Skip to content

Datenschutzblog

Künstliche Intelligenz und Datenschutz

Künstliche Intelligenz (KI) gewinnt unaufhaltsam an Bedeutung und durchdringt fast alle Bereiche unseres Lebens. Obwohl KI bahnbrechende Fortschritte in der Automatisierung, Medizin, Bildung und vielen anderen Branchen ermöglicht, wirft sie gleichzeitig wichtige Fragen zum Datenschutz auf. Der Einsatz von KI-Technologien, insbesondere im Bereich des Machine Learnings, erfordert eine sorgfältige Abwägung zwischen innovativen Fortschritten und dem Schutz persönlicher Daten.

Was ist Machine Learning?

Machine Learning ist ein Teilbereich der KI, bei dem Algorithmen aus Daten lernen und ihre Leistung verbessern, ohne explizit programmiert zu werden. Diese Algorithmen werden darauf trainiert, Muster und Korrelationen in großen Datensätzen zu identifizieren, um auf dieser Grundlage optimale Entscheidungen zu treffen.

Die Einhaltung des datenschutzrechtlichen Transparenzgebots und des Prinzips der Zweckbindung und Datenminimierung stellt eine Herausforderung dar, da KI-Algorithmen selbstständig Entscheidungen treffen und sich dabei dem direkten Einfluss des Entwicklers entziehen können.

Die Hürden für den Datenschutz

Die DSGVO enthält bisher keine spezifischen Vorschriften für KI-Systeme, sodass sich die Bestimmungen für den Schutz personenbezogener Daten nach der allgemeinen Begriffsbestimmung in Art. 4 Nr. 1 DSGVO richten.

Bei KI-Systemen erfolgt die Verarbeitung grob gesagt in zwei Phasen: zunächst die Verarbeitung von Trainingsdaten zur Entwicklung der KI und anschließend die Verarbeitung während der konkreten Nutzung der fertigen Anwendung. Diese Verarbeitung personenbezogener Daten birgt Herausforderungen für den Datenschutz und gefährdet die informationelle Selbstbestimmung.

Verantwortlichkeit

Bei der Verwendung von KI-Systemen ist es entscheidend, die Verantwortlichkeiten klar zu definieren, da verschiedene Konstellationen möglich sind:

  • Alleinige Verantwortlichkeit
    Der Anbieter des KI-Systems trägt die Verantwortung für die interne Verarbeitung innerhalb des Systems, während der Nutzer für die Eingabe seiner Daten in das System verantwortlich ist.
  • Gemeinsame Verantwortlichkeit
    Sowohl der Anbieter als auch der Nutzer des KI-Systems tragen gemeinsam die Verantwortung für die Datenverarbeitung.
  • Auftragsverarbeitung
    Der Nutzer agiert als Auftraggeber, während der Anbieter des KI-Systems als Auftragsverarbeiter fungiert. Letzterer ist an die Weisungen des Nutzers gebunden und hat keine eigenständige Entscheidungsbefugnis.

Datenrichtigkeit

Gemäß Art. 5 (1) lit. d DSGVO müssen die personenbezogenen Daten sachlich richtig sein. Bei KI-Systemen kann dies jedoch problematisch sein, da eine nicht ausgereifte KI dazu neigen kann, Vorurteile zu bestätigen und damit diskriminierende Entscheidungen zu treffen. Es ist wichtig, dass Betroffene vor solchen diskriminierenden Entscheidungen geschützt werden und die Möglichkeit erhalten, dagegen Widerspruch einzulegen.

Transparenzgebot für die Datenverarbeitung durch KI

Gem. Artt. 5 (1) lit. a, 12 ff. DSGVO müssen personenbezogene Daten für die betroffenen Personen transparent verarbeitet werden. Die Erfüllung dieser Transparenzpflicht ist von entscheidender Bedeutung. In Bezug auf den Nachweis der Transparenz- und Informationspflichten liegt die Verantwortung beim Verantwortlichen gemäß Art. 5 (2) der DSGVO, der zur Rechenschaftspflicht verpflichtet ist.

Im Kontext von KI bezieht sich Transparenz in der Regel darauf, dass ein umfassendes Verständnis des Systems möglich ist. Beispielsweise sollte bekannt sein, wie das Modell auf Eingangsdaten reagiert, um Vorhersagen zu treffen. Systeme, bei denen dies der Fall ist, werden als Whitebox-Modelle bezeichnet. Im Gegensatz dazu ist das Modell bei einer Blackbox-KI weitgehend unbekannt, wodurch Transparenz nur schwer oder gar nicht gewährleistet werden kann.

Datenschutzfolgenabschätzung im Bereich KI

Die geforderte Datenschutzfolgenabschätzung gemäß der DSGVO gestaltet sich im Bereich der KI als problematisch, da es sich, wie bereits erwähnt, um ein selbstlernendes System handelt, der Entwickler den Algorithmus also gar nicht mehr nachvollziehen kann und die KI die Entscheidungen selbst trifft. Dies gestaltet sich insbesondere bei der Blackbox-KI als schwierig.

Vorteile für den Datenschutz

Datenschutz und KI lassen sich jedoch auch in manchen Bereichen gut miteinander vereinbaren. Beispielsweise können KI-Systeme dabei helfen, Datenpannen rechtzeitig zu erkennen. Ein Bot kann eine wertvolle Unterstützung sein, um diese Datenlecks gem. Art. 33 (1) DSGVO innerhalb der vorgeschriebenen Frist von 72h zu melden, was vielen Unternehmen allein nicht immer gelingt. Darüber hinaus kann KI auch dazu beitragen, Hacker-Angriffe frühzeitig zu identifizieren.

Fazit

Die zukünftige Entwicklung von KI ist schwer vorherzusagen, aber es ist offensichtlich, dass Gesetzesänderungen erforderlich sein werden und der Datenschutz bereits in einem frühen Stadium berücksichtigt werden muss. Sowohl die Unternehmen als auch der Gesetzgeber stehen vor der Herausforderung, den Unternehmen in der EU eine faire Chance im Wettbewerb zu geben, um die Zukunft der KI zu ermöglichen und gleichzeitig die Datensicherheit der europäischen Bürgerinnen und Bürger zu gewährleisten.

An den Anfang scrollen