Die rasante Entwicklung von KI hat nicht zahlreiche und neue Möglichkeiten mit sich gebracht, sondern auch neue Herausforderungen. Insbesondere auf rechtlicher Ebene wird stark diskutiert. Die KI-VO stellt den ersten Versuch da, die KI zu regulieren. Dabei bleiben gem. Art. 2 Abs. 7 KI-VO die DSGVO unberührt, sofern personenbezogene Daten innerhalb eines KI-Systems verarbeitet werden.
Dabei sind jedoch einige Aspekte der DSGVO im Widerspruch zur Systematik der KI. Muss die DSGVO angepasst werden oder ist das doch nur alles Auslegungssache?
Aus der DSGVO oder KI-VO: „Personenbezogene Daten müssen auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden.“ (Art. 5 Abs. 1 DSGVO). Weiteren Inhalt der Verordnung finden Sie hier.
1. Datenminimierung vs. Datenintensität von KI
Die DSGVO verfolgt das Prinzip der Datenminimierung, welches besagt, dass nur die Daten erhoben und verarbeitet werden dürfen, die für den jeweiligen Zweck erforderlich sind. KI-Modelle hingegen benötigen häufig große Mengen an Daten, um genau und effektiv zu arbeiten. Maschinelles Lernen, ein zentraler Bestandteil der KI, erfordert die Analyse umfangreicher Datensätze, um Muster zu erkennen und Vorhersagen zu treffen.
Dieser Widerspruch zwischen der Notwendigkeit, große Datenmengen zu sammeln und der DSGVO-Vorgabe, nur notwendige Daten zu verwenden, stellt ein erhebliches Problem dar. Insbesondere bei personalisierten KI-Anwendungen, wie etwa Empfehlungssystemen oder gesichtserkennenden Technologien, können große Mengen an personenbezogenen Daten verarbeitet werden, die für den Nutzer möglicherweise nicht immer nachvollziehbar oder notwendig erscheinen.
2. Informations- und Auskunftspflicht
Die DSGVO fordert, dass betroffene Personen jederzeit transparent darüber informiert werden, wie ihre Daten verarbeitet werden und auf welcher Grundlage. Bei KI-Systemen ist dies besonders schwierig, wenn Daten in den Lern-Prozess eingespeist werden. Denn ab diesem Zeitpunkt kann technisch nicht mehr genau definiert werden, in welchen Rahmen oder Kontext Daten verarbeitet werden.
Dies widerspricht der DSGVO, die den Betroffenen das Recht auf Auskunft gibt bzw. den Verantwortlichen zur Informationspflicht zwingt. Die betroffene Person soll vor Verarbeitungen ihrer Daten über jene informiert werden. Dies ist nicht möglich, wenn der Verantwortliche selbst nicht nachvollziehen kann, wie die KI funktioniert oder welche Verarbeitungsschritte durchgeführt werden, insbesondere, wenn das Modell komplex ist.
3. Zweckbindung und Rechtsgrundlagen
Gemäß der Datenschutz-Grundverordnung (DSGVO) ist es erforderlich, bei der Verarbeitung personenbezogener Daten einen konkreten Zweck festzulegen. Die Daten dürfen ausschließlich zu diesem festgelegten Zweck verarbeitet werden, wobei eine entsprechende Rechtsgrundlage als Basis dienen muss.
Der Einsatz eines größeren KI-Modells kann Unternehmen jedoch vor erhebliche Herausforderungen stellen. Dies liegt daran, dass der Zweck der Verarbeitung bei der Nutzung einer KI oft variieren kann und es unklar ist, ab welchem Teil des Modells ein konkreter Zweck definiert werden muss.
Ebenso besteht Unsicherheit darüber, wie präzise die Rechtsgrundlagen für die einzelnen Arbeitsschritte innerhalb eines KI-Modells festgelegt sein müssen.
4. Automatisierte Entscheidungsfindung
Die DSGVO gewährt den betroffenen Personen ein Recht auf Auskunft, wenn sie von einer ausschließlich automatisierten Entscheidung betroffen sind, die rechtliche Auswirkungen auf sie hat oder sie in ähnlicher Weise erheblich beeinträchtigt. Dies betrifft vor allem Bereiche wie Kreditvergabe, Personalentscheidungen oder die Verarbeitung von Sozialdaten.
Sollte KI in solchen Entscheidungsprozessen eingesetzt werden, stellt sich die Frage, inwieweit KI-Systeme diesen Anforderungen gerecht werden können. Ein Algorithmus trifft Entscheidungen basierend auf Datenmustern, ohne dass immer eine klare, menschliche Erklärung hinter diesen Entscheidungen steckt. Dies kann den Betroffenen das Recht verwehren, zu verstehen, wie ihre Daten verwendet werden und warum eine bestimmte Entscheidung getroffen wurde.
Schlüsselkonflikte DSGVO vs. KI:
• Datenminimierung vs. Datenintensität: Große Datenmengen für KI vs. Minimalprinzip der DSGVO.
• Informationspflicht: Schwierigkeit der Transparenz bei komplexen KI-Modellen.
• Automatisierte Entscheidungen: Erklärbarkeit und Recht auf Auskunft für Betroffene.
5. Datenverarbeitung und Anonymisierung
Die meisten KI-Modelle leben meistens vom Training und dadurch entsprechend von der Menge der Daten. Auch beim Training muss die DSGVO beachtet werden. Dazu sollten personenbezogene Daten anonymisiert werden, um die Privatsphäre zu wahren.
Doch die vollständige Anonymisierung ist in der Praxis schwer umzusetzen. Moderne KI-Algorithmen können durch „Re-Identifikation“ personenbezogene Daten wiederherstellen, besonders wenn mehrere Datensätze kombiniert werden. Dies stellt eine Herausforderung für die DSGVO dar, da selbst pseudonymisierte oder anonymisierte Daten potenziell wieder rückverfolgbar sind, was den Schutz der Privatsphäre gefährdet.
6. Verantwortlichkeit und Haftung
Ein weiterer Konfliktpunkt zwischen KI und der DSGVO betrifft die Frage der Verantwortlichkeit und Haftung. Die DSGVO sieht vor, dass Organisationen für die Verarbeitung personenbezogener Daten verantwortlich sind. Bei der Nutzung von KI-Systemen, die teilweise autonom Entscheidungen treffen können, ist es jedoch aktuell unklar, wer für den Missbrauch von Daten oder für fehlerhafte Entscheidungen haftet. Besonders bei komplexen KI-Systemen, bei denen die Entscheidungsprozesse schwer nachzuvollziehen sind, stellt sich die Frage, wie Verantwortlichkeiten klar zugewiesen werden können.
Fazit
Die Vereinbarkeit von Künstlicher Intelligenz und der Datenschutz-Grundverordnung ist eine Herausforderung. die großen Mengen der DSGVO, wie Datenminimierung, Transparenz und das Recht auf Erklärung, stehen oft im Widerspruch zu den Anforderungen moderner KI-Systeme, die große Mengen an Daten benötigen und deren Entscheidungen nur schwer nachvollziehbar sind. Die DSGVO muss bei jedem Entwicklungs- bzw. Einführungsschritt der KI mit beachtet werden. Für eine harmonische Integration von KI in den rechtlichen Rahmen der DSGVO müssen daher neue Lösungen entwickelt oder die einzelnen Kritikpunkte weiter durch Arbeitsgruppen erläutert werden, die sowohl die Innovationskraft der KI fördern als auch den Datenschutz und die Rechte der Betroffenen wahren.
Mehr zum Thema AI Act und KI-Verordnung finden Sie auf unserer Seite