Die denkbaren Anwendungsbereiche von Künstlicher Intelligenz (KI) sind vielfältig. Als Showstopper wird des Öfteren die Europäische Datenschutz-Grundverordnung (DSGVO) angeführt – dass dem nicht so ist, wollen wir mit folgendem Beitrag aufzeigen. Hierzu greifen wir ganz konkrete Einsatzgebiete Künstlicher Intelligenz auf, die bereits heute in zahlreichen Unternehmen bzw. Einrichtungen Realität sind – „trotz“ DSGVO. Anhand der Beispiele veranschaulichen wir eine Auswahl datenschutzrechtlicher Herausforderungen, die gemeistert werden müssen, um die jeweilige KI bedenkenlos einsetzen zu können.
Chatbots und digitale Assistenten als erste Anlaufstelle – die richtige Rechtsgrundlage ohne Conversion-Killer
Der Trend zur Ergänzung des Kundendienstes geht immer mehr in Richtung digitaler Assistenten, die Probleme und Bedürfnisse des Nutzers vorausschauend erkennen (sog. „Predictive analytics“) und proaktiv entsprechende Lösungsmöglichkeiten vorschlagen. Als prominente Beispiele für digitale Assistenten sind hier Alexa (Amazon), aber auch Siri (Apple) und Google Assistant (Google) zu nennen.
Damit ein Chatbot den Schritt vom sog. Machine Learning hin zum Deep Learning vollziehen kann, ist es zunächst erforderlich, dass große Mengen von Nutzerdaten gesammelt und für die Verwendung durch eine KI strukturiert bzw. aufbereitet werden. Die benötigten Daten erheben Unternehmen regelmäßig über das Eingabefeld des Chatfensters. Durch die sofortige Verknüpfung der Eingaben des Nutzers mit der IP-Adresse seines Endgerätes wird jedoch ein Personenbezug hergestellt, der den Anwendungsbereich der Datenschutz-Grundverordnung (DSGVO) eröffnet.
Die Verarbeitung personenbezogener Daten wiederum erfordert das Vorliegen einer Rechtsgrundlage. Im Falle von Chatbots bzw. digitalen Assistenten sind Einwilligungserklärungen zwar denkbar, die Umsetzung ist jedoch mit hohem Aufwand verbunden. Bevor der Chatbot überhaupt tatsächlich Hilfestellung leisten kann, muss er zunächst eine Einwilligung des Anfragenden einholen. Der Hilfesuchende hingegen möchte sich nicht erst mit datenschutzrechtlichen Informationen auseinandersetzen müssen, bevor er die Lösung für sein Problem geliefert bekommt.
Da der Chatbot regelmäßig erst auf Initiative des Ratsuchenden hin aktiv wird, können Unternehmen mit der richtigen Gestaltung stattdessen auf andere Rechtsgrundlagen zurückgreifen. Auf diese Weise kann der Chatbot sofort mit seiner eigentlichen Arbeit beginnen, da der Ratsuchende nicht erst umfassend aufgeklärt werden muss. Die Transparenz- und Informationspflichten erfüllen Verantwortliche im Falle von Chatbots dann üblicherweise über die Datenschutzerklärung und einem entsprechenden Hinweis.
Zuverlässigere Diagnose im Gesundheitssektor – frühzeitig Schutzvorkehrungen treffen
Künstliche Intelligenz hat vor allem im Gesundheitssektor das Potential, zu bedeutsamen Fortschritten, wenn nicht sogar Durchbrüchen, zu führen. Im Bereich bildgebender Verfahren können KIs bereits heute eingesetzt werden, um so die Arbeit eines Arztes erheblich zu erleichtern und zu ergänzen.
Grundvoraussetzung für den Einsatz von KIs ist immer, dass die Informationen, die analysiert werden sollen, bereits digitalisiert sind: CT-Scans, Elektrokardiogramme, Nahaufnahmen. Diese Grundvoraussetzung wird besonders im Gesundheitswesen in vielen Bereichen erfüllt.
Problematisch ist hierbei jedoch die Tatsache, dass Gesundheitsdaten – also besonders sensible Daten – verarbeitet werden. So werden zunächst große Mengen an Referenzdaten benötigt, um die KI zu trainieren. Um schließlich Unregelmäßigkeiten feststellen und eine Diagnose stellen zu können, muss die KI die Informationen des Patienten (z. B. in Form eines CT-Scans) mit den Referenzdaten abgleichen. In beiden Fällen handelt es sich also zunächst um personenbezogene Daten, da sie direkt einer natürlichen Person entstammen.
Für die Verarbeitung von Gesundheitsdaten statuiert die DSGVO besondere Beschränkungen. Insofern bedarf es entsprechender Schutzvorkehrungen. Der Fokus sollte auf einer Pseudo- oder bestenfalls Anonymisierung dieser Daten liegen. Eine Anonymisierung würde dazu führen, dass der Anwendungsbereich der DSGVO verlassen würde. Ist dies jedoch nicht möglich, sollten entsprechende Einrichtungen und Unternehmen sich auf den Einsatz anerkannter Pseudonymisierungstechniken konzentrieren, denn grundsätzlich honoriert die DSGVO jede Art risikominimierender Maßnahmen. Bei langfristig angelegten Studien oder ähnlichen Projekten empfiehlt sich der zusätzliche Einsatz eines „Trust Centers“. In diesem Fall ist eine Zuordnung der pseudonymisierten Daten nur durch Einbeziehung des Trust Centers, also eines Dritten, der die Zuordnungsregel sicher aufbewahrt, möglich.
Bereits im Rahmen der Entwicklungsphase sollten Unternehmen bzw. Einrichtungen das technische Fundament für den Schutz personenbezogener Daten legen – sog. „Datenschutz durch Technikgestaltung“ (Privacy by Design). Als hilfreich kann sich hier eine Datenschutz-Folgenabschätzung (DSFA) erweisen. Aufgrund der potenziellen, hohen Risiken, die regelmäßig mit der Verarbeitung von Gesundheitsdaten einhergehen, besteht die Pflicht zur Durchführung einer DSFA besonders häufig im Gesundheitsbereich. Mit Hilfe einer DSFA lassen sich konkrete Risiken identifizieren und gezielt Schutzmaßnahmen treffen, um die Sicherheit der Daten zu gewährleisten.
Im Übrigen sollten Verantwortliche beim Einsatz von Künstlicher Intelligenz vor allem den umfangreichen Transparenzpflichten nach der Datenschutz-Grundverordnung nachkommen.
Kostengünstigere Ergebnisse durch automatisierte Entscheidungsfindung – Ausnahmetatbestände nutzen
Als weiteres Anwendungsgebiet von Künstlicher Intelligenz ist die automatisierte Entscheidungsfindung zu nennen. Diese Art und Weise der Datenverarbeitung beeinflusst unser Leben bereits heute – vor allem im Bereich der Kreditvergabe. Problematisch ist hierbei allerdings, dass die Entscheidungsfindung selbstlernender Algorithmen in vielen Fällen aufgrund ihres Blackbox-Charakters nicht vollständig nachvollzogen werden kann.
Mögliche Folge einer nicht nachvollziehbaren, vollautomatisierten Einzelfallentscheidung ist immer auch die Ausgrenzung oder gar Diskriminierung bestimmter Personen(kreise). Um betroffene Personen vor solcherlei Folgen zu schützen, schreibt die DSGVO vor, dass nicht ausschließlich ein Algorithmus entscheiden darf, sofern eine solche Entscheidung rechtliche Wirkung entfaltet. Vielmehr muss ein Mensch zwischengeschaltet werden, der gewissermaßen letztinstanzlich eine Entscheidung trifft. Das Ergebnis des sog. „ADM-Systems“ (ADM = Algorithmic Decision Making; algorithmische Entscheidungsfindung) darf insofern lediglich als Entscheidungshilfe herangezogen werden.
Unternehmen, die auf Kosteneinsparungen und teilweise sogar neutralere Entscheidungen nicht verzichten wollen, haben dennoch die Möglichkeit eine KI dergestalt einzusetzen, dass ein „human in the loop“ nicht notwendig ist: Denkbar ist erneut die Einholung einer Einwilligung der betroffenen Person – mit all ihren Nachteilen.
Deutlich einfacher gestaltet sich der Einsatz jedoch, wenn die Datenverarbeitung für den Abschluss oder die Erfüllung eines Vertrages zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist. Erforderlich in diesem Sinne ist eine automatisierte Entscheidungsfindung in jedem Fall dann, wenn sie als solche vertraglich vereinbart wird. Gleiches gilt für die Erfüllung einer gesetzlichen Pflicht. So statuieren Vorschriften aus dem Kreditwesengesetz und dem BGB im Falle von (Immobilien-)Verbraucherdarlehensverträgen eine Pflicht zur Durchführung einer Kreditwürdigkeitsprüfung auf Grundlage von Informationen zu Einkommen und Ausgaben sowie sonstigen relevanten Umständen. Eine vollautomatisierte Bonitätsprüfung dürfte zudem bei allen anderen Vertragsschlüssen als erforderlich zu qualifizieren sein, bei denen die Zahlungsfähigkeit des Vertragspartners ein entscheidendes Kriterium darstellt. Letztlich kommt es immer auf den konkreten Einzelfall an.
KI und Datenschutz schließen sich nicht aus
Die DSGVO stellt Verantwortlichen oftmals mehrere Rechtsgrundlagen zur Auswahl, auf die sie die jeweilige Verarbeitungstätigkeit stützen können. Die Vor- und Nachteile der einzelnen Rechtsgrundlagen sollten gegeneinander abgewogen werden. Die etwaige Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung, wie sie oft im Gesundheitsbereich besteht, sollte nicht als notwendiges Übel, sondern als Chance begriffen werden.
Die dargestellten Beispiele verdeutlichen also, dass die DSGVO mit ihren zahlreichen Anforderungen über den Umgang mit personenbezogenen Daten keineswegs den Einsatz von Künstlicher Intelligenz verhindert. Wer sich frühzeitig – also bestenfalls schon im Rahmen der Entwicklungsphase – Gedanken darüber macht, wie der konkrete Einsatz der KI mit der DSGVO in Einklang gebracht werden, der profitiert auch langfristig: Unnötige Folgekosten, die sich aus einer etwaigen Anpassung ergeben können, werden vermieden. Zudem kann das Risiko von Reputationsverlusten aufgrund mangelnder Sicherheit der Daten und eines etwaigen Datenschutzvorfalls wirksam eingedämmt werden.
Sie benötigen Beratungsbedarf zu Künstlicher Intelligenz und Datenschutz? Zögern Sie nicht uns zu kontaktieren!
-
Die wichtigsten Fragen zu Datenübermittlung an US-Dienste: Was bedeutet der neue EU-US Datenschutzrahmen für Unternehmen?
-
KI in der Logistik: Chancen, Herausforderungen und Datenschutzstrategien
-
KI im Recruiting: Chancen und Datenschutz-Risiken für Unternehmen