Datenschutzkonformer Aufbau von künstlicher Intelligenz

Datenschutzkonformer Aufbau von künstlicher Intelligenz – kein Widerspruch?!

Keine andere Technologie dürfte in der Gesellschaft zugleich so viele Hoffnungen aber auch Ängste schüren: Die Rede ist von Künstlicher Intelligenz (KI). Aus unternehmerischer Sicht bietet Künstliche Intelligenz enorme Vorteile. So können etwa Prozesse im IT-Bereich, im Vertrieb, im Rahmen des Kundenservices und bei der Fertigung von Produkten optimiert bzw. wirtschaftlicher ausgestaltet werden. Eine solche Prozessoptimierung durch KI bietet vor allem das Potential Kosten einzusparen, Kapazitäten zu schaffen, um so mehr Umsatz zu generieren.

Neben den zahlreichen Vorteilen birgt der Einsatz von KI aber immer auch Risiken für die Rechte der von der automatisierten Verarbeitung betroffenen Personen. Hier kommt die durchaus strenge Handhabung automatisierter Verarbeitungsprozesse durch die Datenschutz-Grundverordnung (DSGVO) ins Spiel.

Wir unterstützen Unternehmen bei der Einführung und dem Einsatz von KI mit unserem umfangreichen Know-how in diesem sich rasant entwickelnden Markt.

Wir beraten:

  • E-Commerce-Unternehmen
  • FinTech-Unternehmen
  • Anbieter von Kundenbindungssystemen
  • Gaming-Anbieter
  • Mobilität
  • Adtech
  • Pharma & Health
  • Finance

Welche rechtlichen und technischen Herausforderungen ergeben sich für unsere Mandanten und wie können wir sie erfolgreich lösen?

In diesem Case zeigen wir die aus unserer Sicht erforderlichen Schritte, die unsere Mandanten bei der Implementierung und Nutzung von KI gehen sollten und wie wir diese bei rechtlichen Fragestellungen unterstützen können, um insbesondere den Compliance-Aufwand gering zu halten.

Die Kernfrage: Was soll mit dem Einsatz von KI erreicht werden und wie kann dieser Einsatz ggf. mit den Rechten betroffener Personen in Einklang gebracht werden?

Was soll mit der KI erreicht werden, wo und wie wird sie eingesetzt? Sind diese Fragen geklärt, besprechen wir die Schritte hin zum rechtskonformen Einsatz von KI. Bevor wir mit unserem Mandanten die konkrete Umsetzung besprechen, sollte festgestellt werden, was mit dem Einsatz von KI erreicht werden soll.

Beispielsweise werden KIs eingesetzt für:

  • Profiling, Scoring
  • Gesichtserkennung
  • Chatbots, digitale Assistenten
  • Autonomes Fahren

Je nach Einsatzgebiet ergeben sich dementsprechend auch unterschiedliche rechtliche Herausforderungen.

Algorithmen, Big Data, Machine Learning – die technische Umsetzung

Dreh- und Angelpunkt einer jeden KI sind die Algorithmen, auf denen sie basieren. So gibt es relativ starre Algorithmen, die nichts anderes darstellen als fixe Handlungsvorschriften zur Lösung eines Problems. Daneben gibt es aber auch Algorithmen, die es der KI erlauben dazuzulernen und den ursprünglichen Algorithmus selbstständig weiterzuentwickeln. Hier betreten wir das Terrain des Machine Learnings. Aus datenschutzrechtlicher Sicht als besonders relevant sind hier die mit Big Data gefütterten Deep-Learning-Systeme zu nennen. Diese Systeme lernen autonom und werden bei fortschreitendem Selbstlernprozess für die Verantwortlichen immer intransparenter bzw. nicht mehr (vollständig) nachvollziehbar – man spricht von einer sog. „Black Box“.  Hier muss der KI-Entwickler immer auch den Art. 22 DSGVO bedenken, welcher Personen, deren Daten verarbeitet werden, grundsätzlich das Recht zuspricht, nicht einer automatisierten Entscheidung unterworfen zu werden.

Demgegenüber steht insbesondere das datenschutzrechtliche Auskunftsrecht des Art. 15 DSGVO. Denn grundsätzlich verlangt dieses vom Verantwortlichen, dass dieser der betroffenen Person umfänglich und in klarer und verständlicher Sprache Auskunft über Verarbeitungszwecke und verarbeitete Daten, aber auch und vor allem über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person erteilt. Die Erteilung einer solchen Auskunft ist jedoch grundsätzlich nur möglich, wenn auch die Datenverarbeitung für den Verantwortlichen nachvollziehbar ist. Verschärft wird dieser Konflikt durch das Interesse von Unternehmen Geschäftsgeheimnisse nicht offenbaren zu wollen. Schließlich können eigens entwickelte Algorithmen durchaus einen Wettbewerbsvorteil bedeuten. Hierzu äußert sich die DSGVO in ihrem Erwägungsgrund 63 Satz 5 dahingehend, dass das Auskunftsrecht die Rechte und Freiheiten anderer Personen – dazu zählen auch Geschäftsgeheimnisse – nicht beeinträchtigen sollte.

Rechtzeitige Pseudonymisierung – Compliance-Aufwand minimieren!

Der sich durch die Anforderungen der DSGVO ergebende Aufwand aus Compliance-Sicht steht in direktem Zusammenhang mit dem von einer Verarbeitung ausgehenden Risiko. Maßnahmen, die sich risikomindernd auswirken, werden von der DSGVO regelmäßig honoriert. Eine Pseudonymisierung personenbezogener Daten resultiert etwa in einer aus Sicht eines Verantwortlichen günstigeren Interessenabwägung i.S.d. Art. 6 Abs. 1 lit. f DSGVO, in einer mit dem ursprünglichen Zweck einer Verarbeitung eher zu vereinbarenden Weiterverarbeitung sowie einem leichteren Bestehen einer Datenschutz-Folgenabschätzung (DSFA). Nicht zuletzt kann der Verantwortliche ggf. den Befreiungstatbestand des Art. 11 Abs. 2 DSGVO für sich nutzen. Vor dem Hintergrund der umfassenden Betroffenenrechte ist dies durchaus ein erstrebenswerter Weg.

Bestenfalls sollte jedoch eine Anonymisierung aller relevanten personenbezogenen Daten durchgeführt werden, um so den Anwendungsbereich der DSGVO zu verlassen.

Eine Pseudo- bzw. Anonymisierung personenbezogener Daten sollte außerdem bereits in der Speicherumgebung der Rohdaten und somit vor Übertragung in die Machine-Learning-Umgebung erfolgen.

Wir helfen bei der datenschutzrechtlich korrekten Umsetzung von Anonymisierungs- und Pseudonymisierungsmaßnahmen und der Durchführung einer Datenschutz-Folgenabschätzung.

Datenschutz-Folgenabschätzung für sich nutzen

Kann der Anwendungsbereich der DSGVO nicht verlassen werden, so ist im Bereich von Künstlicher Intelligenz erfahrungsgemäß eine Datenschutz-Folgenabschätzung erforderlich. Datenschutz-Folgenabschätzungen bieten den großen Vorteil, dass datenschutzrechtliche Aspekte bereits während der Planungsphase eines Machine-Learning-Projektes berücksichtigt werden können. Auf diese Weise kann der Verantwortliche den Vorgaben des Art. 25 DSGVO, nämlich den Datenschutz durch Technikgestaltung („Privacy by Design“) und durch datenschutzfreundliche Voreinstellungen („Privacy by Default“) zielführender umsetzen.

Hier profitieren unsere Mandanten von unseren Erfahrungen, welche in die Konzeptionierung einer KI-Anwendung miteinfließen können.

Dokumentation durch technisches und operatives Monitoring

Zu den Grundsätzen der DSGVO gehören umfassende Dokumentations- und Rechenschaftspflichten. Die Erfüllung dieser Pflichten setzt ein gewisses Verständnis des eingesetzten Algorithmus voraus. Gewichtungen der Kriterien, nach denen die KI dazulernt und entscheidet, müssen genauso dokumentiert werden wie die Auswirkungen verschiedener Korrelation auf die Ergebnisse.

Daher ist es erforderlich, dass Veränderungen der Gewichtungen, die sich durch den Selbstlernprozess der KI ergeben, erkannt werden können (technisches Monitoring). Auch diese Pflicht kann und sollte das jeweilige Unternehmen nach unserer Auffassung als Chance betrachten und für sich nutzen, um die Kontrolle über Entscheidungen von operativer Bedeutung zu behalten.

Eine weitere Möglichkeit Entscheidungsprozesse besser nachvollziehen und dokumentieren zu können bietet das sog. „Blackbox-Tinkering“ (operatives Monitoring). Hierbei lässt man den Algorithmus Rohdatensätze verarbeiten, die in bloß einem Kriterium verändert wurden und vergleicht das ausgegebene Ergebnis mit den Ergebnissen, die auf originalen Datensätzen basieren. Durch diese Art des Monitorings sind Rückschlüsse hinsichtlich der Auswirkungen bestimmter Kriterien oder Kombinationen mehrerer Kriterien möglich, was den Verantwortlichen in die Lage versetzt die Logik der KI besser nachvollziehen und dokumentieren zu können.

Weitere datenschutzrechtliche Problemfelder:

  • Recht auf Löschung
  • Recht auf Datenübertragbarkeit

Unsere SoftSkills: Vertragsverhandlungen mit Dienstleistern

Unternehmen, die erstmalig mit Künstlicher Intelligenz arbeiten möchten, greifen gern auf Dienstleister zurück, die die erforderlichen Technologien bereitstellen. Hier besteht die Gefahr, dass sich besagte Unternehmen stark von den Dienstleistern abhängig machen und dadurch für die Zukunft Nachteile erhalten. Wir beraten unsere Mandanten auch bei der Auswahl der Dienstleister und führen die teils schwierigen, aber notwendigen Vertragsverhandlungen durch.

Sonderproblem: Offenlegung des Algorithmus

Eine besondere Herausforderung stellt der Konflikt zwischen der Pflicht über die „involvierte Logik“ zu informieren und der Vermeidung von Beeinträchtigungen für Geschäftsgeheimnisse dar. Denn gemeinhin handelt es sich bei Algorithmen um schützenswertes geistiges Eigentum. Die Formulierung des Erwägungsgrundes 63 Satz 5 DSGVO („nicht beeinträchtigen sollte“) macht deutlich, dass nicht von vornherein jede Auskunft mit einem pauschalen Verweis auf das Geschäftsgeheimnis verwehrt werden darf. Vielmehr muss eine Abwägung der Interessen des Verantwortlichen an der Geheimhaltung gegenüber den Auskunftsinteressen des Betroffenen vorgenommen werden. Ob eine solche Abwägung in zulässiger Art und Weise durchgeführt wurde, kann abschließend erst durch Gerichtsentscheidungen geklärt werden.

Fällt die Abwägung zu Gunsten der betroffenen Person aus, so besteht weiterhin das Problem der mangelnden Nachvollziehbarkeit von KI-Anwendungen, die selbstständig neue Algorithmen schreiben. Ein Problem, das die Verfasser der DSGVO augenscheinlich nicht bedacht haben.

Letztlich sollte es ausreichend und zweckdienlich sein, wenn dem Betroffenen in einfacher und klarer Sprache erläutert wird, wie die Technologie rund um den Algorithmus und dessen Entscheidungsfindung funktioniert – man denke hier an das oben dargestellte technische und operative Monitoring.

Handlungsempfehlungen

  1. Berücksichtigung von rechtlichen Aspekten bei der Konzeptionierung einer KI
  2. Machine-Learning-Entwicklungsumgebung ohne personenbezogene Daten
  3. Regelmäßiges Monitoring und Evaluation der Entscheidungen
  4. Nachhaltiges Datennutzungs- und Datenschutzkonzept

 

Anwälte der Kanzlei empfohlen durch: