Künstliche Intelligenz

Kaum eine andere Technologie dürfte in der Gesellschaft so viele Hoffnungen, aber auch Ängste wecken: Die Rede ist von Künstlicher Intelligenz (KI). Aus unternehmerischer Sicht bietet Künstliche Intelligenz enorme Vorteile. So können Prozesse in der IT, im Vertrieb, im Kund:innenservice und bei der Herstellung von Produkten optimiert oder wirtschaftlicher gestaltet werden. Eine solche Prozessoptimierung durch KI bietet vor allem das Potenzial, Kosten einzusparen, Kapazitäten zu schaffen und damit mehr Umsatz zu generieren.

Mögliche Risiken und regulatorische Vorgaben bei der Nutzung von KI

Neben den zahlreichen Vorteilen birgt der Einsatz von KI aber immer auch Risiken für die Rechte und Freiheiten der von der automatisierten Verarbeitung betroffenen Personen. Eine Folge davon ist der strenge Umgang mit vollautomatisiert Entscheidungsprozessen durch die Datenschutz-Grundverordnung (DSGVO). Auch andere regulatorische Vorgaben wie die derzeit auf EU-Ebene verhandelte KI-Verordnung stellen Herausforderungen dar.

KI-Einführung in Ihrem Unternehmen: Unser Know-how für optimierte Prozesse und regulatorische Konformität

Wir unterstützen Unternehmen bei der Einführung und Nutzung von KI mit unserem umfassenden Know-how in diesem sich rasant entwickelnden Markt. Entdecken Sie das Potenzial von Künstlicher Intelligenz für Ihr Unternehmen und optimieren Sie Ihre Prozesse jetzt! Doch Vorsicht: Erfüllen Sie dabei auch alle regulatorischen Anforderungen? Wir unterstützen Sie dabei, eine erfolgreiche und rechtskonforme Umsetzung zu realisieren.

Wir beraten u.a. Unternehmen folgender Branchen zu KI-Fragen:

  • E-Commerce
  • FinTech
  • Insurance
  • Anbieter:innen von Kundenbindungssystemen
  • Gaming-Anbieter:innen
  • Mobilität
  • Adtech
  • Pharma & Health
  • Finance

Rechtliche und technische Herausforderungen unserer Mandanten – unsere Lösungen

Wir zeigen Ihnen, welche Schritte Sie bei der Implementierung und Nutzung von KI gehen sollten. Und wie wir sie bei rechtlichen Fragestellungen unterstützen können, um insbesondere den Compliance-Aufwand zu verringern.

Was wollen Sie mit KI erreichen? Wo und wie soll sie eingesetzt werden? Sind diese Fragen geklärt, besprechen wir mit Ihnen die zu einem rechtskonformen Einsatz von KI nötigen Schritte.

Je nach Einsatzgebiet ergeben sich entsprechend unterschiedliche rechtliche Herausforderungen. So werden KI beispielsweise eingesetzt für:

  • Profiling, Scoring
  • Gesichtserkennung
  • Chatbots, digitale Assistenten
  • Autonomes Fahren

Big Data und maschinelles Lernen – die technische Umsetzung

Dreh- und Angelpunkt jeder KI sind die ihr zugrunde liegenden Algorithmen. So gibt Algorithmen, die es der KI ermöglichen, dazuzulernen und den ursprünglichen Algorithmus selbstständig weiterzuentwickeln. Hier betreten wir das Terrain des maschinellen Lernens. Aus Datenschutzsicht besonders relevant sind hier Deep Learning Systeme, die mit großen Datenmengen gespeist werden, sei es, um die Modelle zu trainieren oder sie auf großen Datenbasen anzuwenden. Diese Systeme lernen autonom und werden mit fortschreitendem Lernprozess für die Verantwortlichen zunehmend intransparent bzw. nicht mehr (vollständig) nachvollziehbar – man spricht von einer „Black Box“.  Vor diesem Hintergrund müssen die Entwicklerinnen und Entwickler von KI neben den allgemeinen Datenschutzgrundsätzen insbesondere auch Art. 22 DSGVO berücksichtigen, der Personen, deren Daten verarbeitet werden, grundsätzlich das Recht einräumt, nicht einer automatisierten Entscheidung unterworfen zu werden.

Data Governance Anforderungen und Vorbereitungen für die KI-Verordnung

Da der „Input“ für KI-Systeme in Form von Daten maßgeblichen Einfluss auf die gesamte Funktionsweise hat, stellt die geplante KI-Verordnung darüber hinaus umfassende Anforderungen an die Data Governance. Auch wenn die Verordnung noch nicht in Kraft getreten ist, sind die zentralen Anforderungen bereits absehbar. Unternehmen sollten sich daher bereits jetzt auf die Verordnung vorbereiten. Hinsichtlich des Umgangs mit Daten ist zu beachten, dass beispielsweise KI mit hohem Risiko mit ausreichend repräsentativen, nachvollziehbaren und überprüfbaren Datensätzen trainiert und getestet werden muss. Da die KI-Verordnung einen risikobasierten Ansatz verfolgt, ist bereits bei der technischen Umsetzung auf die Begleitung durch ein Risikomanagementsystem zu achten.

Datenschutzrechtliches Auskunftsrecht und der Konflikt mit Geschäftsgeheimnissen

Zudem kommt auch das datenschutzrechtliche Auskunftsrecht des Art. 15 DSGVO ins Spiel. Denn dieses verlangt grundsätzlich, dass der Verantwortliche die betroffene Person umfassend und in klarer und verständlicher Sprache über die Verarbeitungszwecke und die verarbeiteten Daten, insbesondere aber auch über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer solchen Verarbeitung für die betroffene Person informiert. Die Erteilung einer solchen Auskunft ist aber grundsätzlich nur möglich, wenn die Datenverarbeitung für den Verantwortlichen auch nachvollziehbar ist. Auch diesbezüglich sieht die geplante KI-VO Verpflichtungen vor. KI-Systeme mit hohem Risiko sollen so konzipiert werden, dass ihr Betrieb hinreichend transparent ist. Entwickler von KI müssen also sicherstellen, dass Nutzer die Ergebnisse des Systems angemessen interpretieren und verwenden können. Verschärft wird der Konflikt zwischen Offenlegung und Intransparenz durch das Interesse von Unternehmen, Geschäftsgeheimnisse nicht preisgeben zu wollen. Schließlich können eigens entwickelte Algorithmen einen Wettbewerbsvorteil darstellen. Hierzu äußert sich die Datenschutz-Grundverordnung in ihrem Erwägungsgrund 63 Satz 5 dahingehend, dass das Auskunftsrecht die Rechte und Freiheiten anderer Personen, zu denen auch Geschäftsgeheimnisse gehören, nicht beeinträchtigen darf.

Rechtzeitig pseudonymisieren oder anonymisieren – Compliance-Aufwand minimieren!

Der Aufwand, der sich aus den Anforderungen der DSGVO aus Compliance-Sicht ergibt, steht in direktem Zusammenhang mit dem Risiko, das von einer Verarbeitung ausgeht. Maßnahmen, die sich risikomindernd auswirken, werden von der DSGVO regelmäßig honoriert. Eine Pseudonymisierung personenbezogener Daten führt beispielsweise zu einer aus Sicht des Verantwortlichen günstigeren Interessenabwägung im Sinne des Art. 6 Abs. 1 lit. f DSGVO, zu einer mit dem ursprünglichen Verarbeitungszweck besser zu vereinbarenden Weiterverarbeitung sowie zu einer leichteren Durchführung einer Datenschutz-Folgenabschätzung (DSFA). Nicht zuletzt kann sich der Verantwortliche ggf. auf die Ausnahmeregelung des Art. 11 Abs. 2 DSGVO berufen. Vor dem Hintergrund der umfassenden Betroffenenrechte ist dies ein wünschenswerter Weg.

Anonymisierung und Pseudonymisierung personenbezogener Daten zur Vermeidung der DSGVO-Anforderungen

Bestenfalls sollte jedoch eine Anonymisierung aller relevanten personenbezogenen Daten erfolgen, um den Anwendungsbereich der DSGVO zu verlassen. Eine Pseudonymisierung oder Anonymisierung personenbezogener Daten sollte zudem bereits in der Speicherumgebung der Rohdaten und damit vor der Übertragung in die Machine-Learning-Umgebung erfolgen.

Wir unterstützen Sie bei der datenschutzkonformen Umsetzung von Anonymisierungs- und Pseudonymisierungsmaßnahmen sowie bei der Durchführung einer Datenschutz-Folgenabschätzung.

Datenschutz-Folgenabschätzung als Vorkehrung für datenschutzkonforme KI-Anwendungen gemäß DSGVO

Kann der Anwendungsbereich der DSGVO nicht verlassen werden, ist im Bereich der Künstlichen Intelligenz erfahrungsgemäß eine Datenschutz-Folgenabschätzung erforderlich. Diese bietet den großen Vorteil, dass datenschutzrechtliche Aspekte bereits in der Planungsphase eines Machine-Learning-Projekts berücksichtigt werden können. Auf diese Weise kann der Verantwortliche die Vorgaben des Art. 25 DSGVO, nämlich den Datenschutz durch Technikgestaltung („Privacy by Design“) und durch datenschutzfreundliche Voreinstellungen („Privacy by Default“), zielgerichteter umsetzen.

Unterstützung bei der Umsetzung der geplanten KI-Verordnung und der Einordnung von KI-Anwendungen in Risikoklassen

Hier profitieren unsere Mandanten von unseren Erfahrungen, die in die Konzeption einer KI-Anwendung einfließen können. In dem Zusammenhang bietet sich auch die Gelegenheit, die umfangreichen Herausforderungen der geplanten KI-Verordnung mit umzusetzen. Dabei ist zunächst zu klären, ob die eigenen Algorithmen überhaupt von der Verordnung erfasst werden. Anschließend ist eine Einordnung in die verschiedenen Risikoklassen der Verordnung vorzunehmen. Daraus ergeben sich sodann die Anforderungen an die entsprechenden KI-Systeme. Insbesondere wenn es sich um sogenannte Hochrisiko-KI handelt, wird die KI-VO mit einem umfangreichen Pflichtenkatalog aufwarten. Bei der Umsetzung dieser wird es sich lohnen, auf die Expertise aus dem Datenschutzrecht zurückzugreifen. In weiten Teilen werden sich die Herausforderungen der KI-VO auch in Synergie mit denen der DSGVO realisieren lassen. Die Datenschutz-Folgenabschätzung bietet eine Plattform, um einigen Regelungen des künftigen KI-Gesetzes gerecht zu werden. Mit der richtigen Vorbereitung wird die Umsetzung der KI-Verordnung gelingen, dabei unterstützen wir Sie gerne.

Dokumentations- und Rechenschaftspflichten gemäß DSGVO für KI-Systeme

Zu den Grundsätzen der DSGVO gehören umfangreiche Dokumentations- und Rechenschaftspflichten. Die Erfüllung dieser Pflichten setzt ein gewisses Verständnis des verwendeten Algorithmus voraus. Die Gewichtungen der Kriterien, nach denen die KI lernt und entscheidet, müssen ebenso dokumentiert werden wie die Auswirkungen verschiedener Korrelationen auf die Ergebnisse.

Daher ist es notwendig, dass Änderungen der Gewichtungen, die sich aus dem Selbstlernprozess der KI ergeben, erkannt werden können (technisches Monitoring). Diese Verpflichtung kann und sollte u.E. vom jeweiligen Unternehmen auch als Chance gesehen und genutzt werden, um die Kontrolle über Entscheidungen von operativer Bedeutung zu behalten.

Black-Box-Tinkering als Möglichkeit zur Nachvollziehbarkeit von Entscheidungsprozessen in KI-Systemen

Eine weitere Möglichkeit, Entscheidungsprozesse besser nachvollziehen und dokumentieren zu können, bietet das sogenannte „Blackbox-Tinkering“ (operatives Monitoring). Hierbei lässt man den Algorithmus Rohdatensätze verarbeiten, die nur in einem Kriterium verändert wurden und vergleicht das ausgegebene Ergebnis mit den Ergebnissen, die auf den Originaldatensätzen basieren. Diese Art des Monitorings erlaubt Rückschlüsse auf die Auswirkungen einzelner Kriterien oder Kombinationen mehrerer Kriterien und ermöglicht es den Verantwortlichen, die Logik der KI besser zu verstehen und zu dokumentieren.

Anforderungen der geplanten KI-Verordnung an technische und organisatorische Maßnahmen für KI-Systeme

Auch die geplante KI-Verordnung stellt hohe Anforderungen an Nutzer und Entwickler von KI-Systemen, wenn es um die Einhaltung technischer und organisatorischer Maßnahmen geht. Die Ansätze unterscheiden sich dabei hinsichtlich der Risikogruppen. Diese reichen von Systemen, die grundsätzlich verboten sind, über Systeme mit hohem Risiko, für die umfangreiche Pflichten hinsichtlich Dokumentation, Designentscheidungen und Re-Evaluation gelten, bis hin zu Systemen mit minimalem und geringem Risiko, für die vereinfachte Regelungen gelten. Wir unterstützen Sie bei der Qualifizierung Ihres Systems und beim Aufbau eines entsprechenden umfassenden Risikomanagementsystems.

Weitere datenschutzrechtliche Problemfelder:

  • Recht auf Löschung
  • Recht auf Datenübertragbarkeit
  • Verantwortungsteilung (Hersteller eines Algorithmus stellt diesen einem Dritten zur Verfügung)
  • Unsere Soft Skills: Vertragsverhandlungen mit Dienstleistern

Bei der KI-Einführung nicht in die Abhängigkeit von Dienstleistern geraten

Unternehmen, die erstmals mit künstlicher Intelligenz arbeiten wollen, greifen gerne auf Dienstleister zurück, die die notwendigen Technologien bereitstellen. Hier besteht die Gefahr, dass sich diese Unternehmen stark von den Dienstleistern abhängig machen und dadurch für die Zukunft benachteiligt werden. Auch der Datenaustausch über den Europäischen Wirtschaftsraum hinaus muss rechtlich geprüft werden. Wir beraten unsere Mandanten auch bei der Auswahl der Dienstleister und führen die mitunter schwierigen, aber notwendigen Vertragsverhandlungen.

Besonderes Problem: Offenlegung des Algorithmus

Eine besondere Herausforderung stellt das Spannungsfeld zwischen der Pflicht zur Offenlegung der „involvierten Logik“ und der Vermeidung der Verletzung von Geschäftsgeheimnissen dar. Denn Algorithmen sind in der Regel schützenswertes geistiges Eigentum. Die Formulierung in Erwägungsgrund 63 Satz 5 DSGVO („sollte nicht beeinträchtigt werden“) macht deutlich, dass nicht von vornherein jede Auskunft mit pauschalem Verweis auf das Geschäftsgeheimnis verweigert werden darf. Vielmehr ist eine Abwägung zwischen dem Geheimhaltungsinteresse des Verantwortlichen und dem Auskunftsinteresse des Betroffenen vorzunehmen.

DSGVO-Lücken bei KI-Entscheidungen: Mangelnde Nachvollziehbarkeit bleibt ein Problem für Betroffene

Fällt die Abwägung zugunsten des Betroffenen aus, bleibt das Problem der mangelnden Nachvollziehbarkeit von KI-Anwendungen, die selbstständig neue Algorithmen schreiben – Ein Problem, das in der DSGVO nicht explizit geregelt ist. Letztlich dürfte es angebracht sein, dem Betroffenen in einfacher und klarer Sprache zu erklären, wie die Technologie rund um den Algorithmus und dessen Entscheidungsfindung funktioniert – man denke hier an die oben dargestellte technische und operative Überwachung.

Handlungsempfehlungen

  1. Berücksichtigung rechtlicher Aspekte bei der Konzeption einer KI
  2. Machine-Learning-Entwicklungsumgebung ohne personenbezogene Daten
  3. Regelmäßiges Monitoring und Evaluation der Entscheidungen
  4. Nachhaltiges Datennutzungs- und Datenschutzkonzept sowie Risikomanagementsystem

Entdecken Sie das Potenzial von Künstlicher Intelligenz für Ihr Unternehmen und optimieren Sie Ihre Prozesse jetzt! Wir unterstützen Sie bei der datenschutzkonformen Umsetzung und Compliance.

Ihre Ansprechpartner

Rechtsanwalt Philipp Mueller-Peltzer

Philipp Müller-Peltzer

Rechtsanwalt, Partner

zum Profil

Rechtsanwalt Ilan Selz

Ilan Leonard Selz, LL.M. (Minnesota)

Rechtsanwalt, Associated Partner

zum Profil

Rechtsanwalt Yakin Surjadi

Yakin Surjadi LL.M. (Hong Kong)

Rechtsanwalt

zum Profil

Rechtsanwalt Raphael Jünemann - Schürmann Rosenthal Dreyer

Raphael Jünemann

Rechtsanwalt, Associate

zum Profil

Künstliche Intelligenz und Datenschutz sind kein Widerspruch! Sie haben Fragen zu diesem Thema? Unsere Fachanwält:innen helfen Ihnen gerne weiter.

Weitere Informationen darüber, wie wir mit Ihren personenbezogenen Daten umgehen und welche Rechte Sie haben, finden Sie in unserer Datenschutzerklärung.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf "Abonnieren" stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.