Der Datenschutz steht an der Schnittstelle der zahlreichen Anwendungen der künstlichen Intelligenz, mit denen personenbezogene Daten verarbeitet werden. Da KI-Technologien, insbesondere solche, die auf maschinellem Lernen beruhen, naturgemäß invasiv sind und die Menge der verarbeiteten Daten maximieren, müssen Organisationen sicherstellen, dass die Rechte und Freiheiten des Einzelnen bei der Gestaltung und Nutzung dieser Instrumente nicht beeinträchtigt werden.
Die Datenschutz-Grundverordnung findet Anwendung
Erstens müssen Organisationen sicherstellen, dass sie in Bezug auf den Einsatz von KI transparent sind und klare und prägnante Informationen darüber bereitstellen, wie personenbezogene Daten erhoben, verwendet und verarbeitet werden. Dazu gehören Informationen über die Zwecke, für die die Daten erhoben werden, die Arten der erhobenen Daten und die Rechtsgrundlage für die Erhebung und Verarbeitung der Daten.
Die Erhebung und Verwendung personenbezogener Daten darf nicht für nicht legitime Zwecke erfolgen. Organisationen müssen in der Entwurfsphase die Zwecke definieren, für die personenbezogene Daten verarbeitet werden, und sicherstellen, dass die Verarbeitung mit der Datenschutz-Grundverordnung (DSGVO) im Einklang steht. Die verwendeten Daten müssen für die Erreichung der Ziele unerlässlich sein.
Sodann bedarf es für jede geplante Datenverarbeitung einer Rechtsgrundlage, d. h. einer gesetzlich vorgesehenen Rechtfertigung. Die DSGVO sieht sechs Rechtsgrundlagen vor: Einwilligung, Erfüllung einer rechtlichen Verpflichtung, Erfüllung eines Vertrags, Erfüllung einer im öffentlichen Interesse liegenden Aufgabe, Wahrung lebenswichtiger Interessen, Verfolgung eines berechtigten Interesses. Konkret ist die Rechtsgrundlage das, was einer Organisation das Recht gibt, personenbezogene Daten zu verarbeiten. Die Wahl der Rechtsgrundlage muss vor der Durchführung der Datenverarbeitung erfolgen.
Es gilt auch der Grundsatz der Datenminimierung: Die erhobenen und verwendeten personenbezogenen Daten müssen angemessen, relevant und auf das für den festgelegten Zweck erforderliche Maß beschränkt sein. Die betreffenden Verarbeitungen sowie die Art und Menge der verarbeiteten personenbezogenen Daten müssen in einem angemessenen Verhältnis zur Erreichung der Zwecke stehen und nicht nur nützlich sein.
Da die Verwendung großer Datenmengen im Mittelpunkt der Entwicklung und Nutzung von KI-Systemen steht, kann die Minimierung für die Verantwortlichen eine Herausforderung darstellen.
Die Commission Nationale de l'Informatique et des Libertés (CNIL, die französische Aufsichtsbehörde) gibt in diesem Bereich folgende Empfehlungen ab (nicht erschöpfende Liste):
- Art und Menge der zu verwendenden Daten kritisch zu bewerten;
- Überprüfung der Leistung des Systems, wenn es mit neuen Daten gespeist wird;
- Klare Unterscheidung der in der Lern- und Produktionsphase verwendeten Daten;
- Verwendung von Mechanismen zur Pseudonymisierung oder Filterung/Verschleierung von Daten;
- Erstellung und Bereithaltung einer Dokumentation über die Art und Weise der Erstellung des verwendeten Datensatzes und seiner Eigenschaften (Datenquelle, Datenstichprobenahme, Überprüfung der Datenintegrität, durchgeführte Reinigungsvorgänge usw.);
- Regelmäßige Neubewertung der Risiken für die betroffenen Personen (Privatsphäre, Gefahr der Diskriminierung/Bias usw.);
- Gewährleistung der Datensicherheit, einschließlich eines genauen Rahmens für Zugangsberechtigungen zur Risikobegrenzung.
Quelle: CNIL, IA: Wie kann die DSGVO eingehalten werden?, 05. April 2022
Es bleibt abzuwarten, wie lange die gesammelten Daten aufbewahrt werden. Personenbezogene Daten können nicht auf unbestimmte Zeit gespeichert werden. Die DSGVO schreibt eine Frist vor, nach deren Ablauf die Daten gelöscht oder in bestimmten Fällen archiviert werden müssen. Diese Speicherfrist muss vom für die Verarbeitung Verantwortlichen unter Berücksichtigung des Zwecks, der zur Erhebung dieser Daten geführt hat, festgelegt werden.
Eine weitere wichtige Überlegung für Organisationen ist die Frage der automatisierten Entscheidungsfindung. Artikel 22 DSGVO gibt Einzelpersonen das Recht (mit Ausnahme der in Artikel 22 Absatz 2 genannten Ausnahmen), keiner Entscheidung unterworfen zu werden, die ausschließlich auf einer automatisierten Verarbeitung, einschließlich Profiling, beruht. Dies bedeutet, dass Organisationen die potenziellen Auswirkungen ihrer KI-Systeme auf Einzelpersonen berücksichtigen und sicherstellen müssen, dass sie keine Entscheidungen treffen, die sie ohne angemessene menschliche Kontrolle erheblich beeinträchtigen, wenn die betroffenen Personen dies nicht wünschen.
Welche Maßnahmen sind zu ergreifen?
Der Einsatz künstlicher Intelligenz stellt daher die für die Verarbeitung Verantwortlichen vor heikle Herausforderungen, da sie sicherstellen müssen, dass personenbezogene Daten im Einklang mit den geltenden Datenschutzgesetzen und -vorschriften, einschließlich der DSGVO, erhoben, verarbeitet und gespeichert werden.
Hier sind einige Empfehlungen zur Minimierung des Risikos von Verstößen:
- Annahme des Grundsatzes „Privacy by Design“, um den Schutz personenbezogener Daten bei der Verarbeitung durch KI-Technologien von Anfang an zu berücksichtigen, insbesondere in Bezug auf Governance, Organisation und Datensicherheit.
- Umsetzung geeigneter Sicherheitsmaßnahmen zum Schutz personenbezogener Daten vor unbefugtem Zugriff, Offenlegung oder Missbrauch.
- Sicherstellung einer angemessenen Dokumentation zum Nachweis der zur Einhaltung der Vorschriften ergriffenen Maßnahmen, z. B. durch die Einrichtung einer Datenbank mit Anmerkungen, in der die Daten beschrieben werden, und Durchführung von Kategorisierungs-, Bereinigungs-, Standardisierungsarbeiten usw.
- Entwicklung einer angemessenen Kommunikationspolitik, um den Menschen transparente, klare und verständliche Informationen darüber zur Verfügung zu stellen, wie ihre personenbezogenen Daten vom KI-System verwendet werden, einschließlich ihres Rechts auf Zugang, Berichtigung, Löschung oder Einschränkung der Verarbeitung ihrer personenbezogenen Daten.
- Festlegung von Verfahren zur Beantwortung von Anträgen auf Zugang oder Berichtigung personenbezogener Daten sowie zur Bearbeitung von Beschwerden oder anderen Datenschutzfragen.
- Schutz vor Risiken im Zusammenhang mit KI-Modellen wie Zugehörigkeitsinferenzangriffen, Modellexfiltrationsangriffen oder Modellumkehrangriffen.
- Rahmen für die kontinuierliche Verbesserung der Algorithmen, z. B. durch einen Prozess des erneuten Lernens mit unterschiedlichen Frequenzen.
- Algorithmische Verzerrungen zu vermeiden und die automatisierte Entscheidungsfindung zu regeln, einschließlich der Möglichkeit menschlichen Eingreifens, damit eine betroffene Person eine Überprüfung der Verarbeitung ihrer Daten erwirken, ihren Standpunkt darlegen, eine Erklärung für die getroffene Entscheidung erhalten und die Entscheidung anfechten kann.
- Bewerten Sie das System regelmäßig, um die kontinuierliche Einhaltung der DSGVO zu überprüfen.
- Betrachten Sie die Verwendung synthetischer Daten, die künstlich generiert wurden, anstatt von realen Personen gesammelt zu werden. Synthetische Daten haben die gleichen Eigenschaften wie tatsächliche Daten, enthalten jedoch keine identifizierbaren personenbezogenen Daten.
Quellen: Information Commissioner’s Office (ICO), Guidance on AI and Data Protection, 15. März 2023 / CNIL, IA: Wie kann die DSGVO eingehalten werden?, 05. April 2022
Zusammenfassend lässt sich sagen, dass künstliche Intelligenz ein enormes Potenzial hat, unsere Zukunft zu gestalten, aber auch wichtige Bedenken hinsichtlich des Schutzes personenbezogener Daten aufwirft. Da sich KI-gestützte Technologien weiterhin rasant entwickeln, ist es von entscheidender Bedeutung, ein Gleichgewicht zwischen den Anwendungs- und Anwendungsfällen künstlicher Intelligenz einerseits und der Notwendigkeit der Einhaltung von Vorschriften, Leitlinien und Gesetzen andererseits zu finden, um den Schutz der Privatsphäre der Menschen zu gewährleisten.