich

Mit der ständig steigenden Relevanz im Arbeitsalltag und mit Blick auf diverse regulatorische Anforderungen, rückt der Einsatz von KI auch für Unternehmen immer mehr in den Fokus. Eine kritische Aufarbeitung beziehungsweise Vorbereitung auf die Verwendung von KI-Lösungen ist dringend zu empfehlen.

Sie setzen Chatbots oder andere KI-Anwendungen ein? Sie planen dies und möchten sich über das Thema austauschen? Sie benötigen grundsätzlich Unterstützung in Angelegenheiten rund um das Thema Datenschutz? Unsere Experten unterstützen Sie jederzeit gerne – sprechen Sie uns an!