03.04.2019

Künstliche Intelligenz und Datenschutz – Anwendungsfälle 

Die denkbaren Anwendungsbereiche von Künstlicher Intelligenz (KI) sind vielfältig. Als Showstopper wird des Öfteren die Europäische Datenschutz-Grundverordnung (DSGVO) angeführt – dass dem nicht so ist, wollen wir mit folgendem Beitrag aufzeigen. Hierzu greifen wir ganz konkrete Einsatzgebiete Künstlicher Intelligenz auf, die bereits heute in zahlreichen Unternehmen bzw. Einrichtungen Realität sind – „trotz“ DSGVO. Anhand der Beispiele veranschaulichen wir eine Auswahl datenschutzrechtlicher Herausforderungen, die gemeistert werden müssen, um die jeweilige KI bedenkenlos einsetzen zu können.

Kostenloses Webinar zum Thema KI & Datenschutz

Melden Sie sich zu unserem kostenlosen Webinar zum Thema "Datenschutzkonforme KI-Nutzung im Unternehmen: Best Practices & Beispiele" am 1. August 2024 an.

Alle Infos zum Webinar

Chatbots und digitale Assistenten als erste Anlaufstelle – die richtige Rechtsgrundlage ohne Conversion-Killer

Der Trend zur Ergänzung des Kundendienstes geht immer mehr in Richtung digitaler Assistenten, die Probleme und Bedürfnisse des Nutzers vorausschauend erkennen (sog. „Predictive analytics“) und proaktiv entsprechende Lösungsmöglichkeiten vorschlagen. Als prominente Beispiele für digitale Assistenten sind hier Alexa (Amazon), aber auch Siri (Apple) und Google Assistant (Google) zu nennen.

Damit ein Chatbot den Schritt vom sog. Machine Learning hin zum Deep Learning vollziehen kann, ist es zunächst erforderlich, dass große Mengen von Nutzerdaten gesammelt und für die Verwendung durch eine KI strukturiert bzw. aufbereitet werden. Die benötigten Daten erheben Unternehmen regelmäßig über das Eingabefeld des Chatfensters. Durch die sofortige Verknüpfung der Eingaben des Nutzers mit der IP-Adresse seines Endgerätes wird jedoch ein Personenbezug hergestellt, der den Anwendungsbereich der Datenschutz-Grundverordnung (DSGVO) eröffnet.

Die Verarbeitung personenbezogener Daten wiederum erfordert das Vorliegen einer Rechtsgrundlage. Im Falle von Chatbots bzw. digitalen Assistenten sind Einwilligungserklärungen zwar denkbar, die Umsetzung ist jedoch mit hohem Aufwand verbunden. Bevor der Chatbot überhaupt tatsächlich Hilfestellung leisten kann, muss er zunächst eine Einwilligung des Anfragenden einholen. Der Hilfesuchende hingegen möchte sich nicht erst mit datenschutzrechtlichen Informationen auseinandersetzen müssen, bevor er die Lösung für sein Problem geliefert bekommt.

Da der Chatbot regelmäßig erst auf Initiative des Ratsuchenden hin aktiv wird, können Unternehmen mit der richtigen Gestaltung stattdessen auf andere Rechtsgrundlagen zurückgreifen. Auf diese Weise kann der Chatbot sofort mit seiner eigentlichen Arbeit beginnen, da der Ratsuchende nicht erst umfassend aufgeklärt werden muss. Die Transparenz- und Informationspflichten erfüllen Verantwortliche im Falle von Chatbots dann üblicherweise über die Datenschutzerklärung und einem entsprechenden Hinweis.

Kostenfreie Expertise im E-Mail-Postfach

Alle wichtigen Neuigkeiten zum Datenschutz & zur Informationssicherheit einmal monatlich bequem im E-Mail-Postfach – natürlich kostenlos.

Bitte addieren Sie 6 und 8.

Mit Klick auf den Button stimmen Sie dem Versand unseres Newsletters und der aggregierten Nutzungsanalyse (Öffnungsrate und Linkklicks) zu. Sie können Ihre Einwilligung jederzeit widerrufen, z.B. über den Abmeldelink im Newsletter. Mehr Informationen: Datenschutzerklärung.

Zuverlässigere Diagnose im Gesundheitssektor – frühzeitig Schutzvorkehrungen treffen

Künstliche Intelligenz hat vor allem im Gesundheitssektor das Potential, zu bedeutsamen Fortschritten, wenn nicht sogar Durchbrüchen, zu führen. Im Bereich bildgebender Verfahren können KIs bereits heute eingesetzt werden, um so die Arbeit eines Arztes erheblich zu erleichtern und zu ergänzen.

Grundvoraussetzung für den Einsatz von KIs ist immer, dass die Informationen, die analysiert werden sollen, bereits digitalisiert sind: CT-Scans, Elektrokardiogramme, Nahaufnahmen. Diese Grundvoraussetzung wird besonders im Gesundheitswesen in vielen Bereichen erfüllt.

Problematisch ist hierbei jedoch die Tatsache, dass Gesundheitsdaten – also besonders sensible Daten – verarbeitet werden. So werden zunächst große Mengen an Referenzdaten benötigt, um die KI zu trainieren. Um schließlich Unregelmäßigkeiten feststellen und eine Diagnose stellen zu können, muss die KI die Informationen des Patienten (z. B. in Form eines CT-Scans) mit den Referenzdaten abgleichen. In beiden Fällen handelt es sich also zunächst um personenbezogene Daten, da sie direkt einer natürlichen Person entstammen.

Für die Verarbeitung von Gesundheitsdaten statuiert die DSGVO besondere Beschränkungen. Insofern bedarf es entsprechender Schutzvorkehrungen. Der Fokus sollte auf einer Pseudo- oder bestenfalls Anonymisierung dieser Daten liegen. Eine Anonymisierung würde dazu führen, dass der Anwendungsbereich der DSGVO verlassen würde. Ist dies jedoch nicht möglich, sollten entsprechende Einrichtungen und Unternehmen sich auf den Einsatz anerkannter Pseudonymisierungstechniken konzentrieren, denn grundsätzlich honoriert die DSGVO jede Art risikominimierender Maßnahmen. Bei langfristig angelegten Studien oder ähnlichen Projekten empfiehlt sich der zusätzliche Einsatz eines „Trust Centers“. In diesem Fall ist eine Zuordnung der pseudonymisierten Daten nur durch Einbeziehung des Trust Centers, also eines Dritten, der die Zuordnungsregel sicher aufbewahrt, möglich.

Bereits im Rahmen der Entwicklungsphase sollten Unternehmen bzw. Einrichtungen das technische Fundament für den Schutz personenbezogener Daten legen – sog. „Datenschutz durch Technikgestaltung“ (Privacy by Design). Als hilfreich kann sich hier eine Datenschutz-Folgenabschätzung (DSFA) erweisen.  Aufgrund der potenziellen, hohen Risiken, die regelmäßig mit der Verarbeitung von Gesundheitsdaten einhergehen, besteht die Pflicht zur Durchführung einer DSFA besonders häufig im Gesundheitsbereich. Mit Hilfe einer DSFA lassen sich konkrete Risiken identifizieren und gezielt Schutzmaßnahmen treffen, um die Sicherheit der Daten zu gewährleisten.

Im Übrigen sollten Verantwortliche beim Einsatz von Künstlicher Intelligenz vor allem den umfangreichen Transparenzpflichten nach der Datenschutz-Grundverordnung nachkommen.

Kostengünstigere Ergebnisse durch automatisierte Entscheidungsfindung – Ausnahmetatbestände nutzen

Als weiteres Anwendungsgebiet von Künstlicher Intelligenz ist die automatisierte Entscheidungsfindung zu nennen. Diese Art und Weise der Datenverarbeitung beeinflusst unser Leben bereits heute – vor allem im Bereich der Kreditvergabe. Problematisch ist hierbei allerdings, dass die Entscheidungsfindung selbstlernender Algorithmen in vielen Fällen aufgrund ihres Blackbox-Charakters nicht vollständig nachvollzogen werden kann.

Mögliche Folge einer nicht nachvollziehbaren, vollautomatisierten Einzelfallentscheidung ist immer auch die Ausgrenzung oder gar Diskriminierung bestimmter Personen(kreise). Um betroffene Personen vor solcherlei Folgen zu schützen, schreibt die DSGVO vor, dass nicht ausschließlich ein Algorithmus entscheiden darf, sofern eine solche Entscheidung rechtliche Wirkung entfaltet. Vielmehr muss ein Mensch zwischengeschaltet werden, der gewissermaßen letztinstanzlich eine Entscheidung trifft. Das Ergebnis des sog. „ADM-Systems“ (ADM = Algorithmic Decision Making; algorithmische Entscheidungsfindung) darf insofern lediglich als Entscheidungshilfe herangezogen werden.

Unternehmen, die auf Kosteneinsparungen und teilweise sogar neutralere Entscheidungen nicht verzichten wollen, haben dennoch die Möglichkeit eine KI dergestalt einzusetzen, dass ein „human in the loop“ nicht notwendig ist: Denkbar ist erneut die Einholung einer Einwilligung der betroffenen Person – mit all ihren Nachteilen.

Deutlich einfacher gestaltet sich der Einsatz jedoch, wenn die Datenverarbeitung für den Abschluss oder die Erfüllung eines Vertrages zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist. Erforderlich in diesem Sinne ist eine automatisierte Entscheidungsfindung in jedem Fall dann, wenn sie als solche vertraglich vereinbart wird. Gleiches gilt für die Erfüllung einer gesetzlichen Pflicht. So statuieren Vorschriften aus dem Kreditwesengesetz und dem BGB im Falle von (Immobilien-)Verbraucherdarlehensverträgen eine Pflicht zur Durchführung einer Kreditwürdigkeitsprüfung auf Grundlage von Informationen zu Einkommen und Ausgaben sowie sonstigen relevanten Umständen. Eine vollautomatisierte Bonitätsprüfung dürfte zudem bei allen anderen Vertragsschlüssen als erforderlich zu qualifizieren sein, bei denen die Zahlungsfähigkeit des Vertragspartners ein entscheidendes Kriterium darstellt. Letztlich kommt es immer auf den konkreten Einzelfall an.

Ihre Lösung für den besten Datenschutz

Die Grundlage jeder guten Geschäftsbeziehung ist Vertrauen. Stärken Sie die Beziehung zu Ihren Kunden mit unserer Expertise im Datenschutz. Damit sichern Sie Ihrer Unternehmung einen starken Wettbewerbsvorteil und können sich voll auf Ihr Geschäft konzentrieren.

Kostenfreien Kennenlerntermin vereinbaren

KI und Datenschutz schließen sich nicht aus

Die DSGVO stellt Verantwortlichen oftmals mehrere Rechtsgrundlagen zur Auswahl, auf die sie die jeweilige Verarbeitungstätigkeit stützen können. Die Vor- und Nachteile der einzelnen Rechtsgrundlagen sollten gegeneinander abgewogen werden. Die etwaige Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung, wie sie oft im Gesundheitsbereich besteht, sollte nicht als notwendiges Übel, sondern als Chance begriffen werden.

Die dargestellten Beispiele verdeutlichen also, dass die DSGVO mit ihren zahlreichen Anforderungen über den Umgang mit personenbezogenen Daten keineswegs den Einsatz von Künstlicher Intelligenz verhindert. Wer sich frühzeitig – also bestenfalls schon im Rahmen der Entwicklungsphase – Gedanken darüber macht, wie der konkrete Einsatz der KI mit der DSGVO in Einklang gebracht werden, der profitiert auch langfristig: Unnötige Folgekosten, die sich aus einer etwaigen Anpassung ergeben können, werden vermieden. Zudem kann das Risiko von Reputationsverlusten aufgrund mangelnder Sicherheit der Daten und eines etwaigen Datenschutzvorfalls wirksam eingedämmt werden.

Sie benötigen Beratungsbedarf zu Künstlicher Intelligenz und Datenschutz? Zögern Sie nicht uns zu kontaktieren!

Weitere Neuigkeiten

24.07.2024

Windows-Ausfall durch CrowdStrike-Update öffnete Tür und Tor für Betrüger

Vielen Experten zufolge war es der größte IT-Ausfall der Geschichte. Am 19. Juli 2024 stieß CrowdStrike auf ein bedeutendes Problem mit einem Inhaltsupdate für seinen Falcon-Sensor auf Windows-Betriebssystemen. Dieses Update verursachte unerwartetes Systemverhalten, das insbesondere zu Blue-Screen-Fehlern (BSOD) auf den betroffenen Windows-Systemen führte. Viele Betrüger nutzen diesen Ausfall sofort aus. CrowdStrike reagierte schnell und stellte einen Fix bereit, um das Problem zu beheben und negative Auswirkungen auf die Betriebsabläufe ihrer Kunden zu minimieren.

Weiterlesen …

17.07.2024

Neue Regelungen für Ihr ISMS: Diese gesetzlichen Anforderungen muss Ihre IT-Sicherheit erfüllen

In den letzten Jahren haben zahlreiche neue gesetzliche Regelungen zur IT-Sicherheit Unternehmen vor erhebliche Herausforderungen gestellt. Diese Gesetze fordern von Unternehmen umfassende Maßnahmen zur Sicherung ihrer IT-Infrastruktur und Daten. Angesichts dieser wachsenden Anforderungen bietet sich die Einführung eines Informationssicherheits-Managementsystems (ISMS) an. Ein ISMS hilft nicht nur dabei, die gesetzlichen Anforderungen zu erfüllen, sondern trägt auch zur Verbesserung der allgemeinen Sicherheitslage eines Unternehmens bei.

Weiterlesen …

09.07.2024

NIS2-Richtlinie: Machen Sie Ihr Unternehmen fit für Oktober 2024 – mit unserem Leitfaden zum Download

Mit der nahenden Deadline im Oktober 2024 für die nationale Umsetzung der Network and Information Security (NIS) Directive 2 (NIS2) stehen schätzungsweise 30.000 deutsche Unternehmen vor der Herausforderung, gesetzliche Vorgaben zu erfüllen und die Sicherheit ihrer Informationstechnologie nachhaltig zu verbessern. In diesem Zusammenhang bieten wir umfassende Lösungen an, die darauf ausgerichtet sind, Ihr Unternehmen durch maßgeschneiderte Risikoanalysen, die Implementierung fortschrittlicher Cyber-Risikomanagementpraktiken und robuste Geschäftskontinuitätspläne auf den neuesten Stand der Technik zu bringen.

Weiterlesen …