In einer Welt, die zunehmend von technologischen Fortschritten geprägt ist, eröffnet Künstliche Intelligenz (KI) sowohl faszinierende Möglichkeiten als auch potenziell beunruhigende Herausforderungen, insbesondere im Kontext der Verarbeitung personenbezogener Daten. Die fortschreitende Integration von KI-Algorithmen in verschiedene Bereiche unseres Lebens verspricht Effizienzsteigerungen, personalisierte Dienstleistungen und innovative Lösungsansätze. Doch gleichzeitig werfen die wachsende Menge an gesammelten Daten und die Komplexität der KI-Systeme auch berechtigte Fragen hinsichtlich Datenschutz, Privatsphäre und ethischer Verantwortung auf.
In diesem Artikel werfe ich einen Blick auf einige datenschutzrechtliche Fragen und stelle Möglichkeiten vor, wie Sie im Rahmen von KI-Projekten mit schützenswerten Daten sicher umgehen können.
Einsatzgebiete von KI, die nicht datenschutzrelevant sind
Es gibt zahlreiche KI-Anwendungen, die nicht unmittelbar datenschutzrelevant sind. So wird KI etwa eingesetzt, um Erkenntnisse über die Entstehung von Sternen zu gewinnen oder Telekommunikationsnetze zu optimieren. In der Robotik kommt KI zum Einsatz, wenn es darum geht, in unbekannten Umgebungen sicher zu navigieren. Ein Produktionsunternehmen kann KI-Algorithmen einsetzen, um den Verschleiß von Produktionsmaschinen zu überwachen: basierend auf den erfassten Daten kann die KI vorhersagen, wann bestimmte Teile ausgetauscht oder gewartet werden müssen, um unvorhergesehene Stillstände zu verhindern. Auch in der Kunst kann KI zum Einsatz kommen und Bilder, Musik oder Videos generieren. Bei unserer Digital Publishing Software, Purple, setzen wir KI ein, um Journalist:innen von ungeliebten Arbeiten wie Verlinkung oder SEO zu befreien, damit sie sich auf ihre eigentliche journalistische Arbeit konzentrieren können.
Bei all diesen Anwendungen werden keine personenbezogenen Daten verarbeitet und insofern sind diese nicht datenschutzrelevant.
Verarbeitung von Personendaten
Im Gegensatz zu den oben beschriebenen Einsatzfällen von KI unterliegt jegliche Verarbeitung von personenbezogenen Daten strengen Datenschutzregeln. Die DSGVO verbietet sogar ausdrücklich jede Verarbeitung von personenbezogenen Daten, es sei denn eine von 6 möglichen Bedingungen liegt vor:
- Die informierte Einwilligung der betroffenen Person
- Die Erfüllung eines Vertrages
- Die Erfüllung einer rechtlichen Verpflichtung
- Der Schutz lebenswichtiger Interessen
- Öffentliches Interesse
- Berechtigtes Interesse des Verantwortlichen
Die meisten Anbieter berufen sich auf die “informierte Einwilligung”. Dabei stimmt die Person zu, dass ihre Daten verarbeitet werden, nachdem sie “in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache” über den Zweck der Datenverarbeitung informiert wurde.
Die betroffene Person kann jederzeit Auskunft über von ihr verarbeitete Daten sowie deren Korrektur verlangen. Darüber hinaus kann die Person ihre einmal gegebene Einwilligung zur Datenverarbeitung jederzeit widerrufen. Das berührt nicht die bereits stattgefundene Datenverarbeitung, verbietet jedoch die weitere Nutzung der Daten und erzwingt deren Löschung.
Verarbeitung von Personendaten mittels KI
Das oben gesagte vorausgesetzt, ergibt sich für die verantwortliche Person ein unlösbares Problem, wenn sie personenbezogene Daten etwa zum Trainieren einer KI benutzt hat. Denn es ist praktisch nicht möglich, einzelne in ein KI-Modell eingespeiste Daten nachträglich zu verändern oder aus diesem wieder zu entfernen. Die verantwortliche Person hat nur die Option, das Modell wegzuwerfen und unter Auslassung der zu löschenden Daten zeitaufwendig neu zu trainieren, sofern sie die übrigen Trainingsdaten überhaupt noch hat. (Das wäre zum Beispiel nicht der Fall, wenn die Nutzer:innen direkt mit der KI kommunizieren.)
Anonymisierung
Eine Lösung für dieses Problem kann die Anonymisierung der Daten sein. Anonyme Daten sind per se nicht personenbezogen, d.h. deren Verwendung unterliegt nicht den Bestimmungen der DSGVO oder anderer Datenschutzgesetze.
Die Anonymisierung selbst ist dabei natürlich eine Verarbeitung, der die betroffene Person zustimmen muss. Zieht sie später ihre Einwilligung zurück, so betrifft das die bereits stattgefundene Verarbeitung (Anonymisierung) wie oben ausgeführt nicht mehr, und die anonymen Daten können weiterhin zustimmungsfrei verwendet werden.
Die Anonymisierung muss selbstverständlich so erfolgen, dass keine Rückschlüsse auf Personen mehr möglich sind (anderenfalls wäre es auch keine Anonymisierung). Werden beispielsweise nur Körpergröße und Augenfarbe von 100.000 Personen in einem Datenpool gespeichert, kann man diesen Datenpool sicher als anonym ansehen, da man aus den Datensätzen nicht mehr auf eine Person schließen kann. Wird ein KI-Modell nur mit anonymisierten Daten trainiert, so dürften keine datenschutzrechtlichen Bedenken bei seiner Benutzung bestehen.
Andere hinreichende Bedingungen für die Datenverarbeitung
Für die Verarbeitung personenbezogener Daten ist nicht zwingend die Zustimmung der betroffenen Person erforderlich, wie ich oben gezeigt habe. Die Verarbeitung ist auch erlaubt, wenn sie etwa im öffentlichen Interesse liegt oder im berechtigten Interesse des Verantwortlichen (und dabei nicht das Interesse der betroffenen Person überwiegt). In diesen Fällen können personenbezogene Daten auch durch KI verarbeitet werden. Hier darf allerdings Artikel 22 der DSGVO nicht außer Acht gelassen werden: Personen dürfen nicht ausschließlich automatisierten Entscheidungen unterworfen werden. Im Grunde stellt dieser Artikel einen Vorgriff auf die zurzeit noch in Abstimmung befindliche KI-Verordnung der EU-Kommission dar, in der solche Fälle ausführlich geregelt werden.
Fällt der Grund für die Verarbeitung weg, so müssen die Daten gelöscht werden. Das ist kein Problem, wenn der Grund für die Verarbeitung für alle Personen gleichzeitig wegfällt, man würde ohnehin das ganze KI-Modell löschen. Bei einer Datenverarbeitung, die so gestaltet ist, dass sie für einzelne Personen nur eine gewisse Zeit erforderlich ist, etwa zur Durchführung eines Vertrages, käme wieder das bereits oben angesprochene Problem zum Tragen: niemand kann die Daten einer Person aus einem KI-Modell wieder entfernen. Derartige Datenverarbeitungen sind also nicht rechtssicher umzusetzen.
Öffentliche verfügbare oder private Modelle
Verschiedene öffentliche KI-Modelle wie z. B. Google Bard werden von Millionen Nutzern weltweit benutzt. Dabei fließen alle Eingabedaten, also die Nutzerprompts, an den Betreiber. Dieser benutzt die Eingabedaten zur Weiterentwicklung seiner Modelle, wobei sie unter anderem auch von Menschen gelesen werden (Reviewer). Es ist evident, dass sich derartige öffentliche Modelle nicht datenschutzkonform benutzen lassen.
Es ist jedoch zum Glück nicht schwer, eine eigene KI zu betreiben, sei es im eigenen Rechenzentrum oder bei einem Cloud-Anbieter. Dabei können Sie auf “pre-trained models” zurückgreifen, also KI-Modelle, die bereits mit einer Vielzahl von Daten für bestimmte Zwecke trainiert wurden, und diese für die eigenen Zwecke anpassen oder weiterentwickeln.
Fazit
Es gibt zahlreiche Möglichkeiten, wie Sie KI sinnvoll einsetzen können, ohne mit dem Datenschutz in Berührung zu kommen. Aber auch die KI-gestützte Verarbeitung von Personendaten kann, wie ich in diesem Artikel aufgezeigt habe, so gestaltet werden, dass sie konform mit bestehenden Datenschutzgesetzen erfolgt.
Die größten Risiken von KI sind Compliance, Datensicherheit, Kontrollierbarkeit sowie ethische Konflikte. Wie wir damit umgehen? Proaktiv. Wir dokumentieren die Entwicklung unsere KI-Systeme transparent und nachvollziehbar. Außerdem arbeiten wir auf technischer sowie prozessualer Ebene eng mit Ihnen zusammen, um mögliche Risiken früh zu erkennen. So sind wir in der Lage, die passenden Safeguards in Ihre Workflows und Systeme zu integrieren. Hier erfahren Sie mehr über unsere KI-Leistungen.
