KI und DSGVO: Wichtige Berührungspunkte

KI und DSGVO: Wichtige Berührungspunkte

In meiner “Lernreise zum Thema KI und Datenschutz” komme ich heute zu einem besonders wichtigen Aspekt (eigentlich “des Pudels Kern”): die Schnittstellen zwischen Künstlicher Intelligenz (KI) und der Datenschutz-Grundverordnung (DSGVO). Als Datenschutzbeauftragter mit langjähriger Erfahrung sehe ich die enormen Chancen, die KI bietet.

Sowohl für gemeinnützige Organisationen, aber natürlich auch für alle Unternehmen, eröffnet KI faszinierende Möglichkeiten: Von der Optimierung des Marketings durch präzise Zielgruppenanalysen über die Verbesserung der Projektplanung und -durchführung durch datengestützte Entscheidungen, Hilfe bei der Gliederung und der Content-Erstellung (selbstverständlich hilft mir KI bei dieser Artikel-Serie und allem anderen Content, den ich produziere) bis hin zur Automatisierung zeitaufwändiger administrativer Aufgaben. KI kann alle Unternehmen und Organisationen dabei unterstützen, ihre begrenzten Ressourcen effizienter einzusetzen und somit ihre Wirkung zu maximieren. Zudem bietet KI das Potenzial, neue Erkenntnisse aus komplexen Datensätzen zu gewinnen, was zu innovativen Lösungsansätzen für gesellschaftliche Herausforderungen führen kann.

Herausforderungen und Berührungspunkte zwischen DS und KI

Selbstverständlich sehe ich aber auch die Herausforderungen, die KI in Bezug auf den Datenschutz mit sich bringt. In diesem Artikel untersuche ich die wichtigsten Berührungspunkte zwischen KI und DSGVO. Wir werden sehen, wie wir die Grundprinzipien der DSGVO auf KI-Systeme anwenden können, welche spezifischen Herausforderungen sich ergeben und welche Lösungsansätze es gibt. Dabei werfe ich auch einen Blick auf praxisnahe Beispiele, die Unternehmen und Organisationen helfen können, sich dem Thema KI zu nähern.

Ziel ist es, ein klareres Bild davon zu zeichnen, wie wir KI-Systeme datenschutzkonform gestalten und einsetzen können, ohne dabei auf die Innovationskraft dieser Technologie verzichten zu müssen.

Grundlegende Prinzipien der DSGVO im Kontext von KI

Die Datenschutzgrundsätze der DSGVO aus Art. 5 definieren mehrere Kernprinzipien, die auch bei der Implementierung und Nutzung von KI-Systemen berücksichtigt werden müssen. Es kann nicht oft genug gesagt werden: die Datenschutzgrundsätze sind nicht “schmückendes Beiwerk”, sondern bilden den Kern der DSGVO. Sie sind bei deren Verletzung aus gutem Grund mit dem höheren der beiden Bußgeldsätze belegt. Deshalb beginne ich diesen Beitrag mit den Datenschutz-Grundsätzen und ihrer Bedeutung im KI-Kontext:

1. Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz 
   • KI-Systeme müssen, wenn sie mit personenbezogene Daten arbeiten, auf einer datenschutzrechtlichen Grundlage operieren, z.B. der Einwilligung oder dem berechtigten Interesse. Diese Rechtsgrundlagen finden wir im Art. 6 Abs. 1 Buchstaben a bis f DSGVO.
   • Die Verarbeitung durch KI muss fair und für die betroffenen Personen nachvollziehbar sein. Fairness ist das Grundanliegen der DSGVO. Wenn Verantwortlichen fair vorgehen, wird sich dafür immer eine Rechtsgrundlage finden. Fairness erreichen wir vor allem durch Transparenz. Die Betroffenen müssen wissen, was die Verantwortlichen mit ihren personenbezogenen Daten vorhaben.
   • Herausforderung: In der Transparenz liegt die Krux bei KI. Die Komplexität von KI-Algorithmen kann sie erheblich erschweren. Hier müssen also besonders sorgfältig hinschauen, was die KI da eigentlich macht. Nur, wenn ich das selbst wirklich verstehe, kann ich transparent über die Verarbeitung unterrichten.
2. Zweckbindung 
   • KI-Systeme müssen die Zwecke, für die sie personenbezogene Daten verarbeiten, klar definiert und begrenzen.
   • Herausforderung: KI-Systeme können unerwartete Muster oder Zusammenhänge in Daten entdecken, die über den ursprünglichen Zweck hinausgehen. Hier kommt ebenso zum Tragen, dass wir genau verstehen müssen, was die KI macht.
3. Datenminimierung 
   • KI-Systeme sollten nur die für ihren Zweck notwendigen Daten verarbeiten.
   • Herausforderung: KI-Modelle, insbesondere Deep Learning, benötigen oft große Datenmengen für effektives Training. Wir müssen verhindern, dass die KI nicht zur “Datenschleuder” wird.
4. Richtigkeit 
   • KI-Systeme müssen die von ihnen verarbeiteten Daten korrekt und aktuell halten.
   • Wir müssen KI-Systeme so gestalten, dass sie fehlerhafte oder veraltete Daten erkennen und korrigieren können (Stichworte: Bias, Halluzinieren; darüber werde ich demnächst in einem Artikel außerhalb diese Reihe, die sich ja mit KI und Datenschutz beschäftigt, berichten).
5. Speicherbegrenzung 
   • KI-Systeme dürfen personenbezogene Daten nur so lange speichern, wie es für den Zweck erforderlich ist.
   • Herausforderung: KI-Systeme könnten Daten für zukünftiges Training oder zur Verbesserung der Modelle länger speichern wollen. Wenn wir das auch wollen, müssen wir das bei der Nennung der Zwecke berücksichtigen. Ein Grund mehr, verstehen zu wollen (und zu müssen), was KI macht.
6. Integrität und Vertraulichkeit 
   • KI-Systeme müssen angemessene Sicherheitsmaßnahmen implementieren, um unbefugte Verarbeitung oder Datenverlust zu verhindern.
   • Dies umfasst sowohl technische (z.B. Verschlüsselung oder Pseudonymisierung) als auch organisatorische Maßnahmen (z.B. Zugriffsmöglichkeiten, Rechte-Rollen-Konzept).
7. Rechenschaftspflicht 
   • Unternehmen müssen nachweisen können, dass ihre KI-Systeme DSGVO-konform sind.
   • Dies erfordert eine sorgfältige Dokumentation der KI-Prozesse (also genaue Kenntnis davon, was KI macht – siehe oben) und regelmäßige Überprüfungen.

Wir sehen an den datenschutzrechtlichen Herausforderungen, dass der Einsatz von “KI-Blackboxes” nicht infrage kommen darf!

Die Anwendung dieser Prinzipien auf KI-Systeme erfordert oft kreative und technisch anspruchsvolle Lösungen. In den folgenden Abschnitten betrachten wir genauer, wie wir diese Prinzipien in der Praxis umsetzen können und welche spezifischen Herausforderungen dabei auftreten.

Spezifische Berührungspunkte zwischen KI und DSGVO

Nachdem wir die grundlegenden Prinzipien betrachtet haben, wenden wir uns nun einigen spezifischen Bereichen zu, in denen KI und DSGVO besonders intensiv aufeinandertreffen. Ich gehe hier zunächst auf die Sachthemen mit ihren speziellen Herausforderungen ein. Zu den Lösungen komme ich im nächsten Abschnitt:

Automatisierte Entscheidungsfindung und Profiling 

• Die DSGVO regelt in Art. 22 das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidung unterworfen zu werden.
• Wir müssen KI-Systeme, die automatisierte Entscheidungen treffen, besonders sorgfältig prüfen. Ein Beispiel: Einige große Unternehmen führen für einfache Tätigkeiten wie das Einsammeln (“Picken”) von Warensendungen keine Einstellungsgespräche mehr. Sie wickeln alles über Online-Tools ab. Der oder die neue Mitarbeiter/in sieht das Unternehmen oft am Vertragsbeginn zum ersten Mal von innen. In einem solchen Fall treffen KI-Systeme automatisierte Entscheidungen, über die Betroffene das Recht haben, mit einem Menschen darüber reden zu dürfen.
• Herausforderung: Die Grenze zwischen unterstützender und ausschließlicher Entscheidungsfindung kann in KI-Systemen fließend sein. Es besteht zum Beispiel die Gefahr, dass zwar Prozesse etabliert sind, die eine Entscheidung durch Menschen vorsieht, diese aber die Vorentscheidung der KI nur noch „abnickt“.

Datenschutz-Folgenabschätzung für KI-Systeme 

• Für viele KI-Anwendungen wird eine Datenschutz-Folgenabschätzung (DSFA) gemäß Art. 35 DSGVO erforderlich sein.
• Die DSFA muss die spezifischen Risiken von KI-Systemen berücksichtigen, wie etwa mögliche Diskriminierung oder unbeabsichtigte Datenoffenlegungen.
• Herausforderung: Die Durchführung einer DSFA für komplexe KI-Systeme erfordert ein tiefes technisches Verständnis und interdisziplinäre Zusammenarbeit. Unter keinen Umständen dürfen Verantwortliche das an Datenschutzbeauftragte delegieren. 

Datenqualität und Bias in KI-Modellen 

• KI-Systeme können vorhandene kognitive Voreingenommenheiten oder Verzerrungen (Bias) in Trainingsdaten verstärken und zu diskriminierenden Ergebnissen führen.
• Die DSGVO fordert die Richtigkeit der Daten, was auch die Vermeidung von Bias einschließt.
• Herausforderung: Die Erkennung und Korrektur von Bias in KI-Modellen sind komplexe Probleme, die kontinuierliche Überwachung und Anpassung erfordert.

Recht auf Erklärung bei KI-gestützten Entscheidungen 

• Die DSGVO gewährt Betroffenen das Recht auf “aussagekräftige Informationen über die involvierte Logik” bei automatisierten Entscheidungen.
• Bei komplexen KI-Modellen, insbesondere neuronalen Netzen, kann die Erklärung von Entscheidungen sehr schwierig sein.
• Herausforderung: Wir müssen Wege finden, die “Black Box” der KI verständlich zu machen, ohne die Leistungsfähigkeit der Systeme zu beeinträchtigen (ich weiß: leichter gesagt als getan).

Internationale Datenübermittlungen bei Cloud-basierten KI-Lösungen 

• Viele KI-Lösungen basieren auf Cloud-Diensten, die möglicherweise Daten in Drittländer übermitteln.
• Die DSGVO stellt strenge Anforderungen an solche Übermittlungen, insbesondere nach dem Schrems II-Urteil (das die Nicht-Rechtmäßigkeit des “EU US Privacy Shield” festgestellt hat).
• Herausforderung: Die Sicherstellung DSGVO-konformer Datenübermittlungen kann die Nutzung bestimmter KI-Dienste erschweren oder unmöglich machen. Die derzeitige, nach meiner Einschätzung durch den dritten Gang zum EUGH durch Max Schrems stark gefährdete Lösung „EU US Data Privacy Framework“, steht auf äußerst „wackligen Beinen“. Am 5.11.24 wählen die USA ein(e) neue(r) Präsident(in). Die von Präsident Biden erlassenen Dekrete kann die nächste Person, die rechtmäßig im „Oval Office” die Politik bestimmt, mit einem Federstrich vom Tisch wischen.

Allein diese fünf Punkte verdeutlichen, dass der Einsatz von KI-Systemen eine sorgfältige Planung und kontinuierliche Überwachung erfordert, um DSGVO-konform zu bleiben. Im nächsten Abschnitt beleuchte ich, welche Lösungsansätze es für diese Herausforderungen gibt.

Lösungsansätze und Best Practices

Um die genannten Herausforderungen zu bewältigen und KI-Systeme DSGVO-konform zu gestalten, können Unternehmen und Organisationen verschiedene Ansätze verfolgen. Im Folgenden stelle ich einige wichtige Lösungsstrategien vor.

“Human-in-the-Loop” und Transparenz in KI-Prozessen

Für automatisierte Entscheidungsfindung und Profiling ist die Implementierung eines “Human-in-the-Loop”-Ansatzes von zentraler Bedeutung. Hierbei überprüfen Menschen KI-Entscheidungen, um die Fairness zu erhöhen und das Risiko von Fehlentscheidungen zu reduzieren. Ein Beispiel hierfür wäre ein KI-gestützter Bewerbungsprozess, bei dem die KI eine Vorauswahl trifft, die endgültige Entscheidung jedoch von einem menschlichen Personaler getroffen wird. Wie schon erwähnt, muss der Verantwortliche dafür sorgen, dass tatsächlich eine Beschäftigung mit dem Einzelfall erfolgt, und die mit dieser Aufgabe betraute Person nicht einfach die Vorentscheidung der KI übernimmt. Dafür ist, unter anderem, erforderlich, dass der Verantwortliche damit betrauten Personen genügend Zeit für diese Tätigkeit einräumt. 

Automatisierte Entscheidungsfindung und Profiling durch KI

Ebenso wichtig ist die klare Kennzeichnung von KI-unterstützten Prozessen. Verantwortliche sollte Betroffene transparent darüber informieren, wenn KI im Spiel ist. Dies könnte durch einen einfachen Hinweis auf der Website erfolgen, etwa: “Unser Kundenservice nutzt KI-Unterstützung, um Ihnen schneller helfen zu können.” Solche Maßnahmen erfüllen nicht nur die Transparenzanforderungen der DSGVO, sondern schaffen auch Vertrauen bei den Nutzern.

Zudem müssen Unternehmen einfache Wege zur menschlichen Intervention bereitstellen. Sie können dies durch einen deutlich sichtbaren “Sprechen Sie mit einem Mitarbeiter”-Button in einem KI-Chat realisieren. Diese Maßnahme erfüllt die Anforderungen des Art. 22 DSGVO und verbessert gleichzeitig die Kundenzufriedenheit.

Datenschutz-Folgenabschätzung für KI-Systeme

Bei der Durchführung von Datenschutz-Folgenabschätzungen (DSFA) für KI-Systeme empfiehlt sich die Entwicklung spezieller Templates. Diese sollten gezielt auf KI-spezifische Risiken wie Datenbias, die Blackbox-Problematik und besondere Sicherheitsrisiken eingehen. Dies gewährleistet eine standardisierte und vollständige Bewertung. Parallel dazu ist es wichtig, dass  Verantwortliche ihre Datenschutzbeauftragte in KI-spezifischen Risiken schulen lassen. Regelmäßige Fortbildungen zu KI-Technologien und deren Datenschutzimplikationen erhöhen die Kompetenz des Datenschutzteams und verbessern die Qualität der DSFAs. Themen könnten die Funktionsweise von Machine Learning, potenzielle Bias in KI-Systemen oder das Verständnis der Entscheidungen von Algorithmen der KI (Explainable AI) umfassen.

Die Einbeziehung von KI-Experten in den DSFA-Prozess ist unabdingbar. Durch die Bildung interdisziplinärer Teams aus Datenschützern und KI-Spezialisten können Verantwortliche technische Aspekte überhaupt erst korrekt bewerten und praxisnahe Lösungen finden.

Bewältigung von Datenqualität und Bias in KI-Modellen

Um Datenqualität und Bias in KI-Modellen zu bewältigen, sind regelmäßige Audits der Trainingsdaten unerlässlich. Diese Überprüfungen sollten die Repräsentativität und Fairness der Datensätze sicherstellen. Beispielsweise muss der Verantwortliche gewährleisten, dass ein Datensatz für Personalentscheidungen nicht unbeabsichtigt bestimmte Gruppen benachteiligt. Solche Maßnahmen helfen, diskriminierende Entscheidungen zu vermeiden und erfüllen das Fairness-Gebot der DSGVO.

Der Einsatz von Techniken zur Bias-Erkennung und -Korrektur ist ebenso wichtig. Verantwortliche können spezielle Tools und Algorithmen nutzen, um Verzerrungen in Daten und Modellen zu identifizieren und zu korrigieren. Ein Beispiel wäre die Prüfung, ob ein KI-Modell zur Kreditwürdigkeitsprüfung bestimmte Postleitzahlen unverhältnismäßig benachteiligt. Verantwortliche sollten erkannte Bias durch Anpassung der Trainingsdaten oder des Modells korrigieren.

Die Diversifizierung der KI-Entwicklungsteams kann ebenfalls zur Bewältigung von Bias beitragen. Diverse Teams bringen unterschiedliche Perspektiven ein, was helfen kann, blinde Flecken in der Entwicklung zu vermeiden und inklusivere KI-Systeme zu schaffen.

DSGVO-konforme Lösungsansätze für KI-Implementierungen

Um das Recht auf Information aus Art. 13 DSGVO zu gewährleisten, ist die Entwicklung von Methoden zur Visualisierung von KI-Entscheidungsprozessen hilfreich. Grafische Darstellungen, die den Entscheidungsweg der KI veranschaulichen, können KI-Entscheidungen für Laien verständlicher machen und erfüllen die Transparenzanforderungen der DSGVO. Ein Beispiel wäre ein Entscheidungsbaum, der zeigt, welche Faktoren zu einer bestimmten Empfehlung geführt haben.

Entwicklung erklärbarer KI-Modelle

Wo möglich, sollten die Beteiligten erklärbare KI-Modelle nutzen, deren Entscheidungen nachvollziehbar sind. Entscheidungsbäume sind hier oft transparenter als komplexe neuronale Netze. Für jede KI-Anwendung sollten sie zudem eine laienverständliche Erklärung ihrer Funktionsweise bereitstellen. Ein Beispiel wäre: “Unser Empfehlungssystem berücksichtigt Ihre letzten 10 Käufe, Ihre Produktbewertungen und ähnliche Profile anderer Kunden.” Solche Erklärungen fördern Transparenz und Vertrauen in KI-Systeme.

Datenschutzkonformer Umgang mit internationalen KI-Diensten

Bei internationalen Datenübermittlungen im Rahmen von Cloud-basierten KI-Lösungen sollten ie an dem Prozess Beteiligten zunächst EU-basierte KI-Dienstleister in Betracht ziehen. Hier helfen die unterschiedlichen Rollen, die Art. 3 AI Act definieren. Der Artikel enthält 68 sogenannte Legaldefinitionen, sprich: der Gesetzgeber hat hier, ähnlich wie im Art. 4 DSGVO, Definitionen mitgeliefert. So unterscheidet der Gesetzgeber zwischen Anbieter (Hersteller, der ein KI-System unter eigenem Namen oder Marke in Verkehr bringt) und Betreiber (jemand, der ein KI-System in eigener Verantwortung verwendet). Es könnte also ein „Betreiber“ in der Union ein KI-System eines „Anbieters“ in den USA einsetzen. Hat der Anbieter keinen Zugriff auf die mit seinem System verarbeiteten Daten, findet datenschutzrechtlich keine Übermittlung in ein Drittland statt. Dies vermeidet die komplexen rechtlichen Herausforderungen von Datenübermittlungen in Drittländer. Wenn dies nicht möglich ist, sind starke Verschlüsselung und Pseudonymisierung ein möglicher Weg und dann aber auch unerlässlich. Die Implementierung von Ende-zu-Ende-Verschlüsselung für Daten, die an Cloud-KI-Dienste übermittelt werden, sowie die Pseudonymisierung personenbezogener Daten vor der Übermittlung erhöhen den Datenschutz und können helfen, die Anforderungen des Schrems II-Urteils zu erfüllen.

Schließlich sollten Verantwortliche robuste Vertragsklauseln und zusätzliche Schutzmaßnahmen implementieren. Die Verwendung der aktualisierten Standardvertragsklauseln der EU-Kommission, ergänzt um zusätzliche Schutzmaßnahmen wie regelmäßige Audits, Transparenzberichte und spezifische Rechtsbehelfe für Betroffene, stärkt die rechtliche Position und den Schutz der übermittelten Daten.

Ressourcenplanung und (externe) Unterstützung für KI-Datenschutz

Die Umsetzung dieser Maßnahmen erfordert oft erhebliche Ressourcen und Expertise. Es ist ratsam, schrittweise vorzugehen und sich bei Bedarf externe Unterstützung zu holen. Regelmäßige Überprüfungen und Anpassungen sind unerlässlich, da sich sowohl die KI-Technologien als auch die rechtlichen Rahmenbedingungen ständig weiterentwickeln.

Zeitnahe Maßnahmen zur KI-Compliance

Wichtig wird sein, sich auf die Bestimmungen zu konzentrieren, die zeitnah zu erfüllen sind. So ist die verpflichtende Schulung von Mitarbeitenden, die KI-Systeme nutzen sollen bereits ab dem 2. Februar 2025 Gesetzeslage. Das Gleiche gilt für die Erstellung und Bekanntmachung von Richtlinien zur Nutzung von KI in Unternehmen und Organisationen. Es bleiben ab Veröffentlichungstag dieses Artikels (11.10.2024) noch genau 114 Tage!