16. April 2019

KI & DSGVO: Mit Anonymisierung und Pseudonymisierung Compliance–Aufwand minimieren!

Ganz nach dem Motto „die Zukunft ist jetzt!“ gilt künstliche Intelligenz als Schlüsseltechnologie der Zukunft, ist aber auf der ganzen Welt längst in der Gegenwart angekommen. Immer mehr Unternehmen entdecken die Vorteile von Machine und Deep Learning sowie Big Data für sich. Prozesse können beschleunigt, optimiert und rentabler ausgestaltet werden. Möglich machen dies algorithmenbasierte automatisierte Datenverarbeitungen, die an Stelle menschlicher Entscheidungen und Beurteilungen treten.

Die DSGVO wird wegen strenger Anforderungen oft als Bremse der Entwicklung bezeichnet. In der Tat reguliert sie den für die Anwendung künstlicher Intelligenz maßgeblichen Bereich der Datenverarbeitung. Die Entwicklung und Innovation von KI wird daher durch die DSGVO auf die Probe gestellt, aber bietet sie nicht auch Lösungsmöglichkeiten, wie Datenschutz auch bei KI erreicht werden kann? Hier werden die Instrumente der Anonymisierung und Pseudonymisierung relevant. Sie können die Herausforderungen der DSGVO für KI-Unternehmen bewältigen und Compliance-Aufwand minimieren.

Von diesem Vorteil profitieren aber nur die KI-Unternehmen, die Anonymisierung und Pseudonymisierung entsprechend rechtssicher anwenden. Wir erklären Ihnen Schritt für Schritt die Herausforderungen, die Sie bei der Anwendung von Anonymisierung und Pseudonymisierung begegnen werden und zugleich die Vorteile, die diese Instrumente mit sich bringen und was bei der Anwendung zu beachten ist.

Operative Herausforderungen bei Umsetzung der Anforderungen der DSGVO an automatisierte Prozesse

Die große rechtliche Herausforderung ist die Anwendbarkeit der DSGVO auf die Daten, die ein KI-Unternehmen verarbeitet. Liegen keine personenbezogenen Daten vor, so ist die DSGVO nicht anwendbar. Bereits hier kann sich das KI-Unternehmen mit einer Anonymisierung behelfen. Auf anonymisierte Daten ist die DSGVO nämlich nicht anwendbar und KI-Unternehmer würden den datenschutzrechtlichen Anforderungen entgehen!

Liegen jedoch personenbezogene Daten vor und setzt sich ein Unternehmen mit den datenschutzrechtlichen Vorgaben der DSGVO auseinander, dann sollte es immer in zwei Schritten vorgehen:

  1. Schritt: Ist eine Datenverarbeitung gerechtfertigt? Dies ist z.B. bei einer Einwilligung des Betroffenen in die Verarbeitung seiner personenbezogenen Daten der Fall.
  2. Schritt: Die operative Umsetzung der DSGVO. Welche Anforderungen stellt die DSGVO an die konkrete Datenverarbeitung und wie können diese umgesetzt werden?

Hier stoßen KI-Anwender auf tatsächliche bzw. praktische Herausforderungen bei der Rechtfertigung einer Datenverarbeitung (Schritt 1) und bei der Umsetzung der Anforderungen der DSGVO (Schritt 2), wie personelle und finanzielle Belastungen. Eine Pseudonymisierung der Daten würde eine erhebliche Erleichterung bei der Lösung der sich stellenden Herausforderungen bedeuten, da eine Pseudonymisierung das Risiko von Datenschutzvorfällen minimiert und ihr daher in der DSGVO eine privilegierende Bedeutung zukommt.

Daten anonymisieren – der DSGVO ausweichen!

Der Vorteil einer Anonymisierung liegt auf der Hand: die DSGVO ist auf anonymisierte Daten nicht anwendbar und somit könnte ein KI-Unternehmen die Daten verarbeiten. Dem Einsatz Künstlicher Intelligenz stünde dann datenschutzrechtlich nichts im Wege. Allerdings brauchen KI-Anwender in vielen Fällen personenbezogene Daten, sodass z.B. eine Löschung für sie einen Nachteil darstellen würde. Eine Anonymisierung kommt für sie dann nicht in Betracht.

Interessenabwägung zu Gunsten des KI-Anwenders nutzen!

Pseudonymisierung hat eine Erleichterungsfunktion für KI-Anwender. Sie spielt zunächst in Schritt 1 hinein, nämlich dass Daten verarbeitet werden können, wenn ein Rechtfertigungstatbestand für eine Verarbeitung einschlägig ist. Daten können nicht nur per Einwilligung verarbeitet werden.

Eine Rechtfertigungsmöglichkeit stellt auch die Verarbeitung aufgrund überwiegender Interessen des datenverarbeitenden Verantwortlichen dar. Da dabei aber seine Interessen mit denen des Betroffenen abgewogen werden müssen, hat Pseudonymisierung für KI-Unternehmen den Reiz, dass eine Interessenabwägung eher zu ihren Gunsten ausfällt, wenn die Daten pseudonymisiert werden. Die Daten sind dann besser geschützt als ohne Pseudonymisierung. Die Datenverarbeitung wird in der Folge rechtmäßig.

Wegfall der Betroffenenanfragen mittels Pseudonymisierung!

Des Weiteren bietet eine Pseudonymisierung für KI-Unternehmen den Vorteil, dass die Betroffenenanfragen wegfallen können. Die Umsetzung der Anforderungen (Schritt 2), die die Datenschutz-Grundverordnung an die Verantwortlichen im Rahmen der Betroffenenrechte stellt, wird erleichtert, indem die zeitaufwändige Bearbeitung der Betroffenenanfragen, die erhöhten Kosten und der Arbeitsaufwand wegfallen. KI-Anwender, die die personenbezogenen Daten pseudonymisieren, stehen diesen Problemen nicht gegenüber. Gem. Art. 11 Abs. 2 DSGVO würden Betroffenen ihre Rechte nicht mehr zur Verfügung stehen, wenn es für den Verantwortlichen nicht möglich ist, die Betroffenen zu identifizieren. Darunter fallen auch pseudonymisierte Daten.

Den genannten Herausforderungen stehen KI-Unternehmer auf Grund des Transparenzgrundsatzes gegenüber. Danach muss die von der Verarbeitung betroffene Person stets nachvollziehbar über die Verwendung ihrer Daten in KI-Systemen aufgeklärt werden. Ersetzen künstlich intelligente Systeme menschliche Entscheidungen, muss diese Entscheidungsfindung erklärbar sein.

Zusätzlich trifft den Verantwortlichen die allgemeine Compliance-Pflicht nachzuweisen, dass er die datenschutzrechtlichen Vorschriften eingehalten hat (Accountability bzw. Rechenschaftspflicht). Im Ergebnis muss die Verarbeitung also nicht nur gegenüber den betroffenen Personen, sondern im Zweifel auch gegenüber Geschäftspartnern und Behörden nachvollziehbar dargelegt werden können.

Werden automatisierte Prozesse angewendet, führen diese Anforderungen zu einem allgemeinen Compliance-Problem, da automatisierte Prozesse auch für den Verantwortlichen schwieriger nachzuvollziehen und nachzuweisen sind.  Insbesondere können KI-Anwender im Rahmen des Deep Learnings oft selbst gar nicht einschätzen, wie sich ihr System weiterentwickelt, da es sich um Modelle handelt, die sich selbst verändern und anpassen. Abhängig von den gewählten Modellen (Stichwort: Blackbox) erfordert die Erfüllung von Transparenzverpflichtungen und Auskunftsrechten erheblichen Dokumentationsaufwand.

Dieses Problem schlägt sich in konkreten Anforderungen der DSGVO nieder. Sie gibt Betroffenen von automatisierten Entscheidungen besondere Betroffenenrechte an die Hand (Art. 13-15 DSGVO). So hat ein Betroffener in den Fällen auch das Recht auf Auskunft und Information über die involvierte Logik sowie die Tragweite und angestrebte Auswirkungen einer automatisierten Verarbeitung für die betroffene Person (Art. 13 Abs. 2 lit. h, Art. 15 Abs. 1 lit. h DSGVO). Höhere Kosten, mehr Personal und höherer Compliance-Aufwand bei der Bearbeitung dieser Betroffenenanfragen sind die Folge, wenn die Daten nicht pseudonymisiert werden.

Risikominimierung durch Pseudonymisierung – Zusammenwirken der Compliance-Gebiete

Eine weitere Privilegierung pseudonymisierter Daten ergibt sich im Rahmen der Datenschutz-Folgenabschätzung. Dahinter steckt eine vom Verantwortlichen vorzunehmende Risikoanalyse und -bewertung der Datenverarbeitung. Sie muss nicht immer durchgeführt werden, aber insbesondere beim Profiling und anderen Arten automatisierter Entscheidungen, die oft im Rahmen von KI angewendet werden, ist eine Datenschutz-Folgenabwägung vorgeschrieben.

Zudem ist die Datenschutz-Folgenabschätzung nicht nur einmalig durchzuführen, sondern die Entwicklungs- und Produktionsprozesse müssen ständig überwacht werden (Monitoring), um neue Risiken entdecken zu können und um den Accountability-Anforderungen nachkommen zu können. Dies ist aufgrund der agilen Entwicklung von KI-Systemen häufig schwierig und verlangt eine gute Kommunikation zwischen den Entwicklern und den Rechtsberatern, die für die Entwicklung rechtliche Leitlinien aufstellen können. Die Durchführung der Datenschutz-Folgenabschätzung wirkt so mit anderen Compliance-Gebieten zusammen.

Sind die Daten pseudonymisiert, ist das einzuschätzende Risiko der Datenverarbeitung jedoch gleich geringer als sonst und evtl. muss dann nicht die Aufsichtsbehörde konsultiert werden, wie es bei einem hohen Risiko der Fall wäre. Oft entfällt bei pseudonymisierten Daten sogar die Pflicht zur Durchführung der Datenschutz-Folgenabschätzung. So erleichtert Pseudonymisierung dem Verantwortlichen auch das Nachkommen seiner Accountability-Pflichten. Sie muss vor der Datenverarbeitung durchgeführt werden, also noch im Rahmen der Generierung der KI.

Was sind anonymisierte und pseudonymisierte Daten?

Anonyme Daten stellen die Kehrseite personenbezogener Daten dar. Daten sind entweder personenbezogen oder anonym. Konsequenz davon ist, dass die DSGVO auf anonyme Daten gar nicht anwendbar ist. Anonyme Daten können in zwei Konstellationen vorliegen: Zum einen können Daten schon von vornherein anonym sein, indem sie sich einfach nicht auf eine identifizierte oder identifizierbare Person beziehen. Zum anderen besteht die Möglichkeit, dass zunächst personenbezogene Daten vorlagen, diese aber nachträglich anonymisiert wurden.

Im Unterschied zur Anonymisierung stellen pseudonymisierte Daten personenbezogene Daten dar, sie bilden lediglich einen Unterfall. Der Anwendungsbereich der DSGVO ist dann eröffnet und auch die Verarbeitung pseudonymisierter Daten ist somit grundsätzlich verboten.

Pseudonyme Daten sind Informationen, die nur bei Zugriff auf gesondert aufbewahrte und geschützte Informationen einer Person zugeordnet werden können (vgl. Art. 4 Nr. 5 DSGVO). Es lässt sich also erreichen, dass die Zuordnung von Daten zu einer Person nicht mehr möglich ist. Der Unterschied zur Anonymisierung ist, dass die Informationen, die Daten zu personenbezogenen Daten machen, nicht gelöscht, sondern gesondert aufbewahrt werden.  Das leitende Prinzip ist das Prinzip der funktionalen Trennung. Es muss dabei technisch sichergestellt werden, dass Nutzer der pseudonymisierten Daten keinen Zugriff auf die abgesonderten Informationen haben und so eine Person nicht identifiziert werden kann.

Damit KI-Unternehmen die Vorteile von Anonymisierung und Pseudonymisierung voll ausschöpfen können, bietet es sich an, diese Verfahren schon möglichst früh bei der Entwicklung zu berücksichtigen. Man sollte schon bei den Rohdaten ansetzen, sodass im Rahmen der Pseudonymisierung hier schon z.B. die Adresse verfremdet wird. Es sollte darauf geachtet werden, dass keine nicht pseudonymisierten Personendaten in das Machine-Learning einfließen. Nur so können die Vorteile von Anonymisierung und Pseudonymisierung zur Geltung kommen und Privacy by Design effektiv umgesetzt werden.

Fazit: Anonymisierung und Pseudonymisierung als wirksames Mittel zur Lösung von datenschutzrechtlichen Problemen

Die DSGVO stellt die Anwendung von algorithmenbasierter künstlicher Intelligenz vor Herausforderungen. Gestoppt wird die Innovation jedoch nicht. Durch die Instrumente der Anonymisierung und Pseudonymisierung werden Anwendern durch die DSGVO selbst Verfahren an die Hand gelegt, mittels derer sie die Herausforderungen abmildern können. So gelingt es KI-Anwendern Big Data für sich zu nutzen, Machine Learning und Deep Learning Systeme datenschutzkonform anzuwenden und erhöhte Kosten und Arbeitsaufwand sowie Rechtsverstöße zu vermeiden.

Von diesem Vorteil profitieren aber nur die KI-Unternehmen, die Anonymisierung und Pseudonymisierung entsprechend rechtssicher anwenden. Wurden letztendlich Daten nicht korrekt anonymisiert, ist die DSGVO anwendbar und das Unternehmen entsprechenden Sanktionen ausgesetzt, wenn sie das nicht wusste und die Daten nicht nach DSGVO Anforderungen verarbeitet hat. Eine entsprechende Rechtsberatung ist daher zu empfehlen.

Wir helfen Ihnen dabei ein Anonymisierungskonzept zu erstellen. Dabei ist sicherzustellen, dass alle Mittel berücksichtigt werden, die von dem verantwortlichen Unternehmen oder auch anderen Personen genutzt werden können, um eine Person zu identifizieren. Die Identifizierung einer Person muss unwiderruflich unmöglich gemacht werden. Dabei sind auch die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand zu berücksichtigen.Technische Vorgaben an den Vorgang der Anonymisierung sind dabei aus dem Gesetz nicht zu entnehmen, in Betracht kommt z.B. die Löschung oder die Generalisierung der identifizierenden Merkmale.

Damit Unternehmen das Instrument der Pseudonymisierung erfolgreich anwenden und die Vorteile vollständig ausschöpfen können, müssen sie sicherstellen, dass die von ihnen verwendete Art der Pseudonymisierung den Anforderungen der Datenschutz-Grundverordnung entspricht. Dafür gibt es inzwischen Leitlinien für Pseudonymisierungslösungen in einem Whitepaper des Innenministeriums. Daran können sich Unternehmer und ihre Rechtsberater orientieren. Eine Möglichkeit ist z.B., dass eine betroffene Person selbst eine Nutzer-ID frei wählt oder ihr diese von einem Dritten zugewiesen wird.  Auch der Verantwortliche kann z.B. durch eine Kennziffer einem Betroffenen ein Pseudonym zuweisen, wenn er die Identität kennt.

Bei Beratungsbedarf oder Fragen ist die ISiCO Datenschutz GmbH ihr idealer Ansprechpartner. Zusammen mit der uns angeschlossenen Kanzlei Schürmann Rosenthal Dreyer Rechtsanwälte arbeiten wir erfolgreich im Bereich des Datenschutzrechts zusammen. Durch die rechtssichere Anwendung der DSGVO bauen potentielle Kunden Vertrauen zu Ihnen auf und entscheiden sich für Sie und nicht für die Konkurrenz. So werden Sie zu einem Markenzeichen europäischer KI-Unternehmen! Wir wissen, worauf es ankommt, zählen Sie auf unsere Expertise!

Sie benötigen Beratung bei Ihrem KI-Projekt? Vertrauen Sie auf die Expertise unserer ISiCO-Berater. Kontaktieren Sie uns.

 

Lesen Sie auch folgende Beiträge:

Künstliche Intelligenz im HR-Bereich: Datenschutz meistern!

Als Auftragsverarbeiter Künstliche Intelligenz trainieren – eine Anleitung

Künstliche Intelligenz und Datenschutz – Anwendungsfälle

Newsletter

Bleiben Sie immer up to date in Sachen Datenschutz!