07312 KI im Fokus der DSGVO: Grundprinzipien
|
Wie beeinflusst die DSGVO den Einsatz von künstlicher Intelligenz (KI) in Unternehmen? Der Beitrag gibt Antworten und bietet eine detaillierte Analyse der datenschutzrechtlichen Aspekte im Umfeld von KI, speziell unter Berücksichtigung der DSGVO. Dabei beleuchtet er die kritischen Berührungspunkte und erläutert die essenziellen datenschutzrechtlichen Prinzipien, die für die Verarbeitung von personenbezogenen Daten entscheidend sind. Sie vertiefen Ihr Wissen zu den Themen Rechtmäßigkeit, Transparenz, Fairness, Zweckbindung, Datenminimierung und Rechenschaftspflicht mit direktem Bezug zu KI. von: |
Beim Einsatz von KI und gerade auch beim Training/Lernen einer KI sind aufgrund der Risikogeneigtheit dieser Verarbeitung ganz besonders die Grundlagen und Grundprinzipien des Datenschutzes im Auge zu behalten und die KI-Verarbeitung an diesen zu messen bzw. auszurichten. Sie erhalten eine grobe Vorstellung davon, wo die Herausforderungen des KI-Einsatzes liegen, und können so die im Beitrag „Künstliche Intelligenz – grundsätzliche Überlegungen” (s. Kap. 07310) erläuterten Anforderungen der Datenschutzkonferenz (DSK) an einen datenschutzrechtskonformen KI-Einsatz besser nachvollziehen, auch wenn diese auf den ersten Blick möglicherweise ein wenig überzogen erscheinen könnten.
Dass es sich bei der KI-Verarbeitung um etwas Besonderes handelt, erkennen Sie schnell, wenn Sie sich mit der Frage nach dem „Personenbezug” der zu verarbeitenden Daten beschäftigen.
1 Personenbezug von Daten in Bezug auf KI
Eine Frage, die sich beim Einsatz von KI praktisch immer stellt, ist die nach dem „Personenbezug” der zu verarbeitenden Daten, vor allem weil nur bei Daten, die einen Personenbezug aufweisen, die Regelungen des Datenschutzes (der DSGVO) Anwendung finden (vgl. Art. 2 DSGVO). Auch einige Anbieter von KI-Dienstleistungen sind sich dieser Tatsache sehr bewusst. Oftmals werben diese Unternehmen damit, dass sie bspw. für das KI-Training nur „anonymisierte” oder „selbst hergestellte (synthetische) Daten” verarbeiten. Es sei jedoch darauf hingewiesen, dass die Anonymisierung von Daten für sich gesehen bereits eine eigene Verarbeitungsform ist, die eine entsprechende Legitimation erfordert. Die Unternehmen haben diese jedoch möglicherweise vor dem Trainieren der Daten nicht eingeholt.
Verarbeitung von „anonymen” Daten?
Der Grund, wieso die Unternehmen mit der „Anonymisierung” bzw. der Verarbeitung von „anonymen” Daten werben, ist möglicherweise der, dass sie damit den Eindruck erwecken wollen, dass das Datenschutzrecht auf ihre KI-Anwendung in allen Verarbeitungsphasen nicht anwendbar ist. Damit wird suggeriert, dass, gerade weil der Datenschutz ja vermeintlich keine Anwendung findet, praktisch jedes Unternehmen seine Software bedenkenlos einsetzen kann. Damit wird auch der Eindruck erweckt, dass, weil diese Daten ja „anonym” sind, KI letztlich wie jede andere Software eingesetzt werden kann und sich somit keine anderen Anforderungen stellen als die, die die Unternehmen ohnehin bei jedem Softwareeinsatz zu beachten haben. Doch dies ist ein Trugschluss, wie nachfolgend gezeigt wird.
Der Grund, wieso die Unternehmen mit der „Anonymisierung” bzw. der Verarbeitung von „anonymen” Daten werben, ist möglicherweise der, dass sie damit den Eindruck erwecken wollen, dass das Datenschutzrecht auf ihre KI-Anwendung in allen Verarbeitungsphasen nicht anwendbar ist. Damit wird suggeriert, dass, gerade weil der Datenschutz ja vermeintlich keine Anwendung findet, praktisch jedes Unternehmen seine Software bedenkenlos einsetzen kann. Damit wird auch der Eindruck erweckt, dass, weil diese Daten ja „anonym” sind, KI letztlich wie jede andere Software eingesetzt werden kann und sich somit keine anderen Anforderungen stellen als die, die die Unternehmen ohnehin bei jedem Softwareeinsatz zu beachten haben. Doch dies ist ein Trugschluss, wie nachfolgend gezeigt wird.
Die Frage, ob die bei der KI-Verarbeitung verarbeiteten Daten einen Personenbezug aufweisen, richtet sich nach der Legaldefinition in Art. 4 Nr. 1 DSGVO. Darin heißt es:
DSGVO Art. 4 Nr. 1
„‚personenbezogene Daten’ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden ‚betroffene Person’) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind;”
„‚personenbezogene Daten’ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden ‚betroffene Person’) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind;”
Nachträglich Personenbezug herstellbar
Mithin ist es notwendig, dass diese Daten entweder direkt die Person identifizieren oder die Person direkt oder indirekt durch die Verknüpfung mit anderen Informationen identifiziert werden kann. Nicht selten ist es möglich, durch Heranziehen zusätzlicher Daten Verbindungen herzustellen, die Rückschlüsse auf die Person ermöglichen und diese eindeutig identifizierbar machen. Durch den Kontext lassen sich mithin neue Informationen aus den Daten ziehen. Ein Datum kann zudem einen Personenbezug und andere Merkmale übernehmen (erben), wenn es einmal mit Daten verknüpft wurde, die einen Personenbezug haben. Ein solches Datum ist damit in der Lage, alle anderen Daten, die mit diesem Datum im Zusammenhang stehen, mit seinem Personenbezug zu „infizieren”.
Mithin ist es notwendig, dass diese Daten entweder direkt die Person identifizieren oder die Person direkt oder indirekt durch die Verknüpfung mit anderen Informationen identifiziert werden kann. Nicht selten ist es möglich, durch Heranziehen zusätzlicher Daten Verbindungen herzustellen, die Rückschlüsse auf die Person ermöglichen und diese eindeutig identifizierbar machen. Durch den Kontext lassen sich mithin neue Informationen aus den Daten ziehen. Ein Datum kann zudem einen Personenbezug und andere Merkmale übernehmen (erben), wenn es einmal mit Daten verknüpft wurde, die einen Personenbezug haben. Ein solches Datum ist damit in der Lage, alle anderen Daten, die mit diesem Datum im Zusammenhang stehen, mit seinem Personenbezug zu „infizieren”.
Wie gezeigt wird, ist zu beachten, dass die „KI-Verarbeitung” unterschiedliche Datenverarbeitungstätigkeiten umfasst. Da die KI-Verarbeitung kein einheitlicher, durchgehender Prozess ist, kann so durch die von der KI neu eingenommene „Perspektive” in jeder Phase ein neuer Personenbezug entstehen, zum Beispiel durch geänderte Verarbeitungszwecke oder zusätzliche Daten.
Wie aus den Ausführungen der Datenschutzkonferenz (DSK) (s. Kap. 07310) herauszulesen ist, kommt es bei der Bestimmung des Personenbezugs daher insbesondere auch darauf an, welche „Wissensdomäne” man mit der KI-Verarbeitung adressieren will bzw. adressiert und ob sich diese im Lauf der Verarbeitung ändern kann. Mithin kann es auch entscheidend sein zu bestimmen, welchen Kontext/welche Zusammenhänge man aus den Daten mit der KI-Verarbeitung und dem zugrundeliegenden Modell inkl. der Algorithmen herstellen will.
Ursprungsdaten reproduzierbar?
Ferner gilt es sich zu vergegenwärtigen, dass Daten vielfach auch aus den (gelernten) „Zuständen”, mithin also den abgespeicherten Vektoren heraus reproduzierbar sind, sodass man konsequenterweise auch bei den „Zuständen”, selbst wenn sie die Daten nicht direkt bspw. in Dateiform umfassen, trotzdem von einem Personenbezug ausgehen muss (vgl. Kap. 04K03).
Ferner gilt es sich zu vergegenwärtigen, dass Daten vielfach auch aus den (gelernten) „Zuständen”, mithin also den abgespeicherten Vektoren heraus reproduzierbar sind, sodass man konsequenterweise auch bei den „Zuständen”, selbst wenn sie die Daten nicht direkt bspw. in Dateiform umfassen, trotzdem von einem Personenbezug ausgehen muss (vgl. Kap. 04K03).
Was den KI-Einsatz hinsichtlich der vorstehend beschriebenen „Personenbezugsproblematik” in der Praxis oftmals so diffizil macht, ist, dass die „Beweise”, also die Daten, mit denen trainiert wurde, oft nicht mehr vorhanden sind bzw. der Bezug der „Zustände/Vektoren” zu den verarbeiteten Daten vielfach nicht mehr reproduzierbar ist. Damit ist auch nicht nachprüfbar, welche Daten insbesondere beim Training tatsächlich verarbeitet wurden. Allein diese Problematik macht die Verarbeitung mit KI-Systemen sehr intransparent. Damit fällt es auch schwer nachzuvollziehen, ob man als datenschutzrechtlicher Verantwortlicher diesen Systemen überhaupt vertrauen kann. Denn gerade, wenn man nicht weiß, welche Daten wie genutzt wurden und werden, ist es auch schwer zu entscheiden, wer eigentlich beim Einsatz von KI für welche Verarbeitung in welchem Umfang verantwortlich ist.
2 Datenschutzrechtliche Verantwortlichkeit
Beim Einsatz von „KI” erkennt man u. a. aufgrund der oftmals getrennt erfolgenden Datenverarbeitungen im Rahmen des KI-Lebenszyklus, wie wichtig es ist, die auf die jeweilige Verarbeitungstätigkeit passenden Verantwortlichkeiten der Beteiligten zu definieren. Dabei muss für jeden Verarbeitungsschritt bestimmt werden, wer eigentlich „Herr” über welche Verarbeitung” ist. Mithin gilt es also herauszufinden, wer derjenige ist, der über Mittel und Zwecke der jeweiligen Verarbeitung entscheidet.
Dass diese Fragestellung gerade bei KI schnell sehr relevant werden kann, erkennt man, wenn man sich bewusst macht, dass bspw. Unternehmen, die eine KI-Lösung einsetzen, oftmals nicht die sind, die sie auch initial trainiert und entwickelt haben. Vielfach wurden die eingesetzten KI-Modelle mit anderen Daten von den Anbietern entsprechend vortrainiert. Diese vortrainierten Modelle verarbeiten dann die Daten des Nutzers/Unternehmens.
