Die hohen Anforderungen des Datenschutzes durch die DSGVO stellen vermeintlich eine Hürde bei der effizienten Verarbeitung von großen Datenmengen dar, insbesondere im Hinblick auf die Verwendung Künstlicher Intelligenz. Doch stimmt dies tatsächlich?
Die Verarbeitung unserer Daten wird immer umfassender. Künstliche oder artifizielle Intelligenz analysiert unser Konsumverhalten, unsere Zahlungsmoral und unsere Interessen angeblich besser als unser Partner und nimmt uns bereits jetzt schwierige Entscheidungen ab. Auf den ersten Blick scheinen die hohen Anforderungen durch die DSGVO in der Europäischen Union einen Wettbewerbsnachteil darzustellen.
Die DSGVO hat den Aufwand bei der Beachtung des Datenschutzes erheblich gesteigert. Werden bei der Datenverarbeitung kritische Fehler mit datenschutzrechtlichen Auswirkungen öffentlich bekannt, kann dies eine mühsam erarbeitete Reputation innerhalb weniger Tage maßgeblich beschädigen. Außerdem drohen Bußgelder in nicht unerheblicher Höhe. Daher wird häufig eine sehr vorsichtige Auffassung beim Datenschutz vertreten.
Auch Berater vertreten typischerweise eher risikoscheue Ansichten zum Datenschutz. Es soll daher untersucht werden, ob der Datenschutz der Entwicklung von KI oder AI tatsächlich im Wege steht.
Zulässigkeit der Datenerhebung
Werden personenbezogene Daten verarbeitet, sind zunächst die Zulässigkeit der Erhebung und Verarbeitung nach der DSGVO und die mögliche Rechtsgrundlage zu klären. Ohne Rechtsgrundlage erhobene Daten können selbstverständlich auch nicht zur Entwicklung von KI genutzt werden.
Daten, die im Rahmen eines Vertragsverhältnisses übermittelt wurden oder dabei entstehen, dürfen typischerweise gem. Art. 6 Abs. 1 lit. b) DSGVO für dessen Durchführung verwendet werden. Dies schließt eine Verwendung der Daten für die Entwicklung KI jedoch nicht ein. Für eine solche Verwendung bedarf es gemäß Art. 6 Abs. 4 DSGVO einer Vereinbarkeitsprüfung des neuen Verarbeitungszweckes und einer erneuten Berücksichtigung der Interessen betroffener Personen.
Vereinbarkeit und Interessenabwägung
Eine Vereinbarkeit der Entwicklung von KI mit dem ursprünglichen Zweck wird in der Regel gegeben sein, wenn die Entwicklung Zwecken aus dem gleichen Lebensbereich dient, in dem der Vertrag geschlossen wurde. Entscheidend für diese Beurteilung ist die Erwartungshaltung der betroffenen Personen. Werden Medizindaten zur Entwicklung von Medizinprodukten genutzt, dürfte die Zulässigkeit einer Weiterverarbeitung ebenso gegeben sein, wie bei der Entwicklung von Kriterien für das Kreditrisiko aus Daten von Kreditverträgen.
Für die Entwicklung von KI dürfte es in der Regel nicht erforderlich sein, den konkreten Personenbezug zu verarbeiten. Es sollte in allen Fällen ausreichend sein, pseudonymisierte oder anonymisierte Daten zur Entwicklung einzusetzen. Letztlich ist das Ziel nicht die Beurteilung einer einzelnen Person, sondern die Entwicklung allgemeiner Algorithmen. Die Möglichkeit der Pseudonymisierung ist bereits in Art. 6 Abs. 4 lit. e) DSGVO vorgesehen und wird Verantwortlichen als Möglichkeit zur Herstellung geeigneter Garantien zum Schutz der Rechte von betroffenen Personen angeboten.
Sind die Daten pseudonymisiert oder anonymisiert, werden die Interessen der betroffenen Personen nur noch in sehr geringem Umfang berührt. Weder hat die Entwicklung von KI auf sie eine unmittelbare Auswirkung, noch lässt sich dadurch eine unmittelbare Beeinträchtigung erkennen. Zwar können sich die entwickelten Systeme letztendlich auf Einzelpersonen auswirken. Die Entwicklung an sich beeinträchtigt betroffene Personen aber zunächst nicht.
Im Ergebnis kommt eine Abwägung daher in der Regel zu dem Ergebnis, dass der Einsatz pseudonymisierter oder anonymisierter Daten gem. Art. 6 Abs. 4 DSGVO zur Entwicklung von KI in dem Lebensbereich zulässig ist, aus dem die Daten stammen.
Automatisiertes Sammeln von Daten
Aus der Notwendigkeit einer Vereinbarkeitsprüfung wird auch deutlich, dass die Sammlung von Daten durch Bots in Internet ohne jede vertragliche Beziehung zu den betroffenen Personen in aller Regel unzulässig ist. Betroffene Personen rechnen nicht damit, dass diese Daten durch Bots für andere Zwecke, als die ursprünglich beabsichtigten, genutzt werden.
Fraglich ist jedoch, ob die Verwendung solcher Daten überhaupt sinnvoll ist. Diese Daten sind kaum verifizierbar. Es fällt daher unabhängig von der Zulässigkeit schwer, sich eine Entwicklung von KI auf Basis solcher Daten vorzustellen.
Sonstige Anforderungen
Außerdem zu beachten sind Informationspflichten und alle weiteren Rechte betroffener Personen, die in der DSGVO vorgesehen sind. Betroffene Personen müssen bei der Datenerhebung bereits darüber informiert werden, dass ihre Daten gegebenenfalls zur Entwicklung von KI oder AI in pseudonymisierter oder anonymisierter Form eingesetzt werden.
Eine Datenschutzfolgenabschätzung erscheint dagegen nicht erforderlich. Die Entwicklung von KI oder AI hat voraussichtlich kein hohes Risiko für die Rechte und Freiheiten der betroffenen Person zur Folge. Dies gilt jedenfalls dann, wenn die Daten vorher pseudonymisiert werden.
Die Anwendung künstlicher Intelligenz
Bei der Anwendung entwickelter Algorithmen auf betroffene Personen ist Art. 22 DSGVO zu beachten. Werden automatisierte oder weitgehend automatisierte Entscheidungen getroffen, sollten diese zumindest auf einer statistisch nachweisbaren Signifikanz beruhen. Rein zufällige Auffälligkeiten ohne wenigstens statistisch nachweisbare Zusammenhänge können die Rechte und Freiheiten betroffener Personen maßgeblich beeinträchtigen.
Bereits jetzt wirken sich schon geringfügige Veränderungen in der statistischen Wahrscheinlichkeit eines bestimmten Verhaltens oder Merkmals auf die Gestaltung von Verträgen oder Webseiten aus. Individuelle Besonderheiten werden meist nur in sehr geringem Umfang berücksichtigt. Eine Diskriminierung lässt sich auch bei statistisch nachweisbaren Zusammenhängen kaum vermeiden. Es ist offensichtlich, dass dies die Rechte und Freiheiten betroffener Personen erheblich beeinträchtigen kann.
Die individuelle Prüfung bei Vorgängen von erheblicher Bedeutung für betroffene Personen, wie beispielsweise bei der Kreditvergabe oder in Einstellungsverfahren, kann das Risiko einer Diskriminierung deutlich reduzieren und muss daher implementiert werden. Ein solches Verfahren muss außerdem erkennbar zu abweichenden Ergebnisse von einer durch KI erzeugten Vorentscheidung führen.
Fazit: Künstliche Intelligenz und Datenschutz sind kein Widerspruch
Die Entwicklung von KI ist auch unter den strengen Anforderungen der DSGVO problemlos möglich, wenn die Daten zulässig erhoben wurden, nur pseudonymisierte Daten verarbeitet werden und die Entwicklung in dem Lebensbereich stattfindet, aus dem die Daten stammen. Bei der Anwendung der entwickelten Systeme ist darauf zu achten, dass diese zumindest eine statistische Signifikanz aufweisen. Dies wird jedoch das primäre Ziel der Entwicklung künstlicher Intelligenz sein und dürfte in der Praxis kaum problematisch werden.
Dennoch kann Künstliche Intelligenz zur Diskriminierung führen. Eine integrierte Einzelfallprüfung ist daher bei Vorgängen von erheblicher Bedeutung für betroffene Personen erforderlich.