Künstliche Intelligenz ist auf dem Vormarsch und die Grenzen ihres Potentials nicht absehbar. Zu Recht entwickeln kreative Köpfe ausgehend von den Möglichkeiten des Machine und Deep Learnings ständig neue KI-Strategien. Daraus wird eine Vielzahl an erfolgreichen Konzepten und Geschäftsmodellen hervorgebracht. Nicht jedes Unternehmen braucht jedoch eine eigene KI-Strategie – es kann sich andere Dienstleister suchen, die ihre KI-basierten Dienste im Rahmen eines Outsourcings anbieten und so durch die Vorteile einer Künstlichen Intelligenz überzeugen: schnell, sicher, rentabel und effektiv.
Möglich ist dies jedoch nur dank großer Mengen an Daten, die die KI sowohl bei ihrer Entwicklung als auch bei der Anwendung benötigt. Nicht selten werden personenbezogene Daten dabei sein, deren Verarbeitung sich nach Datenschutz-Grundverordnung (DSGVO) und Bundesdatenschutzgesetz (BDSG) richtet. Der Einsatz von KI bringt damit einen Rattenschwanz an Compliance mit sich, der noch komplexer wird, je mehr Akteure in die Datenverarbeitung überhaupt eingeschaltet sind. So kann in der soeben genannten Konstellation eine Auftragsverarbeitung vorliegen, bei der ein Verantwortlicher einen Auftragsverarbeiter mit der KI-gesteuerten Verarbeitung der Daten beauftragt.
Für den Auftragsverarbeiter stellt sich wiederum die Frage, was er mit den Daten machen darf. Eine wichtige Frage dabei ist, ob er die Daten der Endkunden seines Auftraggebers benutzen darf, um seine KI zu trainieren. Schließlich müssen künstliche Intelligenzen dazu lernen, um besser zu werden. Datenschutzrechtlich ist diese Frage nicht so einfach zu beantworten – wir können Ihnen jedoch in wenigen Schritten erläutern, wie Sie strategisch und rechtssicher vorgehen können, um die Daten auch in einem Auftragsverhältnis ganz legal zum Trainieren ihrer KI nutzen zu können!
KI und Auftragsverarbeitung: ein Beispiel
Führen Sie sich zum besseren Verständnis folgende Situation vor Augen: Ein Unternehmen hat eine KI entwickelt, die E-Mails und andere Nachrichten auf bestimmte Informationen hin durchsuchen kann, entsprechend sortiert und sogar eigenständig beantwortet. Beispielsweise kann eine Kundennachfrage, wann denn ein bestimmtes Kleidungsstück aus einem Onlineshop wieder in einer bestimmten Größe erhältlich sei, von der KI verstanden werden und wird je nach Entwicklungsstand der KI an den zuständigen Kundenservicemitarbeiter weitergeleitet oder sogar selbst beantwortet. Auch Chatbots gehören in diesem Kontext dazu.
Diese KI-Strategie kann so zum Geschäftsmodell werden, indem das Unternehmen als Dienstleister für andere Unternehmen deren Kundenservice (zum Teil) übernimmt. Dieselbe Konstellation kommt bereits im Kontext von Bonitätsscoring und bei Versicherungen zum Einsatz.
Aus Sicht des Datenschutzes sieht diese Konstellation folgendermaßen aus: Das Unternehmen, das die Hilfe beim Kundenservice beansprucht (Auftraggeber), beauftragt ein anderes Unternehmen (Auftragnehmer) damit, die E-Mails bzw. Nachrichten seiner Kunden auf spezielle Informationen hin zu untersuchen (beispielsweise Konfektionsgröße). Diese Informationen stellen häufig personenbezogene Daten dar, oftmals sogar besonders schützenswerte sensible Daten wie Kontodaten. Diese Auslagerung von Datenverarbeitungsprozessen oder deren Übertragung auf einen Dienstleister wird Auftragsverarbeitung genannt und unterliegt strengen Anforderungen der DSGVO.
Die Auftragsverarbeitung verlangt eine vertragliche Vereinbarung zwischen Auftraggeber und Auftragnehmer. Kennzeichen der Auftragsverarbeitung ist, dass die Daten durch den Auftragnehmer ohne weitere Rechtsgrundlage verarbeitet werden dürfen. Normalerweise bedarf es nach dem Rechtmäßigkeitsprinzip der DSGVO nämlich einer Rechtsgrundlage. Diese (z.B. eine Einwilligung) muss jedoch nur im Verhältnis Endkunde und verantwortliche Stelle (Auftraggeber) vorliegen. Wesen der Auftragsverarbeitung ist es gerade, dass der Auftragnehmer unter Verantwortung und Kontrolle des Verantwortlichen tätig wird, weil er durch einen Vertrag gebunden ist.
Das Vorgehen
Im Folgenden erklären wir Ihnen, wie Sie als Auftragnehmer im Rahmen einer Auftragsverarbeitung die Daten nicht nur für Ihre Kunden verarbeiten, sondern zusätzlich auch für sich nutzen und Ihre KI trainieren können!
Schritt 1: AVV aufstellen
Damit gelangen wir schon zum 1. Schritt: der Aufstellung eines Auftragsverarbeitungsvertrags (AVV). Zunächst muss in dem AVV der Zweck der Datenverarbeitung festgelegt werden. Der Auftragsnehmer darf seine KI also die Daten NUR zu dem dort festgelegten Zweck verarbeiten lassen. In dem Beispiel oben wäre der Zweck die Daten der Kunden zu erfassen, um ihre Nachrichten beantworten zu können. Der Zweck ist eben nicht, seine KI mit den Daten trainieren zu können, damit sie sich weiterentwickelt. Allein die Aufstellung eines AVVs bemächtigt Sie folglich nicht zum Training der KI, ist aber Grundvoraussetzung dafür, überhaupt an die Daten zu kommen.
Checkliste: Inhaltliche Mindestanforderungen an einen AVV:
- Gegenstand und Dauer der Verarbeitung
- Art und Zweck der Verarbeitung
- Art der personenbezogenen Daten
- Kategorien betroffener Personen
- Pflichten und Rechte der Verantwortlichen
- Umfang der Weisungsbefugnisse
- Verpflichtung der zur Verarbeitung befugten Personen zur Vertraulichkeit
- Sicherstellung von technischen und organisatorischen Maßnahmen
- Hinzuziehung von Subunternehmern
- Unterstützung des Verantwortlichen bei Anfragen und Ansprüchen Betroffener
- Unterstützung des Verantwortlichen bei der Meldepflicht bei Datenschutzverletzungen und der Datenschutz-Folgenabschätzung
- Rückgabe oder Löschung personenbezogener Daten nach Abschluss der Auftragsverarbeitung
- Regelung wie der Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten erfolgt. Dies kann auch durch Überprüfungen und Inspektionen auch durch einen beauftragten Prüfer vereinbart werden.
- Pflichten des Auftragsverarbeiters, den Verantwortlichen unverzüglich zu informieren, falls eine Weisung gegen Datenschutzrecht verstößt
Schritt 2: Anonymisieren
In einem zweiten Schritt sollte bei der Aufstellung des AVV vereinbart werden, dass der Auftragsnehmer die Daten der Endkunden, die er von seinen Kunden erhält, anonymisieren darf. Der große Vorteil einer Anonymisierung ist, dass sobald Daten anonym sind, sie keine personenbezogenen Daten mehr darstellen und daher den Anwendungsbereich der DSGVO verlassen. Mit den Daten darf der KI-Anwender dann folglich aus datenschutzrechtlicher Sicht machen, was er will. Er kann seine KI also damit problemlos trainieren.
Bei einer Anonymisierung werden die personenbezogenen Daten so umgewandelt, dass sich aus ihnen kein Personenbezug mehr herstellen lässt. Es kann also anhand der Daten eine Person nicht mehr identifiziert werden. Um eine Anonymisierung durchzuführen, ist ein Anonymisierungskonzept zu gestalten. Dabei ist sicherzustellen, dass bei der Anonymisierung alle Mittel berücksichtigt werden, die von dem verantwortlichen Unternehmen oder auch anderen Personen genutzt werden können, um eine Person zu identifizieren. Die Identifizierung einer Person muss unwiderruflich unmöglich gemacht werden. In Betracht kommt z.B. die Löschung oder Generalisierung der identifizierenden Merkmale.
Sind die Daten einmal anonymisiert, stellen sie zwar keine personenbezogenen Daten mehr dar, sodass die DSGVO keine Anwendung mehr findet. Allerdings stellt der Vorgang der Anonymisierung selbst eine automatisierte Verarbeitung personenbezogener Daten dar, sodass nach dem Rechtmäßigkeitsprinzip der DSGVO eine Rechtsgrundlage für die Verarbeitung vorliegen muss. Der AVV selbst reicht dafür nicht aus. Hier ist eine Verarbeitung aufgrund berechtigter Interessen des Auftragsverarbeiters als Rechtsgrundlage möglich. Das Interesse liegt darin, dass er zur Fortentwicklung und Verbesserung seiner KI Daten braucht.
Schritt 3: KI trainieren – Modell weiterverwenden
Sind die Daten anonymisiert, dann kann die KI damit trainiert werden und sich im Rahmen von Machine Learning weiterentwickeln. Dieses weiterentwickelte, erneuerte, gestärkte Modell bzw. neuronale Netz der KI kann dann von dem Dienstleister (Auftragsnehmer) bei anderen Kunden angewendet werden. Die Daten selbst bleiben damit beim Auftraggeber, sodass betroffene Personen keine Angst haben müssen, dass sie in falsche Hände geraten.
Fazit: Mit einem cleveren AVV und anonymen Daten zum Erfolg
Mit nur drei Schritten können KI-gestützte Geschäftsmodelle zum Erfolg werden. Die KI kann datenschutzkonform verwendet und dazu auch noch trainiert werden. Wichtig sind dabei grundsätzlich einzig und allein die clevere Gestaltung eines AVVs und die Anonymisierung der Daten. Die Experten der ISiCO Datenschutz GmbH unterstützen Sie dabei Ihr Unternehmen datenschutzkonform zu führen. Mit einem korrekt ausgestalteten AVV sowie einem durchdachten Anonymisierungskonzept können wir Ihnen helfen, Ihr Unternehmen datenschutzrechtlich compliant aufzubauen! Sprechen Sie uns an und vertrauen Sie auf unsere Erfahrung!
Lesen Sie auch folgende Beiträge: