KI und Datenschutz: Wichtige Berührungspunkte – KI-Lernreise Woche 2, Beitrag 2
Wichtige Berührungspunkte zwischen KI und Datenschutz
In meiner “Lernreise zum Thema KI und Datenschutz” komme ich heute zu einen besonders wichtigen Aspekt (eigentlich “des Pudels Kern”): die Schnittstellen zwischen Künstlicher Intelligenz (Wikipedia) (KI) und der Datenschutz-Grundverordnung (DSGVO) (Wikipedia). Als Datenschutzbeauftragter mit langer Erfahrung sehe ich die enormen Chancen, die KI bietet. Für grundlegende Informationen zu KI-Techniken geht’s hier.
Sowohl für gemeinnützige Organisationen, aber natürlich auch für alle Unternehmen, eröffnet KI faszinierende Möglichkeiten: Von der Optimierung des Marketings durch präzise Zielgruppenanalysen über die Verbesserung der Projektplanung und -durchführung durch datengestützte Entscheidungen, Hilfe bei der Gliederung und der Content-Erstellung (selbstverständlich hilft mir KI bei dieser Artikel-Serie und allem anderen Content, den ich produziere) bis hin zur Automatisierung zeitaufwändiger administrativer Aufgaben. KI kann alle Unternehmen und Organisationen dabei unterstützen, ihre begrenzten Ressourcen effizienter einzusetzen und somit ihre Wirkung zu maximieren. Zudem bietet KI das Potenzial, neue Erkenntnisse aus komplexen Datensätzen zu gewinnen, was zu innovativen Lösungsansätzen für gesellschaftliche Herausforderungen führen kann.
Herausforderungen der KI in Bezug zum Datenschutz
Selbstverständlich sehe ich aber auch die Herausforderungen, die KI in Bezug auf den Datenschutz mit sich bringt. In diesem Artikel werde ich die wichtigsten Berührungspunkte zwischen KI und DSGVO untersuchen. Wir werden sehen, wie die Grundprinzipien der DSGVO auf KI-Systeme angewandt werden können, welche spezifischen Herausforderungen sich ergeben und welche Lösungsansätze es gibt. Dabei werde ich auch einen Blick auf praxisnahe Beispiele werfen, die Unternehmen und Organisationen helfen können, sich dem Thema KI zu nähern.
Ziel ist es, ein klareres Bild davon zu zeichnen, wie wir KI-Systeme datenschutzkonform gestalten und einsetzen können, ohne dabei auf die Innovationskraft dieser Technologie verzichten zu müssen.
Grundlegende Prinzipien der DSGVO im Kontext von KI und Datenschutz
Die Datenschutzgrundsätze der DSGVO aus Art. 5 definieren mehrere Kernprinzipien, die auch bei der Umsetzung und Nutzung von KI-Systemen berücksichtigt werden müssen. Es kann nicht oft genug gesagt werden: die Datenschutzgrundsätze sind nicht “schmückendes Beiwerk”, sondern bilden den Kern der DSGVO. Sie sind bei deren Verletzung aus gutem Grund mit dem höheren der beiden Bußgeldsätze belegt. Deshalb beginne ich diesen Beitrag mit den Datenschutz-Grundsätzen und ihrer Bedeutung im KI-Kontext:
-
Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
- KI-Systeme müssen bei der Verarbeitung personenbezogener Daten auf einer datenschutzrechtlichen Grundlage operieren, z.B. der Einwilligung oder dem berechtigten Interesse. Diese Rechtsgrundlagen finden wir im Art. 6 Abs. 1 Buchstaben a bis f DSGVO.
- KI muss Daten fair und für die betroffenen Personen nachvollziehbar verarbeiten. Fairness ist das Grundanliegen der DSGVO. Ist das Vorgehen der Verantwortlichen fair, wird sich dafür immer eine Rechtsgrundlage finden. Fairness wird vor allem erreicht durch Transparenz. Die Betroffenen müssen wissen, was die Verantwortlichen mit ihren personenbezogenen Daten vorhaben.
- Herausforderung: In der Transparenz liegt die Krux bei KI. Die Komplexität von KI-Algorithmen kann sie erheblich erschweren. Hier muss also besonders sorgfältig hingeschaut werden, was die KI da eigentlich macht. Nur, wenn ich das selbst wirklich verstehe, kann ich transparent über die Verarbeitung unterrichten.
-
Zweckbindung
- Die Zwecke, für die KI personenbezogene Daten verarbeitet, müssen klar definiert und begrenzt sein.
- Herausforderung: KI-Systeme können unerwartete Muster oder Zusammenhänge in Daten entdecken, die über den ursprünglichen Zweck hinausgehen. Hier kommt ebenso zum Tragen, dass wir genau verstehen müssen, was die KI macht.
-
Datenminimierung
- KI-Systeme sollten nur die für ihren Zweck notwendigen Daten verarbeiten.
- Herausforderung: KI-Modelle, insbesondere Deep Learning, benötigen oft große Datenmengen für effektives Training. Wir müssen darauf achten, dass die KI nicht zur “Datenschleuder” wird.
-
Richtigkeit
- Die von KI verarbeiteten Daten müssen korrekt und aktuell sein.
- KI-Systeme müssen so gestaltet sein, dass sie fehlerhafte oder veraltete Daten erkennen und korrigieren können (Stichworte: Bias, Halluzinieren; darüber werde ich demnächst in einem Artikel außerhalb diese Reihe, die sich ja mit KI und Datenschutz beschäftigt, berichten).
-
Speicherbegrenzung
- Verantwortliche dürfen personenbezogene Daten nur so lange speichern, wie es der Zweck erfordert.
- Herausforderung: KI-Systeme könnten Daten für zukünftiges Training oder zur Verbesserung der Modelle länger speichern wollen. Wenn wir das auch wollen, müssen wir das bei der Nennung der Zwecke berücksichtigen. Ein Grund mehr, verstehen zu wollen (und zu müssen), was KI macht.
-
Integrität und Vertraulichkeit
- In KI-Systeme müssen angemessene Sicherheitsmaßnahmen eingesetzt werden, um unbefugte Verarbeitung oder Datenverlust zu verhindern.
- Dies umfasst sowohl technische (z.B. Verschlüsselung oder Pseudonymisierung) als auch organisatorische Maßnahmen (z.B. Zugriffsmöglichkeiten, Rechte-Rollen-Konzept).
-
Rechenschaftspflicht
- Unternehmen müssen nachweisen können, dass ihre KI-Systeme DSGVO-konform sind.
- Unternehmen müssen KI-Prozesse sorgfältig dokumentieren und regelmäßig überprüfen (sie müssen also genaue Kenntnis davon haben, was KI macht – siehe oben).
Wir sehen an den datenschutzrechtlichen Herausforderungen, dass der Einsatz von “KI-Blackboxes” nicht infrage kommen darf!
Die Anwendung dieser Prinzipien auf KI-Systeme erfordert oft kreative und technisch anspruchsvolle Lösungen. In den folgenden Abschnitten werden wir genauer betrachten, wie diese Prinzipien in der Praxis umgesetzt werden können und welche spezifischen Herausforderungen dabei auftreten.
Spezifische Berührungspunkte zwischen KI und DSGVO
Nachdem wir die grundlegenden Prinzipien betrachtet haben, wenden wir uns nun einigen spezifischen Bereichen zu, in denen KI und DSGVO besonders intensiv aufeinandertreffen. Ich werde hier zunächst auf die Sachthemen mit ihren speziellen Herausforderungen eingehen. Zu den Lösungen komme ich im nächsten Abschnitt:
-
Automatisierte Entscheidungsfindung und Profiling
- Die DSGVO regelt in Art. 22 das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidung unterworfen zu werden.
- KI-Systeme, die automatisierte Entscheidungen treffen, müssen besonders sorgfältig geprüft werden. Ein Beispiel: Einige große Unternehmen führen für einfache Tätigkeiten wie das Einsammeln (“Picken”) von Warensendungen keine Einstellungsgespräche mehr. Es wird alles über Online-Tools besprochen und abgewickelt. Der oder die neue Mitarbeiter/in sieht das Unternehmen oft am Vertragsbeginn zum ersten Mal von innen. In einem solchen Fall werden automatisierte Entscheidungen getroffen, über die Betroffene das Recht haben, mit einem Menschen darüber reden zu dürfen.
- Herausforderung: Die Grenze zwischen unterstützender und ausschließlicher Entscheidungsfindung kann in KI-Systemen fließend sein. Es besteht zum Beispiel die Gefahr, dass zwar Prozesse etabliert sind, die eine Entscheidung durch Menschen vorsieht, diese aber die Vorentscheidung der KI nur noch „abnickt“.
-
Datenschutz-Folgenabschätzung für KI-Systeme
- Für viele KI-Anwendungen wird eine Datenschutz-Folgenabschätzung (DSFA) gemäß Art. 35 DSGVO erforderlich sein.
- Die DSFA muss spezifische Risiken von KI-Systemen einbeziehen, wie etwa mögliche Diskriminierung oder unbeabsichtigte Datenoffenlegungen.
- Herausforderung: Die Durchführung einer DSFA für komplexe KI-Systeme erfordert ein tiefes technisches Verständnis und fachübergreifende Zusammenarbeit. Unter keinen Umständen darf das an Datenschutzbeauftragte delegiert werden.
-
Datenqualität und Bias in KI-Modellen
- KI-Systeme können vorhandene kognitive Voreingenommenheiten oder Verzerrungen (Bias) in Trainingsdaten verstärken und zu diskriminierenden Ergebnissen führen.
- Die DSGVO fordert die Richtigkeit der Daten, was auch die Vermeidung von Bias einschließt.
- Herausforderung: Die Erkennung und Korrektur von Bias in KI-Modellen sind komplexe Probleme, die kontinuierliche Überwachung und Anpassung erfordert.
-
Recht auf Erklärung bei KI-gestützten Entscheidungen
- Die DSGVO gewährt Betroffenen das Recht auf “aussagekräftige Informationen über die involvierte Logik” bei automatisierten Entscheidungen.
- Komplexe KI-Modelle, insbesondere neuronale Netze, erschweren oft die Erklärung von Entscheidungen.
- Herausforderung: Es müssen Wege gefunden werden, die “Black Box” der KI verständlich zu machen, ohne die Leistungsfähigkeit der Systeme zu beeinträchtigen (ich weiß: leichter gesagt als getan).
-
Internationale Datenübermittlungen bei Cloud-basierten KI-Lösungen
- Viele KI-Lösungen nutzen Cloud-Dienste, die möglicherweise Daten in Drittländer übermitteln.
- Die DSGVO stellt strenge Anforderungen an solche Übermittlungen, insbesondere nach dem Schrems II-Urteil (das die Nicht-Rechtmäßigkeit des “EU US Privacy Shield” festgestellt hat).
- Herausforderung: Die Sicherstellung DSGVO-konformer Datenübermittlungen kann die Nutzung bestimmter KI-Dienste erschweren oder unmöglich machen. Die derzeitige, nach meiner Einschätzung durch den dritten Gang zum EUGH durch Max Schrems stark gefährdete Lösung „EU US Data Privacy Framework“, steht auf äußerst „wackligen Beinen“. Am 5.11.24 wird in den USA ein(e) neue(r) Präsident(in) gewählt. Die von Präsident Biden erlassenen Dekrete können mit einem Federstrich von der nächsten Person, die rechtmäßig im „Oval Office“ die Politik bestimmt, vom Tisch gewischt werden.
Allein diese fünf Punkte verdeutlichen, dass der Einsatz von KI-Systemen eine sorgfältige Planung und kontinuierliche Überwachung erfordert, um DSGVO-konform zu bleiben. Im nächsten Abschnitt werde ich beleuchten, welche Lösungsansätze es für diese Herausforderungen gibt.
Lösungsansätze und Best Practices
Um die genannten Herausforderungen zu bewältigen und KI-Systeme DSGVO-konform zu gestalten, können Unternehmen und Organisationen verschiedene Ansätze verfolgen. Im Folgenden stelle ich einige wichtige Lösungsstrategien vor.
Automatisierte Entscheidungsfindung
Für automatisierte Entscheidungsfindung und Profiling ist die Umsetzung eines “Human-in-the-Loop”-Ansatzes von zentraler Bedeutung. Lass Menschen die KI-Entscheidungen überprüfen. Das macht den Prozess fairer und verringert Fehler. Stell Dir zum Beispiel einen KI-unterstützten Bewerbungsprozess vor: Die KI wählt Kandidaten vor, aber ein Mensch aus der Personalabteilung trifft die Endentscheidung. Wichtig ist, dass dieser Mensch jeden Fall einzeln prüft und nicht einfach das akzeptiert, was die KI vorschlägt. Dafür ist, unter anderem, erforderlich, dass der damit betrauten Person genügend Zeit für diese Tätigkeit eingeräumt wird.
Kennzeichnung KI-unterstützter Prozesse
Ebenso wichtig ist die klare Kennzeichnung von KI-unterstützten Prozessen. Informiere Betroffene transparent darüber, wenn KI im Spiel ist. Dies könnte durch einen einfachen Hinweis auf der Website erfolgen, etwa: “Unser Kundenservice nutzt KI-Unterstützung, um Ihnen schneller helfen zu können.” Solche Maßnahmen erfüllen nicht nur die Offenlegungs-Pflichten der DSGVO, sondern schaffen auch Vertrauen bei den Nutzern.
Zudem müssen Unternehmen einfache Wege zur menschlichen Intervention bereitstellen. Dies kann durch einen deutlich sichtbaren “Sprechen Sie mit einem Mitarbeiter”-Button in einem KI-Chat realisiert werden. Diese Maßnahme erfüllt die Anforderungen des Art. 22 DSGVO und verbessert gleichzeitig die Kundenzufriedenheit.
Datenschutz-Folgenabschätzung für KI und Datenschutz
Bei der Durchführung von Datenschutz-Folgenabschätzungen (DSFA) für KI-Systeme empfiehlt sich die Entwicklung spezieller Templates. Diese sollten gezielt auf KI-spezifische Risiken wie Bias, die Blackbox-Problematik und besondere Sicherheitsrisiken eingehen. Dies gewährleistet eine standardisierte und vollständige Bewertung. Parallel dazu ist es wichtig, Datenschutzbeauftragte in KI-spezifischen Risiken zu schulen. Regelmäßige Fortbildungen zu KI-Technologien und deren Datenschutzimplikationen erhöhen die Kompetenz des Datenschutzteams und verbessern die Qualität der DSFAs. Themen könnten die Funktionsweise von Machine Learning, potenzielle Bias in KI-Systemen oder das Verständnis der Entscheidungen von Algorithmen der KI (Explainable AI) umfassen.
Die Einbeziehung von KI-Experten in den DSFA-Prozess ist unabdingbar. Durch die Bildung fachübergreifender Teams aus Datenschützern und KI-Spezialisten können technische Aspekte überhaupt erst korrekt bewertet und praxisnahe Lösungen gefunden werden.
Datenqualität und Bias
Um Datenqualität und Bias in KI-Modellen zu bewältigen, sind regelmäßige Audits der Trainingsdaten unerlässlich. Diese Überprüfungen sollten die Repräsentativität und Fairness der Datensätze sicherstellen. Beispielsweise muss gewährleistet sein, dass ein Datensatz für Personalentscheidungen nicht unbeabsichtigt bestimmte Gruppen benachteiligt. Solche Maßnahmen helfen, diskriminierende Entscheidungen zu vermeiden und erfüllen das Fairness-Gebot der DSGVO.
Der Einsatz von Techniken zur Bias-Erkennung und -Korrektur ist ebenso wichtig. Spezielle Tools und Algorithmen können genutzt werden, um Verzerrungen in Daten und Modellen zu identifizieren und zu korrigieren. Ein Beispiel wäre die Prüfung, ob ein KI-Modell zur Kreditwürdigkeitsprüfung bestimmte Postleitzahlen unverhältnismäßig benachteiligt. Erkannte Bias sollten durch Anpassung der Trainingsdaten oder des Modells korrigiert werden.
Diverse Teams in der KI-Entwicklung
Die Diversifizierung der KI-Entwicklungsteams kann ebenfalls zur Bewältigung von Bias beitragen. Diverse Teams bringen unterschiedliche Perspektiven ein, was helfen kann, blinde Flecken in der Entwicklung zu vermeiden und inklusivere KI-Systeme zu schaffen.
Um das Recht auf Information aus Art. 13 DSGVO zu gewährleisten, ist die Entwicklung von Methoden zur Visualisierung von KI-Entscheidungsprozessen hilfreich. Grafische Darstellungen, die den Entscheidungsweg der KI veranschaulichen, können KI-Entscheidungen für Laien verständlicher machen und erfüllen die Transparenzanforderungen der DSGVO. Ein Beispiel wäre ein Entscheidungsbaum, der zeigt, welche Faktoren zu einer bestimmten Empfehlung geführt haben.
Wo möglich, sollten erklärbare KI-Modelle genutzt werden, deren Entscheidungen nachvollziehbar sind. Entscheidungsbäume sind hier oft transparenter als komplexe neuronale Netze. Für jede KI-Anwendung sollte zudem eine laienverständliche Erklärung ihrer Funktionsweise erstellt werden. Ein Beispiel wäre: “Unser Empfehlungssystem berücksichtigt Ihre letzten 10 Käufe, Ihre Produktbewertungen und ähnliche Profile anderer Kunden.” Solche Erklärungen fördern Transparenz und Vertrauen in KI-Systeme.
Drittstaaten-Übermittlungen vermeiden
Ziehe für für internationale Datenübermittlungen bei Cloud-basierten KI-Lösungen zuerst KI-Dienstleister mit Sitz in der EU in Betracht. Hier helfen die unterschiedlichen Rollen, die Art. 3 AI Act definieren. Der Artikel enthält 68 sogenannte Legaldefinitionen, sprich: der Gesetzgeber hat hier, ähnlich wie im Art. 4 DSGVO, Definitionen mitgeliefert, die sich ansonsten Juristen in jahrelanger Tätigkeit erarbeiten müssten. So wird hier unterschieden zwischen Anbieter (Hersteller, der ein KI-System unter eigenem Namen oder Marke in Verkehr bringt) und Betreiber (jemand, der ein KI-System in eigener Verantwortung verwendet). Es könnte also ein „Betreiber“ in der Union ein KI-System eines „Anbieters“ in den USA einsetzen. Hat der Anbieter keinen Zugriff auf die mit seinem System verarbeiteten Daten, findet datenschutzrechtlich keine Übermittlung in ein Drittland statt. Damit vermeidest Du die komplexen rechtlichen Herausforderungen von Datenübermittlungen in Drittländer. Wenn dies nicht möglich ist, sind starke Verschlüsselung und Pseudonymisierung ein möglicher Weg und dann aber auch unerlässlich. Verschlüssle Daten von Ende zu Ende und anonymisiere persönliche Informationen, bevor Du sie an Cloud-KI-Dienste sendest. Diese Maßnahmen verbessern den Datenschutz und helfen Dir, die Vorgaben des Schrems II-Urteils einzuhalten..
Robuste Vertragsklauseln
Schließlich sollten robuste Vertragsklauseln und zusätzliche Schutzmaßnahmen vereinbart werden. Die Verwendung der aktualisierten Standardvertragsklauseln der EU-Kommission, ergänzt um zusätzliche Schutzmaßnahmen wie regelmäßige Audits, Transparenzberichte und spezifische Rechtsbehelfe für Betroffene, stärkt die rechtliche Position und den Schutz der übermittelten Daten.
Die Umsetzung dieser Maßnahmen erfordert oft erhebliche Ressourcen und Expertise. Es ist ratsam, schrittweise vorzugehen und sich bei Bedarf externe Unterstützung zu holen. Regelmäßige Überprüfungen und Anpassungen sind unerlässlich, da sich sowohl die KI-Technologien als auch die rechtlichen Rahmenbedingungen ständig weiterentwickeln.
Warum jede NGO (und jedes Unternehmen) ein KI-Audit benötigt, wenn die KI personenbezogene Daten verarbeiten soll, was sie (fast) immer potenziell tun, erläutere ich hier.
Wichtig wird sein, sich auf die Bestimmungen zu konzentrieren, die zeitnah zu erfüllen sind. So ist die verpflichtende Schulung von Mitarbeitenden, die KI-Systeme nutzen sollen bereits ab dem 2. Februar 2025 Gesetzeslage. Das Gleiche gilt für die Erstellung und Bekanntmachung von Richtlinien zur Nutzung von KI in Unternehmen und Organisationen. Es bleiben ab der letzen Aktualisierung dieses Artikels (18.10.2024) noch genau 107 Tage!