Artificial Intelligence & Datenschutz: Was bedeutet die DSGVO für Künstliche Intelligenz?

Die Zeiten, dass Künstliche Intelligenz nur aus Hollywood-Blockbustern bekannt war, in denen sich beispielsweise menschenähnliche Roboter zunächst scheinbar im Sinne des Menschen betätigen und später dann gegen ihn richten, sind vorbei. Künstliche Intelligenz ist längst in unserem Alltag angekommen, ob eher unscheinbar im Bereich der Suchmaschinen-Optimierung, wo mit Hilfe von Algorithmen passgenaue Suchergebnisse oder Werbung auf unsere Interessen angezeigt werden oder im eigenen Wohnzimmer, wo smarte Lautsprecher unseren Alltag erleichtern sollen. Immer mehr Unternehmen setzen außerdem auf Künstliche Intelligenz und Machine Learning, um Prozesse zu optimieren, Prognosen zu generieren oder für autonome Diagnoseverfahren.

Mit der im Mai 2018 endgültig in Kraft tretenden EU-Datenschutz-Grundverordnung erfährt der Datenschutz eine Reform, die Unternehmen vor enorme Herausforderungen stellt. Insbesondere die Rechte der Betroffenen, also natürliche Personen, deren personenbezogene Daten verarbeitet werden, werden mit der Datenschutz-Grundverordnung gestärkt.

Mit dem Recht auf Löschung (oder auch „Recht auf Vergessenwerden“) enthält die Datenschutz-Grundverordnung ein Recht, mit dem betroffene Personen von dem datenverarbeitenden Unternehmen unter bestimmten Voraussetzungen verlangen kann, dass ihn betreffende Daten unverzüglich gelöscht werden. Kommen Unternehmen ihrer Pflicht zur Datenlöschung nicht nach, drohen hohe Bußgelder. Dies wird sich als schwierig erachten, wenn Unternehmen personenbezogene Daten für Machine Learning verwenden. Hier sind klare Leitlinien für die Interessenabwägung zwischen informationeller Selbstbestimmung und Datensparsamkeit einerseits und dem Interesse des datenverarbeitenden Unternehmens andererseits zu entwickeln.

Daneben wird mit der Datenschutz-Grundverordnung das Auskunftsrecht betroffener Personen verstärkt. So haben betroffene Personen nicht nur ein Recht darauf zu erfahren, welche personenbezogenen Daten wie verarbeitet werden. Sie haben außerdem bei Bestehen einer automatisierten Entscheidungsfindung das Recht auf aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person. Hier stellt sich für Unternehmen die Frage wie diese Anforderungen unter Berücksichtigung der hohen Transparenzanforderungen und Informationspflichten der Datenschutz-Grundverordnung für den Betroffenen verständlich zu erfüllen sind, ohne dass wertvolle Informationen (wie beispielsweise Algorithmen) offengelegt werden müssen.

Mit der Datenschutz-Folgenabschätzung, ebenfalls eine Anforderung aus der Datenschutz-Grundverordnung, führt der Verordnungsgeber ein Instrument für unternehmerische Risikoanalysen ein, die bereits in der frühen Planungsphase eines Projekts den Blick auf Schwachstellen, die sonst erst in der späteren und vor allem kostenintensiveren Implementierungsphase berücksichtigt würden. So können z. B. Softwareentwickler frühzeitig auf mögliche Datenschutzrisiken hingewiesen werden, die Entwicklern möglicherweise zunächst nicht als kritisch erscheinen. Der weitere Entwicklungsprozess kann besser abgestimmt und im gegenseitigen Austausch erfolgen. Gerade beim Machine Learning ist es wichtig, dass der Input, die Prozesse und das Ergebnis der Datenverarbeitung durch autonome Maschinen kritisch und aus datenschutzrechtlicher Sicht geprüft werden.

Die Durchführung einer Datenschutz-Folgenabschätzung kommt zudem einer weiteren Anforderung der Datenschutz-Grundverordnung nach: Datenschutz durch Technikgestaltung (Privacy-by-Design) und durch datenschutzfreundliche Voreinstellungen (Privacy by Default). Privacy-by-Design einerseits soll Hersteller ermutigen, bereits bei der Entwicklung Datenschutz und Privatsphäre zu beachten. Neben Privacy-by-Design sollen Produkte außerdem standardmäßig datenschutzfreundlich eingestellt sein (Privacy-by-Default).

Fest steht – Künstliche Intelligenz, Machine Learning und das Internet der Dinge werden schon bald viele Lebensbereiche verändern und revolutionieren. Die Umsetzung der Anforderungen der Datenschutzgrundverordnung (insbesondere die der Transparenzpflicht und die Rechte betroffener Personen) hinsichtlich der Entwicklung und des Einsatzes von Künstlicher Intelligenz hingegen bleibt eine große Herausforderung.

Über den Vortrag

Am 1.3. hält unser Kollege Dennis Kurpierz einen Vortrag auf dem AI Summit.
Wann? 16:30 Uhr
Thema: Artificial Intelligence & Data Protection: Was bedeutet die Datenschutz-Grundverordnung für Künstliche Intelligenz?

Über den AI Summit

Am 1. März 2018 findet der 1. AI Summit im Rahmen des Big Data Summits statt. Die Events werden von bitkom ausgerichtet. Die Veranstaltung soll eine Plattform zum Erfahrungsaustausch zwischen Entscheidern und für die strategische Orientierung im Bereich der Künstlichen Intelligenz bieten.
bitkom: „Rund 700 Entscheider der Datenwirtschaft, Anwender fortgeschrittener Big-Data- und AI-Lösungen, Vertreter der Politik, Technologieanbieter, Strategie- und Innovationsberater sowie Wissenschaftler kommen zusammen, um

• sich im schnellen Wandel der IT strategisch zu orientieren,
• sich über Praxiserfahrungen, Initiativen zur Weiterentwicklung der Rahmenbedingungen und neueste Ergebnisse der Forschung und Entwicklung auszutauschen,
• Kooperationen anzubahnen, Projekte voranzubringen und innovative Lösungen live vor Ort zu diskutieren.“