Künstliche Intelligenz: Datenminimierung durch Anonymisierung & Pseudonymisierung
Die Datenschutz-Grundverordnung (DSGVO) wird wegen strenger Anforderungen oft als Bremse der Entwicklung bezeichnet. In der Tat reguliert sie den für die Anwendung Künstlicher Intelligenz maßgeblichen Bereich der Datenverarbeitung. Die Datenschutzkonferenz tagte im April auf dem Hambacher Schloss und verfasste die Hambacher Erklärung zur Künstlichen Intelligenz. Die Wahl fiel bewusst auf diesen historischen Ort: die Herausforderungen von KI-Systemen auf Freiheit und Demokratie sollten betont werden. Ob die Erklärung an die Bedeutung des Hambacher Festes für Freiheit und Demokratie anschließt, sei dahingestellt, für KI-Anwender und KI-Entwickler sollte sie allerdings von Interesse sein.
In sieben datenschutzrechtlichen Anforderungen betont die Erklärung die Bedeutung und den Einfluss der DSGVO auf Künstliche Intelligenz. Die Datenschutzkonferenz hat festgehalten, dass der Grundsatz der Datenminimierung auch für Künstliche Intelligenz gilt, für die jedoch typischerweise große Bestände an Trainingsdaten genutzt werden müssen. Durch diesen Grundsatz werden Entwicklung und Innovation von KI durch die DSGVO auf die Probe gestellt. Würde man ihn streng anwenden, wäre die Entwicklung von Smartphones und des Internet of things (IoT) bereits unzulässig. Aber bietet die DSGVO durch die Instrumente der Anonymisierung und Pseudonymisierung nicht auch Lösungsmöglichkeiten, wie Datenschutz auch bei KI erreicht werden kann?
Datenminimierung – Anonymisierung und Pseudonymisierung für sich nutzen
Durch Anonymisierung und Pseudonymisierung können die Risiken der Datenverarbeitung für betroffene Personen gesenkt werden und dies wird in der DSGVO belohnt. Datenschutz kann modern und effektiv erfolgen und zeitgleich die Türen für Künstliche Intelligenz offen halten. Von diesem Vorteil profitieren aber nur die KI-Unternehmen, die Anonymisierung und Pseudonymisierung entsprechend rechtssicher anwenden.
Notwendig und hilfreich werden die Instrumente vor allem, um den Grundsatz der Datenminimierung erfolgreich umzusetzen. Dieser hat nicht erst seit der Hambacher Erklärung Bedeutung für KI-Unternehmen. Verstöße gegen diesen Grundsatz fallen unter das Sanktionsregime der DSGVO, das bekanntermaßen hohe Bußgelder enthält.
Dem Grundsatz in Gänze zu entgehen ermöglicht Anonymisierung. Auf anonymisierte Daten ist die DSGVO nicht anwendbar. Das ist ein eindeutiger Vorteil für KI-Unternehmen. Der Compliance-Aufwand kann effektiv minimiert werden, indem die datenschutzrechtlichen Anforderungen komplett wegfallen. Anonymisierte Daten stellen keine personenbezogenen Daten dar, sondern bilden die Kehrseite. Durch Anonymisierung können personenbezogene Daten so verändert werden, dass die Verbindungen zwischen den Daten und der dazugehörigen Person unwiderruflich getrennt werden.
Der Grundsatz der Datenminimierung besagt, dass personenbezogene Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein müssen. Um diesem Grundsatz Folge zu leisten, müssen KI-Unternehmen immer prüfen, ob mit anonymisierten Daten der Verarbeitungszweck erreicht werden kann. Kann der Zweck erreicht werden, werden die Daten aber dennoch nicht anonymisiert, liegt ein Verstoß gegen den Grundsatz vor. Die Verarbeitung nicht anonymisierter Daten wäre dann nicht auf das Notwendige beschränkt und daher wegen Verstoß gegen den Grundsatz der Datenminimierung unzulässig.
Im Rahmen des technischen Datenschutzes nennt die DSGVO selbst beispielhaft Pseudonymisierung als geeignete technische und organisatorische Maßnahme, um den Grundsatz der Datenminimierung einzuhalten. Das Risiko von Datenschutzvorfällen sinkt durch Pseudonymisierung deutlich. Sie ist ein Mittel der Risikominimierung. Die Anforderungen des technischen Datenschutzes stellen eine Ausprägung des Grundsatzes der Datenminimierung dar. Es soll schon technisch ausgeschlossen werden, was nicht erlaubt ist. Eine datenschutzfreundliche Technik und Voreinstellungen zum frühstmöglichen Zeitpunkt werden positiv bei der Verhängung von Bußgeldern berücksichtigt.
Der Grundsatz der Datenminimierung verpflichtet demnach Verantwortliche ihre Systeme auch technisch so zu gestalten, dass die Risiken für betroffene Personen minimiert werden (Privacy by Design) und dass durch Voreinstellungen sichergestellt wird, dass nur personenbezogene Daten verarbeitet werden, die für den Zweck erforderlich sind (Privacy by Default). Er beinhaltet folglich einen präventiven Ansatz. Die Erforderlichkeit der Datenverarbeitung misst sich demzufolge am Grundsatz der Datenminimierung.
Bei der Pseudonymisierung werden Daten und Person auch getrennt, aber nur, so lange keine zusätzlichen verfügbaren Informationen hinzugezogen werden. Diese zusätzlichen Informationen müssen gesondert aufbewahrt und technische und organisatorische Maßnahmen müssen ergriffen werden, damit die Daten nicht einer identifizierbaren natürlichen Person zugewiesen werden. Dies wird in der DSGVO an mehreren Stellen belohnt, sodass KI-Anwender, die rechtssichere Pseudonymisierungsverfahren nutzen und die keinen Zugriff auf die gesondert geschützten Informationen haben, beispielsweise keine Betroffenenanfragen zu beantworten haben oder die Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung entfallen kann.
Wie werden Anonymisierung und Pseudonymisierung rechtssicher und erfolgreich umgesetzt?
Damit KI-Unternehmen die Vorteile von Anonymisierung und Pseudonymisierung voll ausschöpfen können, müssen diese Verfahren schon möglichst früh bei der Entwicklung berücksichtigt werden. Man sollte schon bei den Rohdaten ansetzen, sodass im Rahmen der Pseudonymisierung hier schon z. B. die Adresse verfremdet wird. Es sollte darauf geachtet werden, dass keine nicht pseudonymisierten personenbezogenen oder nicht anonymisierten Daten in das Machine Learning einfließen. Nur so können die Vorteile von Anonymisierung und Pseudonymisierung zur Geltung kommen und Privacy by Design effektiv umgesetzt werden.
Anonyme Daten können in zwei Konstellationen vorliegen: Zum einen können Daten schon von vornherein anonym sein, indem sie sich einfach nicht auf eine identifizierte oder identifizierbare Person beziehen. Zum anderen besteht die Möglichkeit, dass zunächst personenbezogene Daten vorlagen, diese aber nachträglich anonymisiert wurden.
Um herauszufinden, ob Daten personenbezogen oder anonym sind, sind alle Mittel zu berücksichtigen, die von dem verantwortlichen Unternehmen oder auch anderen Personen genutzt werden können, um eine Person zu identifizieren. Ausschlaggebend ist, dass die Identifizierung einer Person unwiderruflich unmöglich gemacht wird. Dabei sind auch die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand zu berücksichtigen. Die DSGVO bestimmt, dass bei dieser Feststellung immer der Stand der Technik im Zeitpunkt der Verarbeitung relevant ist.
Technische Vorgaben an den Vorgang der Anonymisierung sind dabei aus dem Gesetz nicht zu entnehmen. Um Daten zu anonymisieren, kommen für den Verantwortlichen mehrere Verfahren in Betracht, wie z. B. die Löschung der identifizierenden Merkmale (z. B. Name, Anschrift, Kontodaten) und die Generalisierung von Merkmalen (z. B. Angabe einer Region anstatt einer Stadt, damit so viele Personen wie möglich dieses Merkmal aufweisen und es unmöglich ist eine einzelne Person zu identifizieren, die alleine dieses Merkmal aufweist).
Pseudonyme Daten sind Informationen, die nur bei Zugriff auf gesondert aufbewahrte und geschützte Informationen einer Person zugeordnet werden können. Es lässt sich also erreichen, dass die Zuordnung von Daten zu einer Person nicht mehr möglich ist. Der Unterschied zur Anonymisierung ist, dass die Informationen, die Daten zu personenbezogenen Daten machen, nicht gelöscht, sondern gesondert aufbewahrt werden. Es muss dabei technisch sichergestellt werden, dass Nutzer der pseudonymisierten Daten keinen Zugriff auf die abgesonderten Informationen haben und so eine Person nicht identifiziert werden kann. Dies stellt in der Praxis das größte Problem dar, da pseudonymisierte Daten oft über andere Systeme theoretisch de-pseudonymisiert werden können.
Ein Unternehmen kann verschiedene Möglichkeiten nutzen personenbezogene Daten zu pseudonymisieren. Eine Möglichkeit ist z. B., dass eine betroffene Person selbst eine Nutzer-ID frei wählt oder ihr diese von einem Dritten zugewiesen wird. Auch der Verantwortliche kann z. B. durch eine Kennziffer einem Betroffenen ein Pseudonym zuweisen, wenn er die Identität kennt.
Fazit: Anonymisierung und Pseudonymisierung als wirksames Mittel zur Datenminimierung
Der Grundsatz der Datenminimierung stellt die Anwendung von algorithmenbasierter Künstlicher Intelligenz vor Herausforderungen. Sowohl die Verarbeitung personenbezogener Daten als auch die Gestaltung und Auswahl von Datenverarbeitungssystemen müssen am Grundsatz der Datenminimierung ausgerichtet werden. Gestoppt wird die Innovation jedoch nicht. Durch die Instrumente der Anonymisierung und Pseudonymisierung werden Anwendern durch die DSGVO selbst Verfahren an die Hand gelegt, mittels derer sie die Herausforderungen abmildern können. So gelingt es KI-Anwendern Big Data für sich zu nutzen, Machine Learning und Deep Learning Systeme datenschutzkonform anzuwenden und erhöhte Kosten und Arbeitsaufwand sowie Rechtsverstöße zu vermeiden.
Von diesem Vorteil profitieren aber nur die KI-Unternehmen, die Anonymisierung und Pseudonymisierung entsprechend rechtssicher anwenden. Wurden letztendlich Daten nicht korrekt anonymisiert, ist die DSGVO anwendbar und das Unternehmen entsprechenden Sanktionen ausgesetzt, wenn bei der Verarbeitung von Daten nicht die erforderliche Sorgfalt im Sinne der DSGVO beachtet wurde. Eine entsprechende Rechtsberatung ist daher zu empfehlen.
Bei Beratungsbedarf oder Fragen sind die Anwälte von Schürmann Rosenthal Dreyer ihre idealen Ansprechpartner. Stellen Sie mit unserer Beratung die rechtssichere Anwendung der DSGVO sicher, bauen potentielle Kunden Vertrauen zu Ihnen auf und entscheiden sich für Sie und nicht für die Konkurrenz. So werden Sie zu einem Markenzeichen europäischer KI-Unternehmen! Wir wissen, worauf es ankommt, zählen Sie auf unsere Expertise!